REGULAMENT nr.

679 din 27 aprilie 2016 privind protecia persoanelor fizice n

ceea ce privete prelucrarea datelor cu caracter personal i privind libera
circulaie a acestor date i de abrogare a Directivei 95/46/CE (Regulamentul
general privind protecia datelor)
(Text cu relevan pentru SEE)
PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE,
avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 16,
avnd n vedere propunerea Comisiei Europene,
dup transmiterea proiectului de act legislativ ctre parlamentele naionale,
avnd n vedere avizul Comitetului Economic i Social European (1),
(1)JO C 229, 31.7.2012, p. 90.
avnd n vedere avizul Comitetului Regiunilor (2),
(2)JO C 391, 18.12.2012, p. 127.
hotrnd n conformitate cu procedura legislativ ordinar (3),
(3)Poziia Parlamentului European din 12 martie 2014 (nepublicat nc n Jurnalul Oficial) i
Poziia n prim lectur a Consiliului din 8 aprilie 2016 (nepublicat nc n Jurnalul Oficial).
Poziia Parlamentului European din 14 aprilie 2016.
ntruct:
(1)Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal
este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a
Uniunii Europene ("carta") i articolul 16 alineatul (1) din Tratatul privind funcionarea
Uniunii Europene (TFUE) prevd dreptul oricrei persoane la protecia datelor cu caracter
personal care o privesc.
(2)Principiile i normele referitoare la protecia persoanelor fizice n ceea ce privete
prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetenia sau de locul de
reedin al persoanelor fizice, s respecte drepturile i libertile fundamentale ale acestora,
n special dreptul la protecia datelor cu caracter personal. Prezentul regulament urmrete s
contribuie la realizarea unui spaiu de libertate, securitate i justiie i a unei uniuni
economice, la progresul economic i social, la consolidarea i convergena economiilor n
cadrul pieei interne i la bunstarea persoanelor fizice.
(3)Directiva 95/46/CE a Parlamentului European i a Consiliului (4) vizeaz armonizarea
nivelului de protecie a drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce
privete activitile de prelucrare i asigurarea liberei circulaii a datelor cu caracter personal
ntre statele membre.
(4)Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995
privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter
personal i libera circulaie a acestor date (JO L 281, 23.11.1995, p. 31).
(4)Prelucrarea datelor cu caracter personal ar trebui s fie n serviciul cetenilor. Dreptul la
protecia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat n
considerare n raport cu funcia pe care o ndeplinete n societate i echilibrat cu alte drepturi
fundamentale, n conformitate cu principiul proporionalitii. Prezentul regulament respect
toate drepturile fundamentale i libertile i principiile recunoscute n cart astfel cum sunt
consacrate n tratate, n special respectarea vieii private i de familie, a reedinei i a
comunicaiilor, a proteciei datelor cu caracter personal, a libertii de gndire, de contiin i
de religie, a libertii de exprimare i de informare, a libertii de a desfura o activitate
comercial, dreptul la o cale de atac eficient i la un proces echitabil, precum i diversitatea
cultural, religioas i lingvistic.
(5)Integrarea economic i social care rezult din funcionarea pieei interne a condus la o
cretere substanial a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de
date cu caracter personal ntre actori publici i privai, inclusiv persoane fizice, asociaii i
ntreprinderi, s-a intensificat n ntreaga Uniune. Conform dreptului Uniunii, autoritile
naionale din statele membre sunt chemate s coopereze i s fac schimb de date cu
caracter personal pentru a putea s i ndeplineasc atribuiile sau s execute sarcini n
numele unei autoriti dintr-un alt stat membru.
(6)Evoluiile tehnologice rapide i globalizarea au generat noi provocri pentru protecia
datelor cu caracter personal. Amploarea colectrii i a schimbului de date cu caracter
personal a crescut n mod semnificativ. Tehnologia permite att societilor private, ct i
autoritilor publice s utilizeze date cu caracter personal la un nivel fr precedent n cadrul
activitilor lor. Din ce n ce mai mult, persoanele fizice fac publice la nivel mondial informaii
cu caracter personal. Tehnologia a transformat deopotriv economia i viaa social i ar
trebui s faciliteze n continuare libera circulaie a datelor cu caracter personal n cadrul
Uniunii i transferul ctre ri tere i organizaii internaionale, asigurnd, totodat, un nivel
ridicat de protecie a datelor cu caracter personal.
(7)Aceste evoluii impun un cadru solid i mai coerent n materie de protecie a datelor n
Uniune, nsoit de o aplicare riguroas a normelor, lund n considerare importana crerii
unui climat de ncredere care va permite economiei digitale s se dezvolte pe piaa intern.
Persoanele fizice ar trebui s aib control asupra propriilor date cu caracter personal, iar
securitatea juridic i practic pentru persoane fizice, operatori economici i autoriti publice
ar trebui s fie consolidat.
(8)n cazul n care prezentul regulament prevede specificri sau restricionri ale normelor
sale de ctre dreptul intern, statele membre pot, n msura n care acest lucru este necesar
pentru coeren i pentru a asigura nelegerea dispoziiilor naionale de ctre persoanele
crora li se aplic acestea, s ncorporeze elemente din prezentul regulament n dreptul lor
intern.
(9)Obiectivele i principiile Directivei 95/46/CE rmn solide, dar aceasta nu a prevenit
fragmentarea modului n care protecia datelor este pus n aplicare n Uniune, insecuritatea
juridic sau percepia public larg rspndit conform creia exist riscuri semnificative
pentru protecia persoanelor fizice, n special n legtur cu activitatea online. Diferenele
dintre nivelurile de protecie a drepturilor i libertilor persoanelor fizice, n special a
dreptului la protecia datelor cu caracter personal, n ceea ce privete prelucrarea datelor cu
caracter personal din statele membre pot mpiedica libera circulaie a datelor cu caracter
personal n ntreaga Uniune. Aceste diferene pot constitui, prin urmare, un obstacol n
desfurarea de activiti economice la nivelul Uniunii, pot denatura concurena i pot
mpiedica autoritile s ndeplineasc responsabilitile care le revin n temeiul dreptului
Uniunii. Aceast diferen ntre nivelurile de protecie este cauzat de existena unor
deosebiri n ceea ce privete transpunerea i aplicarea Directivei 95/46/CE.
(10)Pentru a se asigura un nivel consecvent i ridicat de protecie a persoanelor fizice i
pentru a se ndeprta obstacolele din calea circulaiei datelor cu caracter personal n cadrul
Uniunii, nivelul proteciei drepturilor i libertilor persoanelor fizice n ceea ce privete
prelucrarea unor astfel de date ar trebui s fie echivalent n toate statele membre. Aplicarea
consecvent i omogen a normelor n materie de protecie a drepturilor i libertilor
fundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter
personal ar trebui s fie asigurat n ntreaga Uniune. n ceea ce privete prelucrarea datelor
cu caracter personal n vederea respectrii unei obligaii legale, a ndeplinirii unei sarcini care
servete unui interes public sau care rezult din exercitarea autoritii publice cu care este
nvestit operatorul, statelor membre ar trebui s li se permit s menin sau s introduc
dispoziii de drept intern care s clarifice ntr-o mai mare msur aplicarea normelor
prezentului regulament. n coroborare cu legislaia general i orizontal privind protecia
datelor, prin care este pus n aplicare Directiva 95/46/CE, statele membre au mai multe
legi sectoriale specifice n domenii care necesit dispoziii mai precise. Prezentul regulament
ofer, de asemenea, statelor membre o marj de manevr n specificarea normelor sale,
inclusiv n ceea ce privete prelucrarea categoriilor speciale de date cu caracter personal
("date sensibile"). n acest sens, prezentul regulament nu exclude dreptul statelor membre
care stabilete circumstanele aferente unor situaii de prelucrare specifice, inclusiv stabilirea
cu o mai mare precizie a condiiilor n care prelucrarea datelor cu caracter personal este
legal.
(11)Protecia efectiv a datelor cu caracter personal n ntreaga Uniune necesit nu numai
consolidarea i stabilirea n detaliu a drepturilor persoanelor vizate i a obligaiilor celor care
prelucreaz i decid prelucrarea datelor cu caracter personal, ci i competene echivalente
pentru monitorizarea i asigurarea conformitii cu normele de protecie a datelor cu caracter
personal i sanciuni echivalente pentru infraciuni n statele membre.
(12)Articolul 16 alineatul (2) din TFUE mandateaz Parlamentul European i Consiliul s
stabileasc normele privind protecia persoanelor fizice referitor la prelucrarea datelor cu
caracter personal, precum i normele privind libera circulaie a acestor date.
(13)n vederea asigurrii unui nivel uniform de protecie pentru persoanele fizice n ntreaga
Uniune i a prentmpinrii discrepanelor care mpiedic libera circulaie a datelor n cadrul
pieei interne, este necesar un regulament n scopul de a furniza securitate juridic i
transparen pentru operatorii economici, inclusiv microntreprinderi i ntreprinderi mici i
mijlocii, precum i de a oferi persoanelor fizice n toate statele membre acelai nivel de
drepturi, obligaii i responsabiliti opozabile din punct de vedere juridic pentru operatori i
persoanele mputernicite de acetia, pentru a se asigura o monitorizare coerent a prelucrrii
datelor cu caracter personal, sanciuni echivalente n toate statele membre, precum i
cooperarea eficace a autoritilor de supraveghere ale diferitelor state membre. Pentru buna
funcionare a pieei interne este necesar ca libera circulaie a datelor cu caracter personal n
cadrul Uniunii s nu fie restricionat sau interzis din motive legate de protecia persoanelor
fizice n ceea ce privete prelucrarea datelor cu caracter personal. Pentru a se lua n
considerare situaia specific a microntreprinderilor i a ntreprinderilor mici i mijlocii,
prezentul regulament include o derogare pentru organizaiile cu mai puin de 250 de angajai
n ceea ce privete pstrarea evidenelor. n plus, instituiile i organele Uniunii i statele
membre i autoritile lor de supraveghere sunt ncurajate s ia n considerare necesitile
specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii n aplicarea prezentului
regulament. Noiunea de microntreprinderi i de ntreprinderi mici i mijlocii ar trebui s se
bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1).
(1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea
microntreprinderilor i a ntreprinderilor mici i mijlocii [C(2003) 1422] (JO L 124, 20.5.2003,
p. 36).
(14)Protecia conferit de prezentul regulament ar trebui s vizeze persoanele fizice,
indiferent de cetenia sau de locul de reedin al acestora, n ceea ce privete prelucrarea
datelor cu caracter personal ale acestora. Prezentul regulament nu se aplic prelucrrii
datelor cu caracter personal care privesc persoane juridice i, n special, ntreprinderi cu
personalitate juridic, inclusiv numele i tipul de persoan juridic i datele de contact ale
persoanei juridice.
(15)Pentru a preveni apariia unui risc major de eludare, protecia persoanelor fizice ar trebui
s fie neutr din punct de vedere tehnologic i s nu depind de tehnologiile utilizate.
Protecia persoanelor fizice ar trebui s se aplice prelucrrii datelor cu caracter personal prin
mijloace automatizate, precum i prelucrrii manuale, n cazul n care datele cu caracter
personal sunt cuprinse sau destinate s fie cuprinse ntr-un sistem de eviden. Dosarele sau
seturile de dosare, precum i copertele acestora, care nu sunt structurate n conformitate cu
criterii specifice nu ar trebui s intre n domeniul de aplicare al prezentului regulament.
(16)Prezentul regulament nu se aplic chestiunilor de protecie a drepturilor i libertilor
fundamentale sau la libera circulaie a datelor cu caracter personal referitoare la activiti
care nu intr n domeniul de aplicare al dreptului Uniunii, de exemplu activitile privind
securitatea naional. Prezentul regulament nu se aplic prelucrrii datelor cu caracter
personal de ctre statele membre atunci cnd acestea desfoar activiti legate de politica
extern i de securitatea comun a Uniunii.
(17)Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului (2) se aplic
prelucrrii de date cu caracter personal de ctre instituiile, organele, oficiile i ageniile
Uniunii. Regulamentul (CE) nr. 45/2001 i alte acte juridice ale Uniunii aplicabile unei
asemenea prelucrri a datelor cu caracter personal ar trebui adaptate la principiile i normele
stabilite n prezentul regulament i aplicate n conformitate cu prezentul regulament. n
vederea asigurrii unui cadru solid i coerent n materie de protecie a datelor n Uniune, ar
trebui ca dup adoptarea prezentului regulament s se aduc Regulamentului (CE) nr.
45/2001 adaptrile necesare, astfel nct acestea s poat fi aplicate odat cu prezentul
regulament.
(2)Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18
decembrie 2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu
caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a
acestor date (JO L 8, 12.1.2001, p. 1).
(18)Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal de ctre o
persoan fizic n cadrul unei activiti exclusiv personale sau domestice i care, prin urmare,
nu are legtur cu o activitate profesional sau comercial. Activitile personale sau
domestice ar putea include corespondena i repertoriul de adrese sau activitile din cadrul
reelelor sociale i activitile online desfurate n contextul respectivelor activiti. Cu toate
acestea, prezentul regulament se aplic operatorilor sau persoanelor mputernicite de
operatori care furnizeaz mijloacele de prelucrare a datelor cu caracter personal pentru astfel
de activiti personale sau domestice.
(19)Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal
de ctre autoritile competente n scopul prevenirii, investigrii, depistrii sau urmririi
penale a infraciunilor sau al executrii pedepselor, inclusiv al protejrii mpotriva
ameninrilor la adresa siguranei publice i al prevenirii acestora, precum i libera circulaie a
acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul
regulament nu ar trebui s se aplice activitilor de prelucrare n aceste scopuri. Cu toate
acestea, datele cu caracter personal prelucrate de ctre autoritile publice n temeiul
prezentului regulament, atunci cnd sunt utilizate n aceste scopuri, ar trebui s fie
reglementate printr-un act juridic mai specific al Uniunii, i anume Directiva (UE) 2016/680
a Parlamentului European i a Consiliului (1). Statele membre pot ncredina autoritilor
competente n sensul Directivei (UE) 2016/680 sarcini care nu sunt neaprat ndeplinite n
scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii
pedepselor, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al
prevenirii acestora, astfel nct prelucrarea datelor cu caracter personal pentru alte scopuri, n
msura n care se ncadreaz n domeniul de aplicare al dreptului Uniunii, s intre n domeniul
de aplicare al prezentului regulament.
(1)Directiva (UE) 2016/680 a Parlamentului European i a Consiliului din 27 aprilie 2016
privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de
ctre autoritile competente n scopul prevenirii, depistrii, investigrii sau urmririi penale a
infraciunilor sau al executrii pedepselor i privind libera circulaie a acestor date i de
abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul
Jurnal Oficial).
n ceea ce privete prelucrarea datelor cu caracter personal de ctre aceste autoriti
competente n scopuri care intr n domeniul de aplicare al prezentului regulament, statele
membre ar trebui s poat menine sau introduce dispoziii mai detaliate pentru a adapta
aplicarea normelor din prezentul regulament. Aceste dispoziii pot stabili mai precis cerine
specifice pentru prelucrarea datelor cu caracter personal de ctre respectivele autoriti
competente n aceste alte scopuri, innd seama de structura constituional, organizatoric i
administrativ a statului membru n cauz. Atunci cnd prelucrarea de date cu caracter
personal de ctre organisme private face obiectul prezentului regulament, prezentul
regulament ar trebui s prevad posibilitatea ca statele membre, n anumite condiii, s
impun prin lege restricii asupra anumitor obligaii i drepturi, n cazul n care asemenea
restricii constituie o msur necesar i proporional ntr-o societate democratic n scopul
garantrii unor interese specifice importante, printre care se numr sigurana public i
prevenirea, investigarea, depistarea i urmrirea penal a infraciunilor sau executarea
pedepselor, inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice i
prevenirea acestora. Acest lucru este relevant, de exemplu, n cadrul combaterii splrii de
bani sau al activitilor laboratoarelor criminalistice.
(20)Dei prezentul regulament se aplic, inter alia, activitilor instanelor i ale altor
autoriti judiciare, dreptul Uniunii sau al statelor membre ar putea s precizeze operaiunile
i procedurile de prelucrare n ceea ce privete prelucrarea datelor cu caracter personal de
ctre instane i alte autoriti judiciare. Prelucrarea datelor cu caracter personal nu ar trebui
s fie de competena autoritilor de supraveghere n cazul n care instanele i exercit
atribuiile judiciare, n scopul garantrii independenei sistemului judiciar n ndeplinirea
sarcinilor sale judiciare, inclusiv n luarea deciziilor. Supravegherea unor astfel de operaiuni
de prelucrare a datelor ar trebui s poat fi ncredinat unor organisme specifice din cadrul
sistemului judiciar al statului membru, care ar trebui s asigure n special respectarea
normelor prevzute de prezentul regulament, s sensibilizeze membrii sistemului judiciar cu
privire la obligaiile care le revin n temeiul prezentului regulament i s trateze plngerile n
legtur cu astfel de operaiuni de prelucrare a datelor.
(21)Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE a
Parlamentului European i a Consiliului (2), n special normelor privind rspunderea
furnizorilor intermediari de servicii prevzute la articolele 12-15 din directiva menionat.
Respectiva directiv i propune s contribuie la buna funcionare a pieei interne, prin
asigurarea liberei circulaii a serviciilor societii informaionale ntre statele membre.
(2)Directiva 2000/31/CE a Parlamentului European i a Consiliului din 8 iunie 2000 privind
anumite aspecte juridice ale serviciilor societii informaionale, n special ale comerului
electronic, pe piaa intern (directiva privind comerul electronic) (JO L 178, 17.7.2000, p. 1).
(22)Orice prelucrare a datelor cu caracter personal n cadrul activitilor unui sediu al unui
operator sau al unei persoane mputernicite de operator din Uniune ar trebui efectuat n
conformitate cu prezentul regulament, indiferent dac procesul de prelucrare n sine are loc
sau nu n cadrul Uniunii. Sediul implic exercitarea efectiv i real a unei activiti n cadrul
unor nelegeri stabile. Forma juridic a unor astfel de nelegeri, prin intermediul unei
sucursale sau al unei filiale cu personalitate juridic, nu este factorul determinant n aceast
privin.
(23)Pentru a se asigura c persoanele fizice nu sunt lipsite de protecia la care au dreptul n
temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor
vizate care se afl pe teritoriul Uniunii de ctre un operator sau o persoan mputernicit de
acesta care nu i are sediul n Uniune ar trebui s fac obiectul prezentului regulament n
cazul n care activitile de prelucrare au legtur cu oferirea de bunuri sau servicii unor astfel
de persoane vizate, indiferent dac acestea sunt sau nu legate de o plat. Pentru a determina
dac un astfel de operator sau o astfel de persoan mputernicit de operator ofer bunuri
sau servicii unor persoane vizate care se afl pe teritoriul Uniunii, ar trebui s se stabileasc
dac reiese c operatorul sau persoana mputernicit de operator intenioneaz s furnizeze
servicii persoanelor vizate din unul sau mai multe state membre din Uniune. ntruct simplul
fapt c exist acces la un site al operatorului, al persoanei mputernicite de operator sau al
unui intermediar n Uniune, c este disponibil o adres de e-mail i alte date de contact sau
c este utilizat o limb folosit n general n ara ter n care operatorul i are sediul este
insuficient pentru a confirma o astfel de intenie, factori precum utilizarea unei limbi sau a
unei monede utilizate n general n unul sau mai multe state membre cu posibilitatea de a
comanda bunuri i servicii n respectiva limb sau menionarea unor clieni sau utilizatori care
se afl pe teritoriul Uniunii pot conduce la concluzia c operatorul intenioneaz s ofere
bunuri sau servicii unor persoane vizate n Uniune.
(24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul
Uniunii de ctre un operator sau o persoan mputernicit de acesta care nu i are sediul n
Uniune ar trebui, de asemenea, s fac obiectul prezentului regulament n cazul n care este
legat de monitorizarea comportamentului unor astfel de persoane vizate, n msura n care
acest comportament se manifest pe teritoriul Uniunii. Pentru a se determina dac o
activitate de prelucrare poate fi considerat ca "monitorizare a comportamentului"
persoanelor vizate, ar trebui s se stabileasc dac persoanele fizice sunt urmrite pe
internet, inclusiv posibila utilizare ulterioar a unor tehnici de prelucrare a datelor cu caracter
personal care constau n crearea unui profil al unei persoane fizice, n special n scopul de a
lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la
preferinele personale, comportamentele i atitudinile acesteia.
(25)n cazul n care dreptul unui stat membru se aplic n temeiul dreptului internaional
public, prezentul regulament ar trebui s se aplice, de asemenea, unui operator care nu este
stabilit n Uniune, ci, de exemplu, ntr-o misiune diplomatic sau ntr-un oficiu consular al unui
stat membru.
(26)Principiile proteciei datelor ar trebui s se aplice oricrei informaii referitoare la o
persoan fizic identificat sau identificabil. Datele cu caracter personal care au fost supuse
pseudonimizrii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaii
suplimentare, ar trebui considerate informaii referitoare la o persoan fizic identificabil.
Pentru a se determina dac o persoan fizic este identificabil, ar trebui s se ia n
considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, n mod
rezonabil, s le utilizeze fie operatorul, fie o alt persoan, n scopul identificrii, n mod direct
sau indirect, a persoanei fizice respective. Pentru a se determina dac este probabil, n mod
rezonabil, s fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luai n
considerare toi factorii obiectivi, precum costurile i intervalul de timp necesare pentru
identificare, inndu-se seama att de tehnologia disponibil la momentul prelucrrii, ct i de
dezvoltarea tehnologic. Principiile proteciei datelor ar trebui, prin urmare, s nu se aplice
informaiilor anonime, adic informaiilor care nu sunt legate de o persoan fizic identificat
sau identificabil sau datelor cu caracter personal care sunt anonimizate astfel nct persoana
vizat nu este sau nu mai este identificabil. Prin urmare, prezentul regulament nu se aplic
prelucrrii unor astfel de informaii anonime, inclusiv n cazul n care acestea sunt utilizate n
scopuri statistice sau de cercetare.
(27)Prezentul regulament nu se aplic datelor cu caracter personal referitoare la persoane
decedate. Statele membre pot s prevad norme privind prelucrarea datelor cu caracter
personal referitoare la persoane decedate.
(28)Aplicarea pseudonimizrii datelor cu caracter personal poate reduce riscurile pentru
persoanele vizate i poate ajuta operatorii i persoanele mputernicite de acetia s i
ndeplineasc obligaiile de protecie a datelor. Introducerea explicit a conceptului de
"pseudonimizare" n prezentul regulament nu este destinat s mpiedice alte eventuale
msuri de protecie a datelor.
(29)Pentru a crea stimulente pentru aplicarea pseudonimizrii atunci cnd sunt prelucrate
date cu caracter personal, ar trebui s fie posibile msuri de pseudonimizare, permind n
acelai timp analiza general, n cadrul aceluiai operator atunci cnd operatorul a luat
msurile tehnice i organizatorice necesare pentru a se asigura c prezentul regulament este
pus n aplicare n ceea ce privete respectiva prelucrare a datelor i c informaiile
suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt
pstrate separat. Operatorul care prelucreaz datele cu caracter personal ar trebui s indice
persoanele autorizate din cadrul aceluiai operator.
(30)Persoanele fizice pot fi asociate cu identificatorii online furnizai de dispozitivele,
aplicaiile, instrumentele i protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau ali
identificatori precum etichetele de identificare prin frecvene radio. Acetia pot lsa urme
care, n special atunci cnd sunt combinate cu identificatori unici i alte informaii primite de
servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice i pentru identificarea
lor.
(31)Autoritile publice crora le sunt divulgate date cu caracter personal n conformitate cu
o obligaie legal n vederea exercitrii funciei lor oficiale, cum ar fi autoritile fiscale i
vamale, unitile de investigare financiar, autoritile administrative independente sau
autoritile pieelor financiare responsabile de reglementarea i supravegherea pieelor
titlurilor de valoare, nu ar trebui s fie considerate destinatari n cazul n care primesc date cu
caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes
general, n conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare
trimise de autoritile publice ar trebui s fie ntotdeauna prezentate n scris, motivate i
ocazionale i nu ar trebui s se refere la un sistem de eviden n totalitate sau s conduc la
interconectarea sistemelor de eviden. Prelucrarea datelor cu caracter personal de ctre
autoritile publice respective ar trebui s respecte normele aplicabile n materie de protecie
a datelor n conformitate cu scopurile prelucrrii.
(32)Consimmntul ar trebui acordat printr-o aciune neechivoc care s constituie o
manifestare liber exprimat, specific, n cunotin de cauz i clar a acordului persoanei
vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraie fcut
n scris, inclusiv n format electronic, sau verbal. Acesta ar putea include bifarea unei csue
atunci cnd persoana viziteaz un site, alegerea parametrilor tehnici pentru serviciile societii
informaionale sau orice alt declaraie sau aciune care indic n mod clar n acest context
acceptarea de ctre persoana vizat a prelucrrii propuse a datelor sale cu caracter personal.
Prin urmare, absena unui rspuns, csuele bifate n prealabil sau absena unei aciuni nu ar
trebui s constituie un consimmnt. Consimmntul ar trebui s vizeze toate activitile de
prelucrare efectuate n acelai scop sau n aceleai scopuri. Dac prelucrarea datelor se face
n mai multe scopuri, consimmntul ar trebui dat pentru toate scopurile prelucrrii. n cazul
n care consimmntul persoanei vizate trebuie acordat n urma unei cereri transmise pe cale
electronic, cererea respectiv trebuie s fie clar i concis i s nu perturbe n mod inutil
utilizarea serviciului pentru care se acord consimmntul.
(33)Adesea nu este posibil, n momentul colectrii datelor cu caracter personal, s se
identifice pe deplin scopul prelucrrii datelor n scopuri de cercetare tiinific. Din acest
motiv, persoanelor vizate ar trebui s li se permit s i exprime consimmntul pentru
anumite domenii ale cercetrii tiinifice atunci cnd sunt respectate standardele etice
recunoscute pentru cercetarea tiinific. Persoanele vizate ar trebui s aib posibilitatea de
a-i exprima consimmntul doar pentru anumite domenii de cercetare sau pri ale
proiectelor de cercetare n msura permis de scopul preconizat.
(34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la
caracteristicile genetice motenite sau dobndite ale unei persoane fizice, care rezult n
urma unei analize a unei mostre de material biologic al persoanei fizice n cauz, n special a
unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului
ribonucleic (ARN) sau a unei analize a oricrui alt element ce permite obinerea unor
informaii echivalente.
(35)Datele cu caracter personal privind sntatea ar trebui s includ toate datele avnd
legtur cu starea de sntate a persoanei vizate care dezvluie informaii despre starea de
sntate fizic sau mental trecut, prezent sau viitoare a persoanei vizate. Acestea includ
informaii despre persoana fizic colectate n cadrul nscrierii acesteia la serviciile de asisten
medical sau n cadrul acordrii serviciilor respective persoanei fizice n cauz, astfel cum sunt
menionate n Directiva 2011/24/UE a Parlamentului European i a Consiliului (1); un
numr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea
singular a acesteia n scopuri medicale; informaii rezultate din testarea sau examinarea unei
pri a corpului sau a unei substane corporale, inclusiv din date genetice i eantioane de
material biologic; precum i orice informaii privind, de exemplu, o boal, un handicap, un risc
de mbolnvire, istoricul medical, tratamentul clinic sau starea fiziologic sau biomedical a
persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru
medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
(1)Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9 martie 2011 privind
aplicarea drepturilor pacienilor n cadrul asistenei medicale transfrontaliere (JO L 88,
4.4.2011, p. 45).
(36)Sediul principal al unui operator n Uniune ar trebui s fie locul n care se afl
administraia central a acestuia n Uniune, cu excepia cazului n care deciziile privind
scopurile i mijloacele de prelucrare a datelor cu caracter personal se iau ntr-un alt sediu al
operatorului n Uniune. n acest caz, acesta din urm ar trebui considerat drept sediul
principal. Sediul principal al unui operator n Uniune ar trebui s fie determinat conform unor
criterii obiective i ar trebui s implice exercitarea efectiv i real a unor activiti de
gestionare care s determine principalele decizii cu privire la scopurile i mijloacele de
prelucrare n cadrul unor nelegeri stabile. Acest criteriu nu ar trebui s depind de realizarea
prelucrrii datelor cu caracter personal n locul respectiv. Prezena i utilizarea mijloacelor
tehnice i a tehnologiilor de prelucrare a datelor cu caracter personal sau activitile de
prelucrare nu constituie un sediu principal i, prin urmare, nu sunt criteriul determinant n
acest sens. Sediul principal al persoanei mputernicite de operator ar trebui s fie locul n care
se afl administraia central a acestuia n Uniune sau, n cazul n care nu are o administraie
central n Uniune, locul n care se desfoar principalele activiti de prelucrare n Uniune.
n cazurile care implic att operatorul, ct i persoana mputernicit de operator, autoritatea
de supraveghere principal competent ar trebui s rmn autoritatea de supraveghere a
statului membru n care operatorul i are sediul principal, dar autoritatea de supraveghere a
persoanei mputernicite de operator ar trebui considerat ca fiind o autoritate de
supraveghere vizat i acea autoritate de supraveghere ar trebui s participe la procedura de
cooperare prevzut de prezentul regulament. n orice caz, autoritile de supraveghere ale
statului membru sau ale statelor membre n care persoana mputernicit de operator are unul
sau mai multe sedii nu ar trebui considerate ca fiind autoriti de supraveghere vizate n cazul
n care proiectul de decizie nu se refer dect la operator. n cazul n care prelucrarea este
efectuat de un grup de ntreprinderi, sediul principal al ntreprinderii care exercit controlul
ar trebui considerat drept sediul principal al grupului de ntreprinderi, cu excepia cazului n
care scopurile i mijloacele aferente prelucrrii sunt stabilite de o alt ntreprindere.
(37)Un grup de ntreprinderi ar trebui s cuprind o ntreprindere care exercit controlul i
ntreprinderile controlate de aceasta, n cadrul cruia ntreprinderea care exercit controlul ar
trebui s fie ntreprinderea care poate exercita o influen dominant asupra celorlalte
ntreprinderi, de exemplu n temeiul proprietii, al participrii financiare sau al regulilor care
o reglementeaz sau al competenei de a pune n aplicare norme n materie de protecie a
datelor cu caracter personal. O ntreprindere care controleaz prelucrarea datelor cu caracter
personal n ntreprinderile sale afiliate ar trebui considerat, mpreun cu acestea din urm,
drept "grup de ntreprinderi".
(38)Copiii au nevoie de o protecie specific a datelor lor cu caracter personal, ntruct pot fi
mai puin contieni de riscurile, consecinele, garaniile n cauz i drepturile lor n ceea ce
privete prelucrarea datelor cu caracter personal. Aceast protecie specific ar trebui s se
aplice n special utilizrii datelor cu caracter personal ale copiilor n scopuri de marketing sau
pentru crearea de profiluri de personalitate sau de utilizator i la colectarea datelor cu
caracter personal privind copiii n momentul utilizrii serviciilor oferite direct copiilor.
Consimmntul titularului rspunderii printeti nu ar trebui s fie necesar n contextul
serviciilor de prevenire sau consiliere oferite direct copiilor.
(39)Orice prelucrare de date cu caracter personal ar trebui s fie legal i echitabil. Ar
trebui s fie transparent pentru persoanele fizice c sunt colectate, utilizate, consultate sau
prelucrate n alt mod datele cu caracter personal care le privesc i n ce msur datele cu
caracter personal sunt sau vor fi prelucrate. Principiul transparenei prevede c orice
informaii i comunicri referitoare la prelucrarea respectivelor date cu caracter personal sunt
uor accesibile i uor de neles i c se utilizeaz un limbaj simplu i clar. Acest principiu se
refer n special la informarea persoanelor vizate privind identitatea operatorului i scopurile
prelucrrii, precum i la oferirea de informaii suplimentare, pentru a asigura o prelucrare
echitabil i transparent n ceea ce privete persoanele fizice vizate i dreptul acestora de a
li se confirma i comunica datele cu caracter personal care le privesc care sunt prelucrate.
Persoanele fizice ar trebui informate cu privire la riscurile, normele, garaniile i drepturile n
materie de prelucrare a datelor cu caracter personal i cu privire la modul n care s i
exercite drepturile n legtur cu prelucrarea. n special, scopurile specifice n care datele cu
caracter personal sunt prelucrate ar trebui s fie explicite i legitime i s fie determinate la
momentul colectrii datelor respective. Datele cu caracter personal ar trebui s fie adecvate,
relevante i limitate la ceea ce este necesar pentru scopurile n care sunt prelucrate. Aceasta
necesit, n special, asigurarea faptului c perioada pentru care datele cu caracter personal
sunt stocate este limitat strict la minimum. Datele cu caracter personal ar trebui prelucrate
doar dac scopul prelucrrii nu poate fi ndeplinit n mod rezonabil prin alte mijloace. n
vederea asigurrii faptului c datele cu caracter personal nu sunt pstrate mai mult timp
dect este necesar, ar trebui s se stabileasc de ctre operator termene pentru tergere sau
revizuirea periodic. Ar trebui s fie luate toate msurile rezonabile pentru a se asigura c
datele cu caracter personal care sunt inexacte sunt rectificate sau terse. Datele cu caracter
personal ar trebui prelucrate ntr-un mod care s asigure n mod adecvat securitatea i
confidenialitatea acestora, inclusiv n scopul prevenirii accesului neautorizat la acestea sau
utilizarea neautorizat a datelor cu caracter personal i a echipamentului utilizat pentru
prelucrare.
(40)Pentru ca prelucrarea datelor cu caracter personal s fie legal, aceasta ar trebui
efectuat pe baza consimmntului persoanei vizate sau n temeiul unui alt motiv legitim,
prevzut de lege, fie n prezentul regulament, fie n alt act din dreptul Uniunii sau din dreptul
intern, dup cum se prevede n prezentul regulament, inclusiv necesitatea respectrii
obligaiilor legale la care este supus operatorul sau necesitatea de a executa un contract la
care persoana vizat este parte sau pentru a parcurge etapele premergtoare ncheierii unui
contract, la solicitarea persoanei vizate.
(41)Ori de cte ori prezentul regulament face trimitere la un temei juridic sau la o msur
legislativ, aceasta nu necesit neaprat un act legislativ adoptat de ctre un parlament, fr
a aduce atingere cerinelor care decurg din ordinea constituional a statului membru n
cauz. Cu toate acestea, un astfel de temei juridic sau o astfel de msur legislativ ar trebui
s fie clar i precis, iar aplicarea acesteia ar trebui s fie previzibil pentru persoanele
vizate de aceasta, n conformitate cu jurisprudena Curii de Justiie a Uniunii Europene
("Curtea de Justiie") i a Curii Europene a Drepturilor Omului.
(42)n cazul n care prelucrarea se bazeaz pe consimmntul persoanei vizate, operatorul
ar trebui s fie n msur s demonstreze faptul c persoana vizat i-a dat consimmntul
pentru operaiunea de prelucrare. n special, n contextul unei declaraii scrise cu privire la un
alt aspect, garaniile ar trebui s asigure c persoana vizat este contient de faptul c i-a
dat consimmntul i n ce msur a fcut acest lucru. n conformitate cu Directiva
93/13/CEE a Consiliului (1), ar trebui furnizat o declaraie de consimmnt formulat n
prealabil de ctre operator, ntr-o form inteligibil i uor accesibil, utiliznd un limbaj clar
i simplu, iar aceast declaraie nu ar trebui s conin clauze abuzive. Pentru ca acordarea
consimmntului s fie n cunotin de cauz, persoana vizat ar trebui s fie la curent cel
puin cu identitatea operatorului i cu scopurile prelucrrii pentru care sunt destinate datele
cu caracter personal. Consimmntul nu ar trebui considerat ca fiind acordat n mod liber
dac persoana vizat nu dispune cu adevrat de libertatea de alegere sau nu este n msur
s refuze sau s i retrag consimmntul fr a fi prejudiciat.
(1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive n contractele
ncheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(43)Pentru a garanta faptul c a fost acordat n mod liber, consimmntul nu ar trebui s
constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal n cazul
particular n care exist un dezechilibru evident ntre persoana vizat i operator, n special n
cazul n care operatorul este o autoritate public, iar acest lucru face improbabil acordarea
consimmntului n mod liber n toate circumstanele aferente respectivei situaii particulare.
Consimmntul este considerat a nu fi acordat n mod liber n cazul n care aceasta nu
permite s se acorde consimmntul separat pentru diferitele operaiuni de prelucrare a
datelor cu caracter personal, dei acest lucru este adecvat n cazul particular, sau dac
executarea unui contract, inclusiv furnizarea unui serviciu, este condiionat de
consimmnt, n ciuda faptului c consimmntul n cauz nu este necesar pentru
executarea contractului.
(44)Prelucrarea ar trebui s fie considerat legal n cazul n care este necesar n cadrul
unui contract sau n vederea ncheierii unui contract.
(45)n cazul n care prelucrarea este efectuat n conformitate cu o obligaie legal a
operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini
care servete unui interes public sau care face parte din exercitarea autoritii publice,
prelucrarea ar trebui s aib un temei n dreptul Uniunii sau n dreptul intern. Prezentul
regulament nu impune existena unei legi specifice pentru fiecare prelucrare n parte. Poate fi
suficient o singur lege drept temei pentru mai multe operaiuni de prelucrare efectuate n
conformitate cu o obligaie legal a operatorului sau n cazul n care prelucrarea este
necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care face parte
din exercitarea autoritii publice. De asemenea, ar trebui ca scopul prelucrrii s fie stabilit n
dreptul Uniunii sau n dreptul intern. Mai mult dect att, dreptul respectiv ar putea s
specifice condiiile generale ale prezentului regulament care reglementeaz legalitatea
prelucrrii datelor cu caracter personal, s determine specificaiile pentru stabilirea
operatorului, a tipului de date cu caracter personal care fac obiectul prelucrrii, a persoanelor
vizate, a entitilor crora le pot fi divulgate datele cu caracter personal, a limitrilor n funcie
de scop, a perioadei de stocare i a altor msuri pentru a garanta o prelucrare legal i
echitabil. De asemenea, ar trebui s se stabileasc n dreptul Uniunii sau n dreptul intern
dac operatorul care ndeplinete o sarcin care servete unui interes public sau care face
parte din exercitarea autoritii publice ar trebui s fie o autoritate public sau o alt
persoan fizic sau juridic guvernat de dreptul public sau, atunci cnd motive de interes
public justific acest lucru, inclusiv n scopuri medicale, precum sntatea public i protecia
social, precum i gestionarea serviciilor de asisten medical, de dreptul privat, cum ar fi o
asociaie profesional.
(46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s fie considerat
legal n cazul n care este necesar n scopul asigurrii proteciei unui interes care este
esenial pentru viaa persoanei vizate sau pentru viaa unei alte persoane fizice. Prelucrarea
datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice
ar trebui efectuat numai n cazul n care prelucrarea nu se poate baza n mod evident pe un
alt temei juridic. Unele tipuri de prelucrare pot servi att unor motive importante de interes
public, ct i intereselor vitale ale persoanei vizate, de exemplu n cazul n care prelucrarea
este necesar n scopuri umanitare, inclusiv n vederea monitorizrii unei epidemii i a
rspndirii acesteia sau n situaii de urgene umanitare, n special n situaii de dezastre
naturale sau provocate de om.
(47)Interesele legitime ale unui operator, inclusiv cele ale unui operator cruia i pot fi
divulgate datele cu caracter personal sau ale unei tere pri, pot constitui un temei juridic
pentru prelucrare, cu condiia s nu prevaleze interesele sau drepturile i libertile
fundamentale ale persoanei vizate, lund n considerare ateptrile rezonabile ale persoanelor
vizate bazate pe relaia acestora cu operatorul. Acest interes legitim ar putea exista, de
exemplu, atunci cnd exist o relaie relevant i adecvat ntre persoana vizat i operator,
cum ar fi cazul n care persoana vizat este un client al operatorului sau se afl n serviciul
acestuia. n orice caz, existena unui interes legitim ar necesita o evaluare atent, care s
stabileasc inclusiv dac o persoan vizat poate preconiza n mod rezonabil, n momentul i
n contextul colectrii datelor cu caracter personal, posibilitatea prelucrrii n acest scop.
Interesele i drepturile fundamentale ale persoanei vizate ar putea prevala n special n raport
cu interesul operatorului de date atunci cnd datele cu caracter personal sunt prelucrate n
circumstane n care persoanele vizate nu preconizeaz n mod rezonabil o prelucrare
ulterioar. ntruct legiuitorul trebuie s furnizeze temeiul juridic pentru prelucrarea datelor
cu caracter personal de ctre autoritile publice, temeiul juridic respectiv nu ar trebui s se
aplice prelucrrii de ctre autoritile publice n ndeplinirea sarcinilor care le revin.
Prelucrarea de date cu caracter personal strict necesar n scopul prevenirii fraudelor
constituie, de asemenea, un interes legitim al operatorului de date n cauz. Prelucrarea de
date cu caracter personal care are drept scop marketingul direct poate fi considerat ca fiind
desfurat pentru un interes legitim.
(48)Operatorii care fac parte dintr-un grup de ntreprinderi sau instituii afiliate unui
organism central pot avea un interes legitim de a transmite date cu caracter personal n
cadrul grupului de ntreprinderi n scopuri administrative interne, inclusiv n scopul prelucrrii
datelor cu caracter personal ale clienilor sau angajailor. Principiile generale ale transferului
de date cu caracter personal, n cadrul unui grup de ntreprinderi, ctre o ntreprindere
situat ntr-o ar ter rmn neschimbate.
(49)Prelucrarea datelor cu caracter personal n msura strict necesar i proporional n
scopul asigurrii securitii reelelor i a informaiilor, i anume capacitatea unei reele sau a
unui sistem de informaii de a face fa, la un anumit nivel de ncredere, evenimentelor
accidentale sau aciunilor ilegale sau ru intenionate care compromit disponibilitatea,
autenticitatea, integritatea i confidenialitatea datelor cu caracter personal stocate sau
transmise, precum i securitatea serviciilor conexe oferite de aceste reele i sisteme, sau
accesibile prin intermediul acestora, de ctre autoritile publice, echipele de intervenie n
caz de urgen informatic, echipele de intervenie n cazul producerii unor incidente care
afecteaz securitatea informatic, furnizorii de reele i servicii de comunicaii electronice,
precum i de ctre furnizorii de servicii i tehnologii de securitate, constituie un interes legitim
al operatorului de date n cauz. Acesta ar putea include, de exemplu, prevenirea accesului
neautorizat la reelele de comunicaii electronice i a difuzrii de coduri duntoare i oprirea
atacurilor de "blocare a serviciului", precum i prevenirea daunelor aduse calculatoarelor i
sistemelor de comunicaii electronice.
(50)Prelucrarea datelor cu caracter personal n alte scopuri dect scopurile pentru care
datele cu caracter personal au fost iniial colectate ar trebui s fie permis doar atunci cnd
prelucrarea este compatibil cu scopurile respective pentru care datele cu caracter personal
au fost iniial colectate. n acest caz nu este necesar un temei juridic separat de cel pe baza
cruia a fost permis colectarea datelor cu caracter personal. n cazul n care prelucrarea este
necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din
exercitarea autoritii publice cu care este nvestit operatorul, dreptul Uniunii sau dreptul
intern poate stabili i specifica sarcinile i scopurile pentru care prelucrarea ulterioar ar
trebui considerat a fi compatibil i legal. Prelucrarea ulterioar n scopuri de arhivare n
interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice ar trebui
considerat ca reprezentnd operaiuni de prelucrare legale compatibile. Temeiul juridic
prevzut n dreptul Uniunii sau n dreptul intern pentru prelucrarea datelor cu caracter
personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioar. Pentru
a stabili dac scopul prelucrrii ulterioare este compatibil cu scopul pentru care au fost
colectate iniial datele cu caracter personal, operatorul, dup ce a ndeplinit toate cerinele
privind legalitatea prelucrrii iniiale, ar trebui s in seama, printre altele, de orice legtur
ntre respectivele scopuri i scopurile prelucrrii ulterioare preconizate, de contextul n care au
fost colectate datele cu caracter personal, n special de ateptrile rezonabile ale persoanelor
vizate, bazate pe relaia lor cu operatorul, n ceea ce privete utilizarea ulterioar a datelor,
de natura datelor cu caracter personal, de consecinele prelucrrii ulterioare preconizate
asupra persoanelor vizate, precum i de existena garaniilor corespunztoare att n cadrul
operaiunilor de prelucrare iniiale, ct i n cadrul operaiunilor de prelucrare ulterioare
preconizate.
n cazul n care persoana vizat i-a dat consimmntul sau prelucrarea se bazeaz pe
dreptul Uniunii sau pe dreptul intern, care constituie o msur necesar i proporional ntr-o
societate democratic pentru a proteja, n special, obiective importante de interes public
general, operatorul ar trebui s aib posibilitatea de a prelucra n continuare datele cu
caracter personal, indiferent de compatibilitatea scopurilor. n orice caz, aplicarea principiilor
stabilite de prezentul regulament i, n special, informarea persoanei vizate cu privire la
aceste alte scopuri i la drepturile sale, inclusiv dreptul la opoziie, ar trebui s fie garantate.
Indicarea unor posibile infraciuni sau ameninri la adresa siguranei publice de ctre
operator i transmiterea ctre o autoritate competent a datelor cu caracter personal
relevante n cazuri individuale sau n mai multe cazuri legate de aceeai infraciune sau de
aceleai ameninri la adresa siguranei publice ar trebui considerat ca fiind n interesul
legitim urmrit de operator. Cu toate acestea, o astfel de transmitere n interesul legitim al
operatorului sau prelucrarea ulterioar a datelor cu caracter personal ar trebui interzis n
cazul n care prelucrarea nu este compatibil cu o obligaie legal, profesional sau cu o alt
obligaie de pstrare a confidenialitii.
(51)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile n ceea ce
privete drepturile i libertile fundamentale necesit o protecie specific, deoarece
contextul prelucrrii acestora ar putea genera riscuri considerabile la adresa drepturilor i
libertilor fundamentale. Aceste date cu caracter personal ar trebui s includ datele cu
caracter personal care dezvluie originea rasial sau etnic, utilizarea termenului "origine
rasial" n prezentul regulament neimplicnd o acceptare de ctre Uniune a teoriilor care
urmresc s stabileasc existena unor rase umane separate. Prelucrarea fotografiilor nu ar
trebui s fie considerat n mod sistematic ca fiind o prelucrare de categorii speciale de date
cu caracter personal, ntruct fotografiile intr sub incidena definiiei datelor biometrice doar
n cazurile n care sunt prelucrate prin mijloace tehnice specifice care permit identificarea
unic sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar
trebui prelucrate, cu excepia cazului n care prelucrarea este permis n cazuri specifice
prevzute de prezentul regulament, innd seama de faptul c dreptul statelor membre poate
prevedea dispoziii specifice cu privire la protecia datelor n scopul adaptrii aplicrii normelor
din prezentul regulament n vederea respectrii unei obligaii legale sau a ndeplinirii unei
sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu
care este nvestit operatorul. Pe lng cerinele specifice pentru o astfel de prelucrare, ar
trebui s se aplice principiile generale i alte norme prevzute de prezentul regulament, n
special n ceea ce privete condiiile pentru prelucrarea legal. Ar trebui prevzute n mod
explicit derogri de la interdicia general de prelucrare a acestor categorii speciale de date
cu caracter personal, printre altele atunci cnd persoana vizat i d consimmntul explicit
sau n ceea ce privete nevoile specifice n special atunci cnd prelucrarea este efectuat n
cadrul unor activiti legitime de ctre anumite asociaii sau fundaii al cror scop este de a
permite exercitarea libertilor fundamentale.
(52)Derogarea de la interdicia privind prelucrarea categoriilor speciale de date cu caracter
personal ar trebui s fie permis, de asemenea, n cazul n care dreptul Uniunii sau dreptul
intern prevede acest lucru i ar trebui s fac obiectul unor garanii adecvate, astfel nct s
fie protejate datele cu caracter personal i alte drepturi fundamentale, atunci cnd acest lucru
se justific din motive de interes public, n special n cazul prelucrrii datelor cu caracter
personal n domeniul legislaiei privind ocuparea forei de munc, protecia social, inclusiv
pensiile, precum i n scopuri de securitate, supraveghere i alert n materie de sntate,
pentru prevenirea sau controlul bolilor transmisibile i a altor ameninri grave la adresa
sntii. Aceast derogare poate fi acordat n scopuri medicale, inclusiv sntatea public i
gestionarea serviciilor de asisten medical, n special n vederea asigurrii calitii i
eficienei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluionarea
cererilor de prestaii i servicii n cadrul sistemului de asigurri de sntate, sau n scopuri de
arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice.
De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permis, printr-
o derogare, atunci cnd este necesar pentru constatarea, exercitarea sau aprarea unui
drept n justiie, indiferent dac are loc n cadrul unei proceduri n faa unei instane sau n
cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.
(53)Categoriile speciale de date cu caracter personal care necesit un nivel mai ridicat de
protecie ar trebui prelucrate doar n scopuri legate de sntate atunci cnd este necesar
pentru realizarea acestor scopuri n beneficiul persoanelor fizice i al societii n general, n
special n contextul gestionrii serviciilor i sistemelor de sntate sau de asisten social,
inclusiv prelucrarea acestor date de ctre autoritile de management i de ctre autoritile
centrale naionale din domeniul sntii n scopul controlului calitii, furnizrii de informaii
de gestiune i al supravegherii generale a sistemului de sntate sau de asisten social la
nivel naional i local, precum i n contextul asigurrii continuitii asistenei medicale sau
sociale i a asistenei medicale transfrontaliere ori n scopuri de securitate, supraveghere i
alert n materie de sntate ori n scopuri de arhivare n interes public, n scopuri de
cercetare tiinific sau istoric ori n scopuri statistice n temeiul dreptului Uniunii sau al
dreptului intern, care trebuie s urmreasc un obiectiv de interes public, precum i n cazul
studiilor realizate n interes public n domeniul sntii publice. Prin urmare, prezentul
regulament ar trebui s prevad condiii armonizate pentru prelucrarea categoriilor speciale
de date cu caracter personal privind sntatea, n ceea ce privete nevoile specifice, n special
atunci cnd prelucrarea acestor date este efectuat n anumite scopuri legate de sntate de
ctre persoane care fac obiectul unei obligaii legale de a pstra secretul profesional. Dreptul
Uniunii sau dreptul intern ar trebui s prevad msuri specifice i adecvate pentru a proteja
drepturile fundamentale i datele cu caracter personal ale persoanelor fizice. Statele membre
ar trebui s aib posibilitatea de a menine sau de a introduce condiii suplimentare, inclusiv
restricii, n ceea ce privete prelucrarea datelor genetice, a datelor biometrice sau a datelor
privind sntatea. Totui, acest lucru nu ar trebui s mpiedice libera circulaie a datelor cu
caracter personal n cadrul Uniunii atunci cnd aceste condiii se aplic prelucrrii
transfrontaliere a unor astfel de date.
(54)Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesar din
motive de interes public n domeniile sntii publice, fr consimmntul persoanei vizate.
O astfel de prelucrare ar trebui condiionat de msuri adecvate i specifice destinate s
protejeze drepturile i libertile persoanelor fizice. n acest context, conceptul de "sntate
public" ar trebui interpretat astfel cum este definit n Regulamentul (CE) nr. 1338/2008 al
Parlamentului European i al Consiliului (1), i anume toate elementele referitoare la sntate
i anume starea de sntate, inclusiv morbiditatea sau handicapul, factorii determinani care
au efect asupra strii de sntate, necesitile n domeniul asistenei medicale, resursele
alocate asistenei medicale, furnizarea asistenei medicale i asigurarea accesului universal la
aceasta, precum i cheltuielile i sursele de finanare n domeniul sntii i cauzele
mortalitii. Aceast prelucrare a datelor privind sntatea din motive de interes public nu ar
trebui s duc la prelucrarea acestor date n alte scopuri de ctre pri tere, cum ar fi
angajatorii sau societile de asigurri i bncile.
(1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al Consiliului din 16
decembrie 2008 privind statisticile comunitare referitoare la sntatea public, precum i la
sntatea i sigurana la locul de munc (JO L 354, 31.12.2008, p. 70).
(55)n plus, prelucrarea datelor cu caracter personal de ctre autoritile publice n vederea
realizrii obiectivelor prevzute de dreptul constituional sau de dreptul internaional public,
ale asociaiilor religioase recunoscute oficial se efectueaz din motive de interes public.
(56)n cazul n care, n cadrul activitilor electorale, funcionarea sistemului democratic
necesit, ntr-un stat membru, ca partidele politice s colecteze date cu caracter personal
privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permis din
motive de interes public, cu condiia s se prevad garaniile corespunztoare.
(57)Dac datele cu caracter personal prelucrate de un operator nu i permit acestuia s
identifice o persoan fizic, operatorul de date nu ar trebui s aib obligaia de a obine
informaii suplimentare n vederea identificrii persoanei vizate, cu unicul scop de a respecta
oricare dintre dispoziiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui s
refuze s preia informaiile suplimentare furnizate de persoana vizat cu scopul de a sprijini
exercitarea drepturilor acesteia. Identificarea ar trebui s includ identificarea digital a unei
persoane vizate, de exemplu prin mecanisme de autentificare precum aceleai acreditri
utilizate de ctre persoana vizat pentru a accesa serviciile online oferite de operatorul de
date.
(58)Principiul transparenei prevede c orice informaii care se adreseaz publicului sau
persoanei vizate s fie concise, uor accesibile i uor de neles i s se utilizeze un limbaj
simplu i clar, precum i vizualizare acolo unde este cazul. Aceste informaii ar putea fi
furnizate n format electronic, de exemplu atunci cnd sunt adresate publicului, prin
intermediul unui site. Acest lucru este important n special n situaii n care datorit
multitudinii actorilor i a complexitii, din punct de vedere tehnologic, a practicii, este dificil
ca persoana vizat s tie i s neleag dac datele cu caracter personal care o privesc sunt
colectate, de ctre cine i n ce scop, cum este cazul publicitii online. ntruct copii necesit
o protecie specific, orice informaii i orice comunicare, n cazul n care prelucrarea vizeaz
un copil, ar trebui s fie exprimate ntr-un limbaj simplu i clar, astfel nct copilul s l poat
nelege cu uurin.
(59)Ar trebui s fie prevzute modaliti de facilitare a exercitrii de ctre persoana vizat a
drepturilor care i sunt conferite prin prezentul regulament, inclusiv mecanismele prin care
aceasta poate solicita i, dac este cazul, obine, n mod gratuit, n special, acces la datele cu
caracter personal, precum i rectificarea sau tergerea acestora, i exercitarea dreptului la
opoziie. Operatorul ar trebui s ofere, de asemenea, modaliti de introducere a cererilor pe
cale electronic, mai ales n cazul n care datele cu caracter personal sunt prelucrate prin
mijloace electronice. Operatorul ar trebui s aib obligaia de a rspunde cererilor
persoanelor vizate fr ntrzieri nejustificate i cel trziu n termen de o lun i, n cazul n
care nu intenioneaz s se conformeze respectivele cereri, s motiveze acest refuz.
(60)Conform principiilor prelucrrii echitabile i transparente, persoana vizat este informat
cu privire la existena unei operaiuni de prelucrare i la scopurile acesteia. Operatorul ar
trebui s furnizeze persoanei vizate orice informaii suplimentare necesare pentru a asigura o
prelucrare echitabil i transparent, innd seama de circumstanele specifice i de contextul
n care sunt prelucrate datele cu caracter personal. n plus, persoana vizat ar trebui
informat cu privire la crearea de profiluri, precum i la consecinele acesteia. Atunci cnd
datele cu caracter personal sunt colectate de la persoana vizat, aceasta ar trebui informat,
de asemenea, dac are obligaia de a furniza datele cu caracter personal i care sunt
consecinele n cazul unui refuz. Aceste informaii pot fi furnizate n combinaie cu pictograme
standardizate pentru a oferi ntr-un mod uor vizibil, inteligibil i clar lizibil o imagine de
ansamblu semnificativ asupra prelucrrii avute n vedere. n cazul n care pictogramele sunt
prezentate n format electronic, acestea ar trebui s poat fi citite automat.
(61)Informaiile n legtur cu prelucrarea datelor cu caracter personal referitoare la
persoana vizat ar trebui furnizate acesteia la momentul colectrii de la persoana vizat sau,
n cazul n care datele cu caracter personal sunt obinute din alt surs, ntr-o perioad
rezonabil, n funcie de circumstanele cazului. n cazul n care datele cu caracter personal
pot fi divulgate n mod legitim unui alt destinatar, persoana vizat ar trebui informat atunci
cnd datele cu caracter personal sunt divulgate pentru prima dat destinatarului. n cazul n
care operatorul intenioneaz s prelucreze datele cu caracter personal ntr-un alt scop dect
cel pentru care acestea au fost colectate, operatorul ar trebui s furnizeze persoanei vizate,
nainte de aceast prelucrare ulterioar, informaii privind scopul secundar respectiv i alte
informaii necesare. n cazul n care originea datelor cu caracter personal nu a putut fi
comunicat persoanei vizate din cauz c au fost utilizate surse diverse, informaiile generale
ar trebui furnizate.
(62)Cu toate acestea, nu este necesar impunerea obligaiei de a furniza informaii n cazul
n care persoana vizat deine deja informaiile, n cazul n care nregistrarea sau divulgarea
datelor cu caracter personal este prevzut n mod expres de lege sau n cazul n care
informarea persoanei vizate se dovedete imposibil sau ar implica eforturi disproporionate.
Acesta din urm ar putea fi cazul n special atunci cnd prelucrarea se efectueaz n scopuri
de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri
statistice. n aceast privin, ar trebui luate n considerare numrul persoanelor vizate,
vechimea datelor i orice garanii adecvate adoptate.
(63)O persoan vizat ar trebui s aib drept de acces la datele cu caracter personal
colectate care o privesc i ar trebui s i exercite acest drept cu uurin i la intervale de
timp rezonabile, pentru a fi informat cu privire la prelucrare i pentru a verifica legalitatea
acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind
sntatea, de exemplu datele din registrele lor medicale coninnd informaii precum
diagnostice, rezultate ale examinrilor, evaluri ale medicilor curani i orice tratament sau
intervenie efectuat. Orice persoan vizat ar trebui, prin urmare, s aib dreptul de a
cunoate i de a i se comunica n special scopurile n care sunt prelucrate datele, dac este
posibil perioada pentru care se prelucreaz datele cu caracter personal, destinatarii datelor cu
caracter personal, logica de prelucrare automat a datelor cu caracter personal i, cel puin n
cazul n care se bazeaz pe crearea de profiluri, consecinele unei astfel de prelucrri. Dac
acest lucru este posibil, operatorul de date ar trebui s poat furniza acces de la distan la
un sistem sigur, care s ofere persoanei vizate acces direct la datele sale cu caracter
personal. Acest drept nu ar trebui s aduc atingere drepturilor sau libertilor altora, inclusiv
secretului comercial sau proprietii intelectuale i, n special, drepturilor de autor care
asigur protecia programelor software. Cu toate acestea, consideraiile de mai sus nu ar
trebui s aib drept rezultat refuzul de a furniza toate informaiile persoanei vizate. Atunci
cnd operatorul prelucreaz un volum mare de informaii privind persoana vizat, operatorul
ar trebui s poat solicita ca, nainte de a i fi furnizate informaiile, persoana vizat s
precizeze informaiile sau activitile de prelucrare la care se refer cererea sa.
(64)Operatorul ar trebui s ia toate msurile rezonabile pentru a verifica identitatea unei
persoane vizate care solicit acces la date, n special n contextul serviciilor online i al
identificatorilor online. Un operator nu ar trebui s rein datele cu caracter personal n scopul
exclusiv de a fi n msur s reacioneze la cereri poteniale.
(65)O persoan vizat ar trebui s aib dreptul la rectificarea datelor cu caracter personal
care o privesc i "dreptul de a fi uitat", n cazul n care pstrarea acestor date ncalc
prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidena cruia intr
operatorul. n special, persoanele vizate ar trebui s aib dreptul ca datele lor cu caracter
personal s fie terse i s nu mai fie prelucrate, n cazul n care datele cu caracter personal
nu mai sunt necesare pentru scopurile n care sunt colectate sau sunt prelucrate, n cazul n
care persoanele vizate i-au retras consimmntul pentru prelucrare sau n cazul n care
acestea se opun prelucrrii datelor cu caracter personal care le privesc sau n cazul n care
prelucrarea datelor cu caracter personal ale acestora nu este conform cu prezentul
regulament. Acest drept este relevant n special n cazul n care persoana vizat i-a dat
consimmntul cnd era copil i nu cunotea pe deplin riscurile pe care le implic
prelucrarea, iar ulterior dorete s elimine astfel de date cu caracter personal, n special de
pe internet. Persoana vizat ar trebui s aib posibilitatea de a-i exercita acest drept n
pofida faptului c nu mai este copil. Cu toate acestea, pstrarea n continuare a datelor cu
caracter personal ar trebui s fie legal n cazul n care este necesar pentru exercitarea
dreptului la libertatea de exprimare i de informare, pentru respectarea unei obligaii legale,
pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din
exercitarea autoritii publice cu care este nvestit operatorul, din motive de interes public n
domeniul sntii publice, n scopuri de arhivare n interes public, n scopuri de cercetare
tiinific sau istoric ori n scopuri statistice sau pentru constatarea, exercitarea sau aprarea
unui drept n instan.
(66)Pentru a se consolida "dreptul de a fi uitat" n mediul online, dreptul de tergere ar
trebui s fie extins astfel nct un operator care a fcut publice date cu caracter personal ar
trebui s aib obligaia de a informa operatorii care prelucreaz respectivele date cu caracter
personal s tearg orice linkuri ctre datele respective sau copii sau reproduceri ale
acestora. n acest scop, operatorul n cauz ar trebui s ia msuri rezonabile, innd seama
de tehnologia disponibil i de mijloacele aflate la dispoziia lui, inclusiv msuri tehnice,
pentru a informa operatorii care prelucreaz datele cu caracter personal n ceea ce privete
cererea persoanei vizate.
(67)Metodele de restricionare a prelucrrii de date cu caracter personal ar putea include,
printre altele, mutarea temporar a datelor cu caracter personal selectate ntr-un alt sistem
de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau nlturarea
temporar a datelor publicate de pe un site. n ceea ce privete sistemele automatizate de
eviden a datelor, restricionarea prelucrrii ar trebui, n principiu, asigurat prin mijloace
tehnice n aa fel nct datele cu caracter personal s nu fac obiectul unor operaiuni de
prelucrare ulterioar i s nu mai poat fi schimbate. Faptul c prelucrarea datelor cu caracter
personal este restricionat ar trebui indicat n mod clar n sistem.
(68)Pentru a spori suplimentar controlul asupra propriilor date, persoana vizat ar trebui, n
cazul n care datele cu caracter personal sunt prelucrate prin mijloace automate, s poat
primi datele cu caracter personal care o privesc i pe care le-a furnizat unui operator, ntr-un
format structurat, utilizat n mod curent, prelucrabil automat i interoperabil i s le poat
transmite unui alt operator. Operatorii de date ar trebui s fie ncurajai s dezvolte formate
interoperabile care s permit portabilitatea datelor. Acest drept ar trebui s se aplice n cazul
n care persoana vizat a furnizat datele cu caracter personal pe baza propriului
consimmnt sau n cazul n care prelucrarea datelor este necesar pentru executarea unui
contract. Acest drept nu ar trebui s se aplice n cazul n care prelucrarea se bazeaz pe un
alt temei juridic dect consimmntul sau contractul. Prin nsi natura sa, acest drept nu ar
trebui exercitat mpotriva operatorilor care prelucreaz date cu caracter personal n cadrul
exercitrii funciilor lor publice. Acesta nu ar trebui s se aplice n special n cazul n care
prelucrarea de date cu caracter personal este necesar n vederea respectrii unei obligaii
legale creia i este supus operatorul sau n cazul ndeplinirii unei sarcini care servete unui
interes public sau care rezult din exercitarea unei autoriti publice cu care este nvestit
operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal
care o privesc nu ar trebui s creeze pentru operatori obligaia de a adopta sau de a menine
sisteme de prelucrare care s fie compatibile din punct de vedere tehnic. n cazul n care,
ntr-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate,
dreptul de a primi datele cu caracter personal nu ar trebui s aduc atingere drepturilor i
libertilor altor persoane vizate, n conformitate cu prezentul regulament. De asemenea,
acest drept nu ar trebui s aduc atingere dreptului persoanei vizate de a obine tergerea
datelor cu caracter personal i limitrilor dreptului respectiv, astfel cum sunt prevzute n
prezentul regulament, i nu ar trebui, n special, s implice tergerea acelor date cu caracter
personal referitoare la persoana vizat care au fost furnizate de ctre aceasta n vederea
executrii unui contract, n msura n care i att timp ct datele respective sunt necesare
pentru executarea contractului. Persoana vizat ar trebui s aib dreptul ca datele cu caracter
personal s fie transmise direct de la un operator la altul, dac acest lucru este fezabil din
punct de vedere tehnic.
(69)n cazurile n care datele cu caracter personal ar putea fi prelucrate n mod legal
deoarece prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes
public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul sau
pe baza intereselor legitime ale unui operator sau ale unei pri tere, o persoan vizat ar
trebui s aib totui dreptul de a se opune prelucrrii oricror date cu caracter personal care
se refer la situaia sa particular. Ar trebui s revin operatorului sarcina de a demonstra c
interesele sale legitime i imperioase prevaleaz asupra intereselor sau a drepturilor i
libertilor fundamentale ale persoanei vizate.
(70)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de marketing
direct, persoana vizat ar trebui s aib dreptul de a se opune unei astfel de prelucrri,
inclusiv crerii de profiluri n msura n care aceasta are legtur cu marketingul direct,
indiferent dac prelucrarea n cauz este cea iniial sau una ulterioar, n orice moment i n
mod gratuit. Acest drept ar trebui adus n mod explicit n atenia persoanei vizate i prezentat
n mod clar i separat de orice alte informaii.
(71)Persoana vizat ar trebui s aib dreptul de a nu face obiectul unei decizii, care poate
include o msur, care evalueaz aspecte personale referitoare la persoana vizat, care se
bazeaz exclusiv pe prelucrarea automat i care produce efecte juridice care privesc
persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ, cum ar fi refuzul
automat al unei cereri de credit online sau practicile de recrutare pe cale electronic, fr
intervenie uman. O astfel de prelucrare include "crearea de profiluri", care const n orice
form de prelucrare automat a datelor cu caracter personal prin evaluarea aspectelor
personale referitoare la o persoan fizic, n special n vederea analizrii sau preconizrii
anumitor aspecte privind randamentul la locul de munc al persoanei vizate, situaia
economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau
comportamentul, locaia sau deplasrile, atunci cnd aceasta produce efecte juridice care
privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ. Cu toate
acestea, luarea de decizii pe baza unei astfel de prelucrri, inclusiv crearea de profiluri, ar
trebui permis n cazul n care este autorizat n mod expres n dreptul Uniunii sau n dreptul
intern care se aplic operatorului, inclusiv n scopul monitorizrii i prevenirii fraudei i a
evaziunii fiscale, desfurate n conformitate cu reglementrile, standardele i recomandrile
instituiilor Uniunii sau ale organismelor naionale de supraveghere, i n scopul asigurrii
securitii i fiabilitii unui serviciu oferit de operator sau n cazul n care este necesar
pentru ncheierea sau executarea unui contract ntre persoana vizat i un operator sau n
cazul n care persoana vizat i-a dat n mod explicit consimmntul. n orice caz, o astfel de
prelucrare ar trebui s fac obiectul unor garanii corespunztoare, care ar trebui s includ o
informare specific a persoanei vizate i dreptul acesteia de a obine intervenie uman, de a-
i exprima punctul de vedere, de a primi o explicaie privind decizia luat n urma unei astfel
de evaluri, precum i dreptul de a contesta decizia. O astfel de msur nu ar trebui s se
refere la un copil.
Pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoana vizat,
avnd n vedere circumstanele specifice i contextul n care sunt prelucrate datele cu
caracter personal, operatorul ar trebui s utilizeze proceduri matematice sau statistice
adecvate pentru crearea de profiluri, s implementeze msuri tehnice i organizatorice
adecvate pentru a asigura n special faptul c factorii care duc la inexactiti ale datelor cu
caracter personal sunt corectai i c riscul de erori este redus la minimum, precum i s
securizeze datele cu caracter personal ntr-un mod care s in seama de pericolele poteniale
la adresa intereselor i drepturilor persoanei vizate i care s previn, printre altele, efectele
discriminatorii mpotriva persoanelor pe motiv de ras sau origine etnic, opinii politice, religie
sau convingeri, apartenen sindical, caracteristici genetice, stare de sntate sau orientare
sexual sau care s duc la msuri care s aib astfel de efecte. Procesul decizional
automatizat i crearea de profiluri pe baza unor categorii speciale de date cu caracter
personal ar trebui permise numai n condiii specifice.
(72)Crearea de profiluri este supus normelor prezentului regulament care reglementeaz
prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrrii sau
principiile de protecie a datelor. Comitetul european pentru protecia datelor instituit prin
prezentul regulament ("comitetul") ar trebui s poat emite orientri n acest context.
(73)Dreptul Uniunii sau dreptul intern poate impune restricii n privina unor principii
specifice, n privina dreptului de informare, a dreptului de acces la datele cu caracter
personal i de rectificare sau tergere a acestora, n privina dreptului la portabilitatea datelor,
a dreptului la opoziie, a deciziilor bazate pe crearea de profiluri, precum i n privina
comunicrii unei nclcri a securitii datelor cu caracter personal persoanei vizate i a
anumitor obligaii conexe ale operatorilor, n msura n care acest lucru este necesar i
proporional ntr-o societate democratic pentru a se garanta sigurana public, inclusiv
protecia vieii oamenilor, n special ca rspuns la dezastre naturale sau provocate de om,
prevenirea, investigarea i urmrirea penal a infraciunilor sau executarea pedepselor,
inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice sau mpotriva nclcrii
eticii n cazul profesiilor reglementate i prevenirea acestora, alte obiective importante de
interes public general ale Uniunii sau ale unui stat membru, n special un interes economic
sau financiar important al Uniunii sau al unui stat membru, meninerea de registre publice din
motive de interes public general, prelucrarea ulterioar a datelor cu caracter personal
arhivate pentru a transmite informaii specifice legate de comportamentul politic n perioada
regimurilor fostelor state totalitare, protecia persoanei vizate sau a drepturilor i libertilor
unor teri, inclusiv protecia social, sntatea public i scopurile umanitare. Aceste restricii
ar trebui s fie conforme cu cerinele prevzute de cart i de Convenia european
pentru aprarea drepturilor omului i a libertilor fundamentale.
(74)Ar trebui s se stabileasc responsabilitatea i rspunderea operatorului pentru orice
prelucrare a datelor cu caracter personal efectuat de ctre acesta sau n numele su. n
special, operatorul ar trebui s fie obligat s implementeze msuri adecvate i eficace i s fie
n msur s demonstreze conformitatea activitilor de prelucrare cu prezentul regulament,
inclusiv eficacitatea msurilor. Aceste msuri ar trebui s in seama de natura, domeniul de
aplicare, contextul i scopurile prelucrrii, precum i de riscul pentru drepturile i libertile
persoanelor fizice.
(75)Riscul pentru drepturile i libertile persoanelor fizice, prezentnd grade diferite de
probabilitate de materializare i de gravitate, poate fi rezultatul unei prelucrri a datelor cu
caracter personal care ar putea genera prejudicii de natur fizic, material sau moral, n
special n cazurile n care: prelucrarea poate conduce la discriminare, furt sau fraud a
identitii, pierdere financiar, compromiterea reputaiei, pierderea confidenialitii datelor cu
caracter personal protejate prin secret profesional, inversarea neautorizat a pseudonimizrii
sau la orice alt dezavantaj semnificativ de natur economic sau social; persoanele vizate ar
putea fi private de drepturile i libertile lor sau mpiedicate s-i exercite controlul asupra
datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care
dezvluie originea rasial sau etnic, opiniile politice, religia sau convingerile filozofice,
apartenena sindical; sunt prelucrate date genetice, date privind sntatea sau date privind
viaa sexual sau privind condamnrile penale i infraciunile sau msurile de securitate
conexe; sunt evaluate aspecte de natur personal, n special analizarea sau previzionarea
unor aspecte privind randamentul la locul de munc, situaia economic, starea de sntate,
preferinele sau interesele personale, fiabilitatea sau comportamentul, locaia sau deplasrile,
n scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter
personal ale unor persoane vulnerabile, n special ale unor copii; sau prelucrarea implic un
volum mare de date cu caracter personal i afecteaz un numr larg de persoane vizate.
(76)Probabilitatea de a se materializa i gravitatea riscului pentru drepturile i libertile
persoanei vizate ar trebui s fie determinate n funcie de natura, domeniul de aplicare,
contextul i scopurile prelucrrii datelor cu caracter personal. Riscul ar trebui apreciat pe baza
unei evaluri obiective prin care se stabilete dac operaiunile de prelucrare a datelor
prezint un risc sau un risc ridicat.
(77)Orientri pentru implementarea unor msuri adecvate i pentru demonstrarea
conformitii de ctre operator sau persoana mputernicit de operator, mai ales n ceea ce
privete identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al
originii, naturii, probabilitii de a se materializa i al gravitii, precum i identificarea bunelor
practici pentru atenuarea riscului ar putea fi oferite n special prin coduri de conduit
aprobate, certificri aprobate, orientri ale comitetului sau prin indicaii furnizate de un
responsabil cu protecia datelor. Comitetul poate, de asemenea, s emit orientri cu privire
la operaiunile de prelucrare care sunt considerate puin susceptibile de a genera un risc
ridicat pentru drepturile i libertile persoanelor fizice i s indice msurile care se pot dovedi
suficiente n asemenea cazuri pentru a aborda un astfel de risc.
(78)Protecia drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea
datelor cu caracter personal necesit adoptarea de msuri tehnice i organizatorice
corespunztoare pentru a se asigura ndeplinirea cerinelor din prezentul regulament. Pentru
a fi n msur s demonstreze conformitatea cu prezentul regulament, operatorul ar trebui s
adopte politici interne i s pun n aplicare msuri care s respecte n special principiul
proteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor.
Astfel de msuri ar putea consta, printre altele, n reducerea la minimum a prelucrrii datelor
cu caracter personal, pseudonimizarea acestor date ct mai curnd posibil, transparena n
ceea ce privete funciile i prelucrarea datelor cu caracter personal, abilitarea persoanei
vizate s monitorizeze prelucrarea datelor, abilitarea operatorului s creeze elemente de
siguran i s le mbunteasc. Atunci cnd elaboreaz, proiecteaz, selecteaz i
utilizeaz aplicaii, servicii i produse care se bazeaz pe prelucrarea datelor cu caracter
personal sau care prelucreaz date cu caracter personal pentru a-i ndeplini rolul,
productorii acestor produse i furnizorii acestor servicii i aplicaii ar trebui s fie ncurajai
s aib n vedere dreptul la protecia datelor la momentul elaborrii i proiectrii unor astfel
de produse, servicii i aplicaii i, innd cont de stadiul actual al dezvoltrii, s se asigure c
operatorii i persoanele mputernicite de operatori sunt n msur s i ndeplineasc
obligaiile referitoare la protecia datelor. Principiul proteciei datelor ncepnd cu momentul
conceperii i cel al proteciei implicite a datelor ar trebui s fie luate n considerare i n
contextul licitaiilor publice.
(79)Protecia drepturilor i libertilor persoanelor vizate, precum i responsabilitatea i
rspunderea operatorilor i a persoanelor mputernicite de operator, inclusiv n ceea ce
privete monitorizarea de ctre autoritile de supraveghere i msurile adoptate de acestea,
necesit o atribuire clar a responsabilitilor n temeiul prezentului regulament, inclusiv n
cazul n care un operator stabilete scopurile i mijloacele prelucrrii mpreun cu ali
operatori sau n cazul n care o operaiune de prelucrare este efectuat n numele unui
operator.
(80)Atunci cnd un operator sau o persoan mputernicit de operator care nu este stabilit
n Uniune prelucreaz date cu caracter personal ale unor persoane vizate care se afl pe
teritoriul Uniunii, iar activitile sale de prelucrare au legtur cu oferirea de bunuri sau
servicii unor astfel de persoane vizate n Uniune, indiferent dac se solicit sau nu efectuarea
unei pli de ctre persoana vizat, sau cu monitorizarea comportamentului unor persoane
vizate dac acesta se manifest n cadrul Uniunii, operatorul sau persoana mputernicit de
operator ar trebui s desemneze un reprezentant, cu excepia cazului n care prelucrarea are
caracter ocazional, nu include prelucrarea pe scar larg a unor categorii speciale de date cu
caracter personal i nici prelucrarea de date referitoare la condamnri penale i la infraciuni,
i este puin susceptibil s genereze un risc pentru drepturile i libertile persoanelor fizice,
avnd n vedere natura, contextul, domeniul de aplicare i scopurile prelucrrii, precum i a
cazului n care operatorul este o autoritate public sau un organism public. Reprezentantul ar
trebui s acioneze n numele operatorului sau al persoanei mputernicite de operator, putnd
fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat n mod
explicit, printr-un mandat scris al operatorului sau al persoanei mputernicite de operator, s
acioneze n numele acestuia (acesteia) n ceea ce privete obligaiile lor n temeiul
prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere
responsabilitii sau rspunderii operatorului sau a persoanei mputernicite de operator n
temeiul prezentului regulament. Un astfel de reprezentant ar trebui s i ndeplineasc
sarcinile n conformitate cu mandatul primit de la operator sau de la persoana mputernicit
de operator, inclusiv s coopereze cu autoritile de supraveghere competente n ceea ce
privete orice aciune ntreprins pentru a asigura respectarea prezentului regulament.
Reprezentantul desemnat ar trebui s fie supus unor proceduri de asigurare a respectrii legii
n cazul nerespectrii prezentului regulament de ctre operator sau de ctre persoana
mputernicit de operator.
(81)Pentru a asigura respectarea cerinelor impuse de prezentul regulament n ceea ce
privete prelucrarea care trebuie efectuat n numele operatorului de ctre persoana
mputernicit de operator, atunci cnd atribuie activiti de prelucrare unei persoane
mputernicite de operator, acesta din urm ar trebui s utilizeze numai persoane mputernicite
care ofer garanii suficiente, n special n ceea ce privete cunotinele de specialitate,
fiabilitatea i resursele, pentru a implementa msuri tehnice i organizatorice care ndeplinesc
cerinele impuse de prezentul regulament, inclusiv pentru securitatea prelucrrii. Aderarea de
ctre persoana mputernicit de operator la un cod de conduit aprobat sau la un mecanism
de certificare aprobat poate fi utilizat drept element care s demonstreze respectarea
obligaiilor de ctre operator. Efectuarea prelucrrii de ctre o persoan mputernicit de un
operator ar trebui s fie reglementat printr-un contract sau un alt tip de act juridic, n
temeiul dreptului Uniunii sau al dreptului intern, care creeaz obligaii pentru persoana
mputernicit de operator n raport cu operatorul i care stabilete obiectul i durata
prelucrrii, natura i scopurile prelucrrii, tipul de date cu caracter personal i categoriile de
persoane vizate, i ar trebui s in seama de sarcinile i responsabilitile specifice ale
persoanei mputernicite de operator n contextul prelucrrii care trebuie efectuat, precum i
de riscul pentru drepturile i libertile persoanei vizate. Operatorul i persoana mputernicit
de operator pot alege s utilizeze un contract individual sau clauze contractuale standard care
sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere n conformitate cu
mecanismul de asigurare a coerenei i apoi adoptate de Comisie. Dup finalizarea prelucrrii
n numele operatorului, persoana mputernicit de operator ar trebui s returneze sau s
tearg, n funcie de opiunea operatorului, datele cu caracter personal, cu excepia cazului
n care exist o cerin de stocare a datelor cu caracter personal n temeiul dreptului Uniunii
sau al dreptului intern care instituie obligaii pentru persoana mputernicit de operator.
(82)n vederea demonstrrii conformitii cu prezentul regulament, operatorul sau persoana
mputernicit de operator ar trebui s pstreze evidene ale activitilor de prelucrare aflate n
responsabilitatea sa. Fiecare operator i fiecare persoan mputernicit de operator ar trebui
s aib obligaia de a coopera cu autoritatea de supraveghere i de a pune la dispoziia
acesteia, la cerere, aceste evidene, pentru a putea fi utilizate n scopul monitorizrii
operaiunilor de prelucrare respective.
(83)n vederea meninerii securitii i a prevenirii prelucrrilor care ncalc prezentul
regulament, operatorul sau persoana mputernicit de operator ar trebui s evalueze riscurile
inerente prelucrrii i s implementeze msuri pentru atenuarea acestor riscuri, cum ar fi
criptarea. Msurile respective ar trebui s asigure un nivel corespunztor de securitate,
inclusiv confidenialitatea, lund n considerare stadiul actual al dezvoltrii i costurile
implementrii n raport cu riscurile i cu natura datelor cu caracter personal a cror protecie
trebuie asigurat. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar
trebui s se acorde atenie riscurilor pe care le prezint prelucrarea datelor, cum ar fi
distrugerea, pierderea, modificarea, divulgarea neautorizat sau accesul neautorizat la datele
cu caracter personal transmise, stocate sau prelucrate n alt mod, n mod accidental sau
ilegal, care pot duce n special la prejudicii fizice, materiale sau morale.
(84)Pentru a favoriza respectarea dispoziiilor prezentului regulament n cazurile n care
operaiunile de prelucrare sunt susceptibile s genereze un risc ridicat pentru drepturile i
libertile persoanelor fizice, operatorul ar trebui s fie responsabil de efectuarea unei
evaluri a impactului asupra proteciei datelor, care s estimeze, n special, originea, natura,
specificitatea i gravitatea acestui risc. Rezultatul evalurii ar trebui luat n considerare la
stabilirea msurilor adecvate care trebuie luate pentru a demonstra c prelucrarea datelor cu
caracter personal respect prezentul regulament. n cazul n care o evaluare a impactului
asupra proteciei datelor arat c operaiunile de prelucrare implic un risc ridicat, pe care
operatorul nu l poate atenua prin msuri adecvate sub aspectul tehnologiei disponibile i al
costurilor implementrii, ar trebui s aib loc o consultare a autoritii de supraveghere
nainte de prelucrare.
(85)Dac nu este soluionat la timp i ntr-un mod adecvat, o nclcare a securitii datelor
cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse
persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau
limitarea drepturilor lor, discriminare, furt sau fraud de identitate, pierdere financiar,
inversarea neautorizat a pseudonimizrii, compromiterea reputaiei, pierderea
confidenialitii datelor cu caracter personal protejate prin secret profesional sau orice alt
dezavantaj semnificativ de natur economic sau social adus persoanei fizice n cauz. Prin
urmare, de ndat ce a luat cunotin de producerea unei nclcri a securitii datelor cu
caracter personal, operatorul ar trebui s notifice aceast nclcare autoritii de
supraveghere, fr ntrziere nejustificat i, dac este posibil, n cel mult 72 de ore dup ce
a luat la cunotin de existena acesteia, cu excepia cazului n care operatorul este n
msur s demonstreze, n conformitate cu principiul responsabilitii, c nclcarea securitii
datelor cu caracter personal nu este susceptibil s genereze un risc pentru drepturile i
libertile persoanelor fizice. Atunci cnd notificarea nu se poate realiza n termen de 72 de
ore, aceasta ar trebui s cuprind motivele ntrzierii, iar informaiile pot fi furnizate treptat,
fr alt ntrziere.
(86)Operatorul ar trebui s comunice persoanei vizate o nclcare a securitii datelor cu
caracter personal, fr ntrzieri nejustificate, atunci cnd nclcarea este susceptibil s
genereze un risc ridicat pentru drepturile i libertile persoanei fizice, pentru a-i permite s ia
msurile de precauie necesare. Comunicarea ar trebui s descrie natura nclcrii securitii
datelor cu caracter personal i s cuprind recomandri pentru persoana fizic n cauz n
scopul atenurii eventualelor efecte negative. Comunicrile ctre persoanele vizate ar trebui
efectuate n cel mai scurt timp posibil n mod rezonabil i n strns cooperare cu autoritatea
de supraveghere, respectndu-se orientrile furnizate de aceasta sau de alte autoriti
competente, cum ar fi autoritile de aplicare a legii. De exemplu, necesitatea de a atenua un
risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine ctre
persoanele vizate, n timp ce necesitatea de a implementa msuri corespunztoare mpotriva
nclcrii n continuare a securitii datelor cu caracter personal sau mpotriva unor nclcri
similare ale securitii datelor cu caracter personal ar putea justifica un termen mai
ndelungat pentru comunicare.
(87)Ar trebui s se stabileasc dac au fost implementate toate msurile tehnologice de
protecie i organizatorice corespunztoare n scopul de a se stabili imediat dac s-a produs o
nclcare a securitii datelor cu caracter personal i de a se informa cu promptitudine
autoritatea de supraveghere i persoana vizat. Faptul c notificarea a fost efectuat fr
ntrziere nejustificat ar trebui stabilit lundu-se n considerare, n special, natura i
gravitatea nclcrii securitii datelor cu caracter personal, precum i consecinele i efectele
negative ale acesteia asupra persoanei vizate. Aceast notificare poate conduce la o
intervenie a autoritii de supraveghere, n conformitate cu sarcinile i competenele
specificate n prezentul regulament.
(88)La stabilirea de norme detaliate privind formatul i procedurile aplicabile notificrii
referitoare la nclcrile securitii datelor cu caracter personal, ar trebui s se acorde atenia
cuvenit circumstanelor n care a avut loc nclcarea, stabilindu-se inclusiv dac protecia
datelor cu caracter personal a fost sau nu a fost asigurat prin msuri tehnice de protecie
corespunztoare, care s limiteze efectiv probabilitatea fraudrii identitii sau a altor forme
de utilizare abuziv. n plus, astfel de norme i proceduri ar trebui s in cont de interesele
legitime ale autoritilor de aplicare a legii n cazurile n care divulgarea timpurie ar putea
ngreuna n mod inutil investigarea circumstanelor n care a avut loc o nclcare a datelor cu
caracter personal.
(89)Directiva 95/46/CE a prevzut o obligaie general de a notifica prelucrarea datelor cu
caracter personal autoritilor de supraveghere. Cu toate c obligaia respectiv genereaz
sarcini administrative i financiare, aceasta nu a contribuit ntotdeauna la mbuntirea
proteciei datelor cu caracter personal. Prin urmare, astfel de obligaii de notificare general
nedifereniat ar trebui s fie abrogate i nlocuite cu proceduri i mecanisme eficace care s
pun accentul, n schimb, pe acele tipuri de operaiuni de prelucrare susceptibile s genereze
un risc ridicat pentru drepturile i libertile persoanelor fizice prin nsi natura lor, prin
domeniul lor de aplicare, prin contextul i prin scopurile lor. Astfel de tipuri de operaiuni de
prelucrare pot fi cele care presupun, n special, utilizarea unor noi tehnologii sau care
reprezint un nou tip de operaiuni, pentru care nicio evaluare a impactului asupra proteciei
datelor nu a fost efectuat anterior de ctre operator ori care devin necesare dat fiind
perioada de timp care s-a scurs de la prelucrarea iniial.
(90)n astfel de cazuri, operatorul ar trebui s efectueze, nainte de prelucrare, o evaluare a
impactului asupra proteciei datelor, n scopul evalurii gradului specific de probabilitate a
materializrii riscului ridicat i gravitatea acestuia, avnd n vedere natura, domeniul de
aplicare, contextul i scopurile prelucrrii, precum i sursele riscului. Respectiva evaluare a
impactului ar trebui s includ, n special, msurile, garaniile i mecanismele avute n vedere
pentru atenuarea riscului respectiv, pentru asigurarea proteciei datelor cu caracter personal
i pentru demonstrarea conformitii cu prezentul regulament.
(91)Aceasta ar trebui s se aplice, n special, operaiunilor de prelucrare la scar larg, care
au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel
regional, naional sau supranaional, care ar putea afecta un numr mare de persoane vizate
i care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitii lor, n
cazul n care, n conformitate cu nivelul atins al cunotinelor tehnologice, se folosete la
scar larg o tehnologie nou, precum i altor operaiuni de prelucrare care genereaz un risc
ridicat pentru drepturile i libertile persoanelor vizate, n special n cazul n care operaiunile
respective limiteaz capacitatea persoanelor vizate de a-i exercita drepturile. Ar trebui
efectuat o evaluare a impactului asupra proteciei datelor i n situaiile n care datele cu
caracter personal sunt prelucrate n scopul lurii de decizii care vizeaz anumite persoane
fizice n urma unei evaluri sistematice i cuprinztoare a aspectelor personale referitoare la
persoane fizice, pe baza crerii de profiluri pentru datele respective, sau n urma prelucrrii
unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date
privind condamnrile penale i infraciunile sau msurile de securitate conexe. Este la fel de
necesar o evaluare a impactului asupra proteciei datelor pentru monitorizarea la scar larg
a zonelor accesibile publicului, mai ales n cazul utilizrii dispozitivelor optoelectronice sau
pentru orice alte operaiuni n cazul n care autoritatea de supraveghere competent
consider c prelucrarea este susceptibil de a genera un risc ridicat pentru drepturile i
libertile persoanelor vizate, n special deoarece acestea mpiedic persoanele vizate s
exercite un drept sau s utilizeze un serviciu ori un contract, sau deoarece acestea sunt
efectuate n mod sistematic la scar larg. Prelucrarea datelor cu caracter personal nu ar
trebui considerat a fi la scar larg n cazul n care prelucrarea se refer la date cu caracter
personal de la pacieni sau clieni de ctre un anumit medic, un alt profesionist n domeniul
sntii sau un avocat. n aceste cazuri, o evaluare a impactului asupra proteciei datelor nu
ar trebui s fie obligatorie.
(92)n unele circumstane ar putea fi rezonabil i util din punct de vedere economic ca o
evaluare a impactului asupra proteciei datelor s aib o perspectiv mai extins dect cea a
unui singur proiect, de exemplu n cazul n care autoriti sau organisme publice intenioneaz
s instituie o aplicaie sau o platform de prelucrare comun sau n cazul n care mai muli
operatori preconizeaz s introduc o aplicaie comun sau un mediu de prelucrare comun n
cadrul unui sector sau segment industrial sau pentru o activitate orizontal utilizat la scar
larg.
(93)n contextul adoptrii legislaiei naionale pe care se bazeaz ndeplinirea sarcinilor
autoritii publice sau ale organismului public i care reglementeaz operaiunea sau seria de
operaiuni de prelucrare n cauz, statele membre pot considera c este necesar efectuarea
unei astfel de evaluri naintea desfurrii activitilor de prelucrare.
(94)n cazul n care o evaluare a impactului asupra proteciei datelor arat c prelucrarea ar
genera, n absena garaniilor, msurilor de securitate i mecanismelor de atenuare a riscului,
un risc ridicat pentru drepturile i libertile persoanelor fizice, iar operatorul consider c
riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile i al
costurilor implementrii, autoritatea de supraveghere ar trebui s fie consultat nainte de
nceperea activitilor de prelucrare. Un astfel de risc ridicat este susceptibil s fie generat de
anumite tipuri de prelucrare, precum i de amploarea i frecvena prelucrrii, care pot duce i
la producerea unor prejudicii sau pot atinge drepturile i libertile persoanelor fizice.
Autoritatea de supraveghere ar trebui s rspund cererii de consultare ntr-un anumit
termen. Cu toate acestea, lipsa unei reacii din partea autoritii de supraveghere n termenul
respectiv ar trebui s nu aduc atingere niciunei intervenii a autoritii de supraveghere n
conformitate cu sarcinile i competenele sale prevzute n prezentul regulament, inclusiv
competena de a interzice operaiuni de prelucrare. Ca parte a acestui proces de consultare,
rezultatul unei evaluri a impactului asupra proteciei datelor efectuate cu privire la
prelucrarea n cauz poate fi transmis autoritii de supraveghere, n special msurile avute n
vedere pentru a atenua riscul pentru drepturile i libertile persoanelor fizice.
(95)Persoana mputernicit de operator ar trebui s acorde asisten operatorului, dac este
necesar i la cerere, la asigurarea respectrii obligaiilor care decurg din realizarea de evaluri
ale impactului asupra proteciei datelor i din consultarea prealabil a autoritii de
supraveghere.
(96)n timpul elaborrii unei msuri legislative sau de reglementare care prevede prelucrarea
unor date cu caracter personal ar trebui, de asemenea, s aib loc o consultare a autoritii
de supraveghere, pentru a garanta conformitatea prelucrrii avute n vedere cu prezentul
regulament i, n special, pentru a atenua riscul la care este expus persoana vizat.
(97)n cazul n care prelucrarea este efectuat de o autoritate public, cu excepia
instanelor sau a autoritilor judiciare independente atunci cnd acioneaz n calitatea lor
judiciar, n cazul n care, n sectorul privat, prelucrarea este efectuat de un operator a crui
activitate principal const n operaiuni de prelucrare care necesit o monitorizare regulat i
sistematic a persoanelor vizate pe scar larg, sau n cazul n care activitatea principal a
operatorului sau a persoanei mputernicite de operator const n prelucrarea pe scar larg
de categorii speciale de date cu caracter personal i de date privind condamnrile penale i
infraciunile, o persoan care deine cunotine de specialitate n materie de legislaie i
practici privind protecia datelor ar trebui s acorde asisten operatorului sau persoanei
mputernicite de operator pentru monitorizarea conformitii, la nivel intern, cu prezentul
regulament. n sectorul privat, activitile principale ale unui operator se refer la activitile
sale de baz, i nu la prelucrarea datelor cu caracter personal drept activiti auxiliare. Nivelul
necesar al cunotinelor de specialitate ar trebui s fie stabilit n special n funcie de
operaiunile de prelucrare a datelor efectuate i de nivelul de protecie impus pentru datele
cu caracter personal prelucrate de operator sau de persoana mputernicit de operator. Aceti
responsabili cu protecia datelor, indiferent dac sunt sau nu angajai ai operatorului, ar
trebui s fie n msur s i ndeplineasc atribuiile i sarcinile n mod independent.
(98)Asociaiile sau alte organisme care reprezint categorii de operatori sau de persoane
mputernicite de operatori ar trebui ncurajate s elaboreze coduri de conduit, n limitele
prezentului regulament, astfel nct s se faciliteze aplicarea efectiv a prezentului
regulament, lundu-se n considerare caracteristicile specifice ale prelucrrii efectuate n
anumite sectoare i necesitile specifice ale microntreprinderilor i ale ntreprinderilor mici i
mijlocii. n special, astfel de coduri de conduit ar putea s ajusteze obligaiile operatorilor i
ale persoanelor mputernicite de operatori, innd seama de riscul aferent prelucrrii care este
susceptibil de a fi generat pentru drepturile i libertile persoanelor fizice.
(99)Atunci cnd elaboreaz un cod de conduit sau cnd modific sau extind un astfel de
cod, asociaiile i alte organisme care reprezint categorii de operatori sau persoane
mputernicite de operatori ar trebui s consulte prile implicate relevante, inclusiv persoanele
vizate, dac este fezabil, i s ia n considerare contribuiile transmise i opiniile exprimate n
cadrul unor astfel de consultri.
(100)Pentru a se mbunti transparena i conformitatea cu prezentul regulament, ar
trebui s se ncurajeze instituirea de mecanisme de certificare, precum i de sigilii i mrci n
materie de protecie a datelor, care s permit persoanelor vizate s evalueze rapid nivelul de
protecie a datelor aferent produselor i serviciilor relevante.
(101)Fluxurile de date cu caracter personal ctre i dinspre ri situate n afara Uniunii i
organizaii internaionale sunt necesare pentru dezvoltarea comerului internaional i a
cooperrii internaionale. Creterea acestor fluxuri a generat noi provocri i preocupri cu
privire la protecia datelor cu caracter personal. Cu toate acestea, n cazul n care se transfer
date cu caracter personal din Uniune ctre operatori, persoane mputernicite de operatori sau
ali destinatari din ri tere sau organizaii internaionale, nivelul de protecie a persoanelor
fizice asigurat n Uniune prin prezentul regulament nu ar trebui s fie diminuat, inclusiv n
cazurile de transferuri ulterioare de date cu caracter personal dinspre ara ter sau
organizaia internaional ctre operatori, persoane mputernicite de operatori din aceeai sau
dintr-o alt ar ter sau organizaie internaional. n orice caz, transferurile ctre ri tere
i organizaii internaionale pot fi desfurate numai n conformitate deplin cu prezentul
regulament. Un transfer ar putea avea loc numai dac, sub rezerva respectrii celorlalte
dispoziii ale prezentului regulament, operatorul sau persoana mputernicit de operator
ndeplinete condiiile prevzute de dispoziiile prezentului regulament privind transferul de
date cu caracter personal ctre ri tere sau organizaii internaionale.
(102)Prezentul regulament nu aduce atingere acordurilor internaionale ncheiate ntre
Uniune i ri tere n vederea reglementrii transferului de date cu caracter personal, inclusiv
garanii adecvate pentru persoanele vizate. Statele membre pot ncheia acorduri
internaionale care implic transferul de date cu caracter personal ctre ri tere sau
organizaii internaionale, n msura n care astfel de acorduri nu afecteaz prezentul
regulament i nici alte dispoziii din dreptul Uniunii i includ un nivel corespunztor de
protecie a drepturilor fundamentale ale persoanelor vizate.
(103)Comisia poate decide, cu efect n ntreaga Uniune, c o ar ter, un teritoriu sau un
anumit sector dintr-o ar ter sau o organizaie internaional ofer un nivel adecvat de
protecie a datelor, asigurnd astfel securitate juridic i uniformitate n Uniune n ceea ce
privete ara ter sau organizaia internaional care este considerat a furniza un astfel de
nivel de protecie. n aceste cazuri, transferurile de date cu caracter personal ctre ara ter
sau organizaia internaional respectiv pot avea loc fr a fi necesar s se obin autorizri
suplimentare. De asemenea, Comisia poate s decid, dup trimiterea unei notificri i a unei
justificri complete rii tere sau organizaiei internaionale, s anuleze o astfel de decizie.
(104)n conformitate cu valorile fundamentale pe care se ntemeiaz Uniunea, n special
protecia drepturilor omului, Comisia ar trebui, n evaluarea sa referitoare la ara ter sau la
un teritoriu sau la un sector specificat dintr-o ar ter, s ia n considerare modul n care
aceasta respect statul de drept, accesul la justiie, precum i normele i standardele
internaionale n materie de drepturi ale omului i legislaia sa general i sectorial, inclusiv
legislaia privind securitatea public, aprarea i securitatea naional, precum i ordinea
public i dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de
protecie pentru un teritoriu sau un sector specificat dintr-o ar ter ar trebui s in seama
de criterii clare i obiective, cum ar fi activitile specifice de prelucrare i domeniul de
aplicare al standardelor legale aplicabile i legislaia n vigoare n ara ter respectiv. ara
ter ar trebui s ofere garanii care s asigure un nivel adecvat de protecie, echivalent n
esen cu cel asigurat n cadrul Uniunii, n special atunci cnd datele cu caracter personal
sunt prelucrate n unul sau mai multe sectoare specifice. n special, ara ter ar trebui s
asigure o supraveghere efectiv independent n materie de protecie a datelor i s prevad
mecanisme de cooperare cu autoritile statelor membre de protecie a datelor, iar
persoanele vizate ar trebui s beneficieze de drepturi efective i opozabile i de reparaii
efective pe cale administrativ i judiciar.
(105)Pe lng angajamentele internaionale asumate de ara ter sau de organizaia
internaional, Comisia ar trebui s in seama de obligaiile care decurg din participarea rii
tere sau a organizaiei internaionale la sistemele multilaterale sau regionale, n special n
ceea ce privete protecia datelor cu caracter personal, precum i de punerea n aplicare a
unor astfel de obligaii. n special, ar trebui s fie luat n considerare aderarea rii tere la
Convenia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor
fa de prelucrarea automatizat a datelor cu caracter personal i protocolul
adiional la aceasta. Comisia ar trebui s consulte comitetul atunci cnd evalueaz nivelul de
protecie din rile tere sau din organizaiile internaionale.
(106)Comisia ar trebui s monitorizeze funcionarea deciziilor privind nivelul de protecie
dintr-o ar ter sau un teritoriu sau un anumit sector dintr-o ar ter sau dintr-o
organizaie internaional i s monitorizeze funcionarea deciziilor adoptate n temeiul
articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. n
deciziile sale privind caracterul adecvat al nivelului de protecie, Comisia ar trebui s prevad
un mecanism de revizuire periodic a modului lor de funcionare. Aceast revizuire periodic
ar trebui s fie efectuat n consultare cu ara ter sau organizaia internaional n cauz i
ar trebui s ia n considerare toate evoluiile relevante din ara ter sau organizaia
internaional. n scopul monitorizrii i al efecturii revizuirilor periodice, Comisia ar trebui s
ia n considerare opiniile i constatrile Parlamentului European i ale Consiliului, precum i
ale altor organisme i surse relevante. Comisia ar trebui s evalueze, ntr-un termen
rezonabil, funcionarea deciziilor din urm i s raporteze toate constatrile relevante
comitetului, n sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European i al
Consiliului (1), dup cum s-a stabilit n temeiul prezentului regulament, Parlamentului
European i Consiliului.
(1)Regulamentul (UE) nr. 182/2011 al Parlamentului European i al Consiliului din 16
februarie 2011 de stabilire a normelor i principiilor generale privind mecanismele de control
de ctre statele membre al exercitrii competenelor de executare de ctre Comisie (JO L 55,
28.2.2011, p. 13).
(107)Comisia poate s recunoasc faptul c o ar ter,un teritoriu sau un sector specificat
dintr-o ar ter sau o organizaie internaional nu mai asigur un nivel adecvat de protecie
a datelor. n consecin, transferul de date cu caracter personal ctre ara ter sau
organizaia internaional respectiv ar trebui s fie interzis, cu excepia cazului n care sunt
ndeplinite cerinele prevzute n prezentul regulament privind transferurile n baza unor
garanii adecvate, inclusiv regulile corporatiste obligatorii i derogrile de la situaiile
specifice. n acest caz, ar trebui s se prevad dispoziii pentru consultri ntre Comisie i
astfel de ri tere sau organizaii internaionale. Comisia ar trebui ca, n timp util, s
informeze ara ter sau organizaia internaional cu privire la aceste motive i s iniieze
consultri cu aceasta pentru remedierea situaiei.
(108)n absena unei decizii privind caracterul adecvat al nivelului de protecie, operatorul
sau persoana mputernicit de operator ar trebui s adopte msuri pentru a compensa lipsa
proteciei datelor ntr-o ar ter prin intermediul unor garanii adecvate pentru persoana
vizat. Astfel de garanii adecvate pot consta n utilizarea regulilor corporatiste obligatorii, a
clauzelor standard de protecie a datelor adoptate de Comisie, a clauzelor standard de
protecie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale
autorizate de o autoritate de supraveghere. Respectivele garanii ar trebui s asigure
respectarea cerinelor n materie de protecie a datelor i drepturi ale persoanelor vizate
corespunztoare prelucrrii n interiorul Uniunii, inclusiv disponibilitatea unor drepturi
opozabile ale persoanelor vizate i a unor ci de atac eficiente, printre care dreptul de acces
la reparaii efective pe cale administrativ sau judiciar i dreptul de a solicita despgubiri, n
Uniune sau ntr-o ar ter. Acestea ar trebui s se refere n special la respectarea principiilor
generale privind prelucrarea datelor cu caracter personal: principiul proteciei datelor
ncepnd cu momentul conceperii i principiul proteciei implicite a datelor. Transferurile pot fi
efectuate i de ctre autoritile sau organismele publice cu autoriti sau organisme publice
n ri tere sau cu organizaii internaionale cu atribuii i funcii corespunztoare, inclusiv pe
baza dispoziiilor care prevd drepturi opozabile i efective pentru persoanele vizate, care
trebuie introduse n acordurile administrative, cum ar fi un memorandum de nelegere.
Autorizaia din partea autoritii de supraveghere competente ar trebui obinut atunci cnd
garaniile sunt oferite n cadrul unor acorduri administrative fr caracter juridic obligatoriu.
(109)Posibilitatea ca operatorul sau persoana mputernicit de operator s utilizeze clauze
standard n materie de protecie a datelor, adoptate de Comisie sau de o autoritate de
supraveghere, nu ar trebui s mpiedice operatorii sau persoanele mputernicite de acetia s
includ clauzele standard n materie de protecie a datelor ntr-un contract mai amplu,
precum un contract ntre persoana mputernicit de operator i o alt persoan mputernicit
de operator, i nici s adauge alte clauze sau garanii suplimentare, att timp ct acestea nu
contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o
autoritate de supraveghere sau nu prejudiciaz drepturile sau libertile fundamentale ale
persoanelor vizate. Operatorii i persoanele mputernicite de operatori ar trebui s fie
ncurajai s ofere garanii suplimentare prin intermediul unor angajamente contractuale care
s completeze clauzele standard n materie de protecie.
(110)Un grup de ntreprinderi sau un grup de ntreprinderi implicat ntr-o activitate
economic comun ar trebui s poat utiliza regulile corporatiste obligatorii aprobate pentru
transferurile sale internaionale dinspre Uniune ctre organizaii din cadrul aceluiai grup de
ntreprinderi sau grup de ntreprinderi implicate ntr-o activitate economic comun, cu
condiia ca astfel de reguli corporatiste s includ toate principiile eseniale i drepturile
opozabile n scopul asigurrii unor garanii adecvate pentru transferurile sau categoriile de
transferuri de date cu caracter personal.
(111)Ar trebui s se prevad posibilitatea de a se efectua transferuri n anumite circumstane
n care persoana vizat i-a dat consimmntul explicit, n care transferul este ocazional i
necesar n legtur cu un contract sau cu o aciune n justiie, indiferent dac este n
contextul unei proceduri judiciare sau n contextul unei proceduri administrative sau
extrajudiciare, inclusiv n cadrul procedurilor naintate organismelor de reglementare. De
asemenea, ar trebui s se prevad posibilitatea de a se efectua transferuri n cazul n care
motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun
acest lucru sau n cazul n care transferul se efectueaz dintr-un registru instituit prin lege i
destinat s fie consultat de ctre public sau de ctre persoane care au un interes legitim. n
acest ultim caz, un astfel de transfer nu ar trebui s implice totalitatea datelor cu caracter
personal sau ansamblul categoriilor de date coninute n registru, iar atunci cnd registrul
este destinat s fie consultat de persoane care au un interes legitim, transferul ar trebui s fie
efectuat doar la cererea persoanelor respective sau dac acestea sunt destinatarii, lund pe
deplin n considerare interesele i drepturile fundamentale ale persoanei vizate.
(112)Aceste derogri ar trebui s se aplice, n special, transferurilor de date solicitate i
necesare din considerente importante de interes public, de exemplu n cazul schimbului
internaional de date ntre autoritile din domeniul concurenei, administraiile fiscale sau
vamale, ntre autoritile de supraveghere financiar, ntre serviciile competente n materie de
securitate social sau de sntate public, de exemplu n cazul depistrii punctelor de contact
pentru bolile contagioase sau pentru reducerea i/sau eliminarea dopajului n sport. Un
transfer de date cu caracter personal ar trebui, de asemenea, s fie considerat legal n cazul
n care este necesar n scopul protejrii unui interes care este esenial n interesele vitale ale
persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizic sau pentru viaa
acesteia, n cazul n care persona vizat nu are capacitatea s i dea consimmntul. n
absena unei decizii privind caracterul adecvat al nivelului de protecie, dreptul Uniunii sau
dreptul intern poate, din considerente importante de interes public, stabili n mod expres
limite asupra transferului unor categorii specifice de date ctre o ar ter sau o organizaie
internaional. Statele membre ar trebui s notifice Comisiei aceste dispoziii. Orice transfer
ctre o organizaie umanitar internaional al datelor cu caracter personal ale unei persoane
vizate care se afl n incapacitate fizic sau juridic de a i da consimmntul, n vederea
ndeplinirii unei sarcini care decurge din Conveniile de la Geneva sau n vederea conformrii
cu dreptul internaional umanitar aplicabil n conflictele armate, ar putea fi considerat necesar
pentru un motiv important de interes public sau pentru c este n interesul vital al persoanei
vizate.
(113)Transferurile care pot fi considerate ca nefiind repetitive i care se refer doar la un
numr limitat de persoane vizate, ar putea, de asemenea, s fie efectuate n scopul realizrii
intereselor legitime urmrite de operator, atunci cnd asupra respectivelor interese nu
prevaleaz interesele sau drepturile i libertile persoanei vizate i atunci cnd operatorul a
evaluat toate circumstanele aferente transferului de date. Operatorul ar trebui s acorde o
atenie deosebit naturii datelor cu caracter personal, scopului i duratei operaiunii sau
operaiunilor propuse de prelucrare, precum i situaiei din ara de origine, din ara ter i
din ara de destinaie final i ar trebui s ofere garanii adecvate pentru protecia drepturilor
i libertilor fundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor lor cu
caracter personal. Astfel de transferuri ar trebui s fie posibile numai n cazurile reziduale n
care nu se poate aplica niciunul dintre celelalte motive de transfer. n ceea ce privete
scopurile de cercetare tiinific sau istoric sau scopurile statistice, ar trebui s se ia n
considerare ateptrile legitime ale societii cu privire la creterea nivelului de cunotine.
Operatorul ar trebui s informeze autoritatea de supraveghere i persoana vizat cu privire la
transfer.
(114)n orice caz, atunci cnd Comisia nu a luat o decizie cu privire la nivelul adecvat de
protecie a datelor dintr-o ar ter, operatorul sau persoana mputernicit de operator ar
trebui s utilizeze soluii care s ofere persoanelor vizate drepturi opozabile i efective n ceea
ce privete prelucrarea datelor lor n Uniune odat ce aceste date au fost transferate, astfel
nct persoanele vizate s beneficieze n continuare de drepturi fundamentale i garanii.
(115)Unele ri tere au adoptat legi, reglementri i alte acte juridice care au drept obiectiv
s reglementeze n mod direct activitile de prelucrare a datelor ale persoanelor fizice i
juridice aflate sub jurisdicia statelor membre. Aceasta poate include hotrri ale instanelor
judectoreti sau decizii ale autoritilor administrative din ri tere care solicit unui
operator sau unei persoane mputernicite de operator s transfere sau s divulge date cu
caracter personal i care nu se bazeaz pe un acord internaional, cum ar fi un tratat de
asisten juridic reciproc, n vigoare ntre ara ter solicitant i Uniune sau un stat
membru. Aplicarea extrateritorial a acestor legi, reglementri i alte acte juridice poate
nclca dreptul internaional i poate mpiedica asigurarea proteciei persoanelor fizice
asigurat n Uniune prin prezentul regulament. Transferurile ar trebui s fie permise numai n
cazul ndeplinirii condiiilor prevzute de prezentul regulament pentru un transfer ctre ri
tere. Acesta ar putea fi cazul, inter alia, atunci cnd divulgarea este necesar dintr-un motiv
important de interes public recunoscut n dreptul Uniunii sau n dreptul intern care se aplic
operatorului.
(116)Fluxul transfrontalier de date cu caracter personal n afara Uniunii poate expune unui
risc sporit capacitatea persoanelor fizice de a-i exercita drepturile n materie de protecie a
datelor, n special pentru a-i asigura protecia mpotriva utilizrii sau a divulgrii ilegale a
acestor informaii. n acelai timp, autoritile de supraveghere pot constata c se afl n
imposibilitatea de a trata plngeri sau de a efectua investigaii referitoare la activitile
desfurate n afara frontierelor lor. Eforturile acestora de a conlucra n context transfrontalier
pot fi, de asemenea, ngreunate de insuficiena competenelor de prevenire sau remediere,
de caracterul eterogen al regimurilor juridice i de existena unor obstacole de ordin practic,
cum ar fi constrngerile n materie de resurse. Prin urmare, este necesar s se promoveze o
cooperare mai strns ntre autoritile de supraveghere a proteciei datelor pentru a putea
face schimb de informaii i a desfura investigaii mpreun cu omologii lor internaionali. n
scopul elaborrii de mecanisme de cooperare internaional pentru a facilita i a oferi
asisten internaional reciproc n asigurarea aplicrii legislaiei din domeniul proteciei
datelor cu caracter personal, Comisia i autoritile de supraveghere ar trebui s fac schimb
de informaii i s coopereze n cadrul activitilor legate de exercitarea competenelor lor cu
autoritile competente din ri tere, pe baz de reciprocitate i n conformitate cu prezentul
regulament.
(117)Instituirea n statele membre a unor autoriti de supraveghere, mputernicite s i
ndeplineasc sarcinile i s i exercite competenele n deplin independen, este un
element esenial al proteciei persoanelor fizice n ceea ce privete prelucrarea datelor lor cu
caracter personal. Statele membre ar trebui s poat institui mai multe autoriti de
supraveghere, pentru a reflecta structura lor constituional, organizatoric i administrativ.
(118)Independena autoritilor de supraveghere nu ar trebui s nsemne c autoritile de
supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare n ceea ce
privete cheltuielile acestora sau unui control jurisdicional.
(119)n cazul n care un stat membru instituie mai multe autoriti de supraveghere, acesta
ar trebui s stabileasc prin lege mecanisme care s asigure participarea efectiv a
autoritilor de supraveghere respective la mecanismul pentru asigurarea coerenei. Statul
membru respectiv ar trebui, n special, s desemneze autoritatea de supraveghere care
ndeplinete funcia de punct unic de contact pentru participarea efectiv a acestor autoriti
la mecanism, n scopul asigurrii unei cooperri rapide i armonioase cu alte autoriti de
supraveghere, cu comitetul i cu Comisia.
(120)Fiecare autoritate de supraveghere ar trebui s beneficieze de resurse financiare i
umane, de spaiile i de infrastructura necesare pentru ndeplinirea cu eficacitate a sarcinilor
lor, inclusiv a celor legate de asistena reciproc i cooperarea cu alte autoriti de
supraveghere n ntreaga Uniune. Fiecare autoritate de supraveghere ar trebui s aib un
buget public anual separat, care poate face parte din bugetul general de stat sau naional.
(121)Condiiile generale pentru membrul sau membrii autoritii de supraveghere ar trebui
stabilite de lege n fiecare stat membru i ar trebui, n special, s prevad c respectivii
membri sunt numii printr-o procedur transparent fie de parlamentul, de guvernul ori eful
de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al
guvernului, a parlamentului sau a unei camere a parlamentului, fie de ctre un organism
independent mputernicit prin dreptul intern. n vederea asigurrii independenei autoritii de
supraveghere, membrul sau membrii acesteia ar trebui s acioneze cu integritate, s nu
ntreprind aciuni incompatibile cu ndatoririle lor, iar, pe durata mandatului, ar trebui s nu
desfoare activiti incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui
s aib personal propriu, ales de autoritatea de supraveghere sau de un organism
independent nfiinat n temeiul dreptului intern, care ar trebui s fie subordonat exclusiv
membrului sau membrilor autoritii de supraveghere.
(122)Fiecare autoritate de supraveghere ar trebui s aib, pe teritoriul statului membru de
care aparine, atribuia de a exercita competenele i de a ndeplini sarcinile cu care este
nvestit n conformitate cu prezentul regulament.
Aceasta ar trebui s includ n special prelucrarea n contextul activitilor unui sediu al
operatorului sau al persoanei mputernicite de operator pe teritoriul propriului stat membru,
prelucrarea datelor cu caracter personal efectuat de autoritile publice sau de organisme
private care acioneaz n interes public, prelucrarea care afecteaz persoanele vizate de pe
teritoriul su sau prelucrarea efectuat de ctre un operator sau o persoan mputernicit de
operator care nu i are sediul n Uniune n cazul n care aceasta privete persoane vizate care
i au reedina pe teritoriul su. Aceasta ar trebui s includ tratarea plngerilor depuse de o
persoan vizat, efectuarea de investigaii privind aplicarea prezentului regulament i
promovarea informrii publicului cu privire la riscurile, normele, garaniile i drepturile n
materie de prelucrare a datelor cu caracter personal.
(123)Autoritile de supraveghere ar trebui s monitorizeze aplicarea dispoziiilor prevzute
de prezentul regulament i s contribuie la aplicarea coerent a acestuia n ntreaga Uniune,
n scopul asigurrii proteciei persoanelor fizice n ceea ce privete prelucrarea datelor lor cu
caracter personal i al facilitrii liberei circulaii a datelor cu caracter personal n interiorul
pieei interne. n acest sens, autoritile de supraveghere ar trebui s coopereze reciproc,
precum i cu Comisia, fr s fie necesar niciun acord ntre statele membre cu privire la
acordarea de asisten reciproc sau cu privire la respectiva cooperare.
(124)n cazul n care prelucrarea datelor cu caracter personal se desfoar n cadrul
activitilor unui sediu al unui operator sau al unei persoane mputernicite de operator din
Uniune, iar operatorul sau persoana mputernicit de operator are sedii n mai multe state
membre, sau n cazul n care prelucrarea care se desfoar n contextul activitilor unui
singur sediu al unui operator sau al unei persoane mputernicite de operator din Uniune
afecteaz sau este susceptibil s afecteze semnificativ persoane vizate din mai multe state
membre, autoritatea de supraveghere a sediului principal al operatorului sau al persoanei
mputernicite de operator ori a sediului unic al operatorului sau al persoanei mputernicite de
operator ar trebui s acioneze n calitate de autoritate principal. Aceasta ar trebui s
coopereze cu celelalte autoriti vizate, pentru c operatorul sau persoana mputernicit de
operator are un sediu pe teritoriul statului lor membru, pentru c persoanele vizate care i au
reedina pe teritoriul lor sunt afectate n mod semnificativ sau pentru c le-a fost naintat o
plngere. De asemenea, n cazul n care o persoan vizat care nu i are reedina n statul
membru respectiv a depus o plngere, autoritatea de supraveghere la care a fost depus
plngerea ar trebui, de asemenea, s fie o autoritate de supraveghere vizat. n cadrul
sarcinilor sale de a emite orientri cu privire la orice chestiune referitoare la punerea n
aplicare a prezentului regulament, comitetul ar trebui s poat emite orientri privind, n
special, criteriile care trebuie luate n considerare pentru a se stabili dac prelucrarea n cauz
afecteaz n mod semnificativ persoane vizate din mai multe state membre i privind
coninutul unei obiecii relevante i motivate.
(125)Autoritatea principal ar trebui s aib competena de a adopta decizii obligatorii
privind msurile de aplicare a competenelor care i sunt conferite n conformitate cu
prezentul regulament. n calitatea sa de autoritate principal, autoritatea de supraveghere ar
trebui s implice ndeaproape i s coordoneze activitile autoritilor de supraveghere vizate
n procesul decizional. n cazurile n care decizia este de respingere parial sau total a
plngerii din partea persoanei vizate, o asemenea decizie ar trebui adoptat de ctre
autoritatea de supraveghere la care s-a depus plngerea.
(126)Decizia ar trebui convenit n comun de autoritatea de supraveghere principal i de
autoritile de supraveghere vizate i ar trebui s vizeze sediul principal sau sediul unic al
operatorului sau al persoanei mputernicite de operator i s fie obligatorie pentru operator i
pentru persoana mputernicit de operator. Operatorul sau persoana mputernicit de
operator ar trebui s ia msurile necesare pentru a asigura conformitatea cu prezentul
regulament i punerea n aplicare a deciziei notificate de autoritatea de supraveghere
principal sediului principal al operatorului sau al persoanei mputernicite de operator n ceea
ce privete activitile de prelucrare n Uniune.
(127)Fiecare autoritate de supraveghere care nu acioneaz ca autoritate de supraveghere
principal ar trebui s aib competena de a trata cazuri locale, n care operatorul sau
persoana mputernicit de operator are sedii n mai multe state membre, dar obiectul
respectivei prelucrri privete doar prelucrarea efectuat ntr-un singur stat membru i
implicnd doar persoane vizate din acel unic stat membru, de exemplu n cazul n care
obiectul l constituie prelucrarea datelor cu caracter personal ale angajailor n contextul
specific legat de fora de munc dintr-un stat membru. n astfel de cazuri, autoritatea de
supraveghere ar trebui s informeze fr ntrziere autoritatea de supraveghere principal cu
privire la aceast chestiune. Dup ce a fost informat, autoritatea de supraveghere principal
ar trebui s decid dac va trata ea nsi cazul n temeiul dispoziiei privind cooperarea ntre
autoritatea de supraveghere principal i alte autoriti de supraveghere vizate ("mecanismul
ghieului unic"), sau dac autoritatea de supraveghere care a informat-o ar trebui s se
ocupe de caz la nivel local. Atunci cnd decide dac va trata cazul, autoritatea de
supraveghere principal ar trebui s ia n considerare dac exist un sediu al operatorului sau
al persoanei mputernicite de operator n statul membru al autoritii de supraveghere care a
informat-o, n vederea garantrii respectrii efective a unei decizii n ceea ce privete
operatorul sau persoana mputernicit de operator. n cazul n care autoritatea de
supraveghere principal decide s trateze cazul, autoritatea de supraveghere care a informat-
o ar trebui s beneficieze de posibilitatea de a prezenta un proiect de decizie, de care
autoritatea de supraveghere principal ar trebui s in seama n cea mai mare msur atunci
cnd pregtete proiectul su de decizie n cadrul respectivului mecanism al ghieului unic.
(128)Normele privind autoritatea de supraveghere principal i mecanismul ghieului unic nu
ar trebui s se aplice n cazul n care prelucrarea este efectuat de autoriti publice sau
organisme private n interes public. n asemenea cazuri, singura autoritate de supraveghere
competent s i exercite competenele care i-au fost atribuite n conformitate cu prezentul
regulament ar trebui s fie autoritatea de supraveghere a statului membru n care autoritatea
public sau organismul privat i are sediul.
(129)Pentru a se asigura consecvena monitorizrii i a aplicrii prezentului regulament n
ntreaga Uniune, autoritile de supraveghere ar trebui s aib n fiecare stat membru
aceleai sarcini i competene efective, inclusiv competene de investigare, competene
corective i sanciuni, precum i competene de autorizare i de consiliere, n special n cazul
plngerilor depuse de persoane fizice, precum i, fr a aduce atingere competenelor
autoritilor de urmrire penal n temeiul dreptului intern, de a aduce n atenia autoritilor
judiciare cazurile de nclcare a prezentului regulament i de a se implica n proceduri
judiciare. Aceste competene ar trebui s includ i competena de a impune o limitare
temporar sau definitiv, inclusiv o interdicie, asupra prelucrrii. Statele membre pot stabili
alte sarcini legate de protecia datelor cu caracter personal n temeiul prezentului regulament.
Competenele autoritilor de supraveghere ar trebui exercitate n conformitate cu garanii
procedurale adecvate prevzute n dreptul Uniunii i n dreptul intern, n mod imparial,
echitabil i ntr-un termen rezonabil. n special, fiecare msur ar trebui s fie adecvat,
necesar i proporional n scopul de a asigura conformitatea cu dispoziiile prezentului
regulament, lund n considerare circumstanele fiecrui caz n parte, s respecte dreptul
oricrei persoane de a fi ascultat nainte de luarea oricrei msuri individuale care ar putea
s i aduc atingere i s evite costurile inutile i inconvenientele excesive pentru persoanele
n cauz. Competenele de investigare n ceea ce privete accesul n incinte ar trebui
exercitate n conformitate cu cerinele specifice din dreptul procedural naional, cum ar fi
obligaia de a obine n prealabil o autorizare judiciar. Fiecare msur obligatorie din punct
de vedere juridic luat de autoritatea de supraveghere ar trebui s fie prezentat n scris, s
fie clar i lipsit de ambiguitate, s indice autoritatea de supraveghere care a emis msura,
data emiterii msurii, s poarte semntura efului sau a unui membru al autoritii de
supraveghere autorizat de acesta, s furnizeze motivele pentru care s-a luat msura i s
fac trimitere la dreptul la o cale de atac eficient. Acest lucru nu ar trebui s exclud cerine
suplimentare n conformitate cu dreptul procedural naional. Adoptarea unor astfel de decizii
obligatorii din punct de vedere juridic implic faptul c se poate da natere unui control
jurisdicional n statul membru al autoritii de supraveghere care a adoptat decizia.
(130)n cazul n care autoritatea de supraveghere la care s-a depus plngerea nu este
autoritatea de supraveghere principal, autoritatea de supraveghere principal ar trebui s
coopereze ndeaproape cu autoritatea de supraveghere la care s-a depus plngerea, n
conformitate cu dispoziiile privind cooperarea i consecvena prevzute n prezentul
regulament. n astfel de cazuri, autoritatea de supraveghere principal ar trebui, atunci cnd
ia msuri destinate s produc efecte juridice, inclusiv impunerea de amenzi administrative,
s in seama ct mai mult posibil de opinia autoritii de supraveghere la care a fost depus
plngerea i care ar trebui s i menin competena de a desfura orice investigaie pe
teritoriul propriului stat membru, n colaborare cu autoritatea de supraveghere principal.
(131)n cazurile n care o alt autoritate de supraveghere ar trebui s acioneze n calitate de
autoritate de supraveghere principal pentru activitile de prelucrare ale operatorului sau ale
persoanei mputernicite de operator, dar obiectul concret al unei plngeri sau posibila
nclcare vizeaz numai activitile de prelucrare ale operatorului sau ale persoanei
mputernicite de operator n statul membru n care a fost depus plngerea sau a fost
depistat posibila nclcare, iar chestiunea nu afecteaz n mod substanial sau nu este
susceptibil s afecteze n mod substanial persoane vizate din alte state membre, autoritatea
de supraveghere care a primit o plngere sau a depistat ori a fost informat n alt mod
asupra unor situaii de posibile nclcri ale prezentului regulament ar trebui s ncerce o
soluionare pe cale amiabil cu operatorul i, n cazul n care aceasta eueaz, s i exercite
plenitudinea competenelor. Aceasta ar trebui s includ activiti specifice de prelucrare
efectuate pe teritoriul statului membru al autoritii de supraveghere ori cu privire la
persoane vizate de pe teritoriul acelui stat membru, activiti de prelucrare care au loc n
contextul unei oferte de bunuri sau servicii destinate n mod special persoanelor vizate pe
teritoriul statului membru al autoritii de supraveghere sau activiti de prelucrare care
trebuie evaluate innd seama de obligaiile juridice relevante n temeiul dreptului intern.
(132)Activitile de cretere a gradului de contientizare organizate pentru public de
autoritile de supraveghere ar trebui s includ msuri specifice care s vizeze operatorii i
persoanele mputernicite de operatori, inclusiv microntreprinderile i ntreprinderile mici i
mijlocii, precum i persoanele fizice, n special n context educaional.
(133)Autoritile de supraveghere ar trebui s i acorde reciproc asisten n ndeplinirea
sarcinilor care le revin, pentru a se asigura coerena aplicrii prezentului regulament pe piaa
intern. O autoritate de supraveghere care solicit asisten reciproc poate adopta o msur
provizorie n cazul n care nu primete un rspuns la o solicitare de asisten reciproc n
termen de o lun de la primirea solicitrii de ctre cealalt autoritate de supraveghere.
(134)Fiecare autoritate de supraveghere ar trebui s participe, dup caz, la operaiuni
comune ntre autoritile de supraveghere. Autoritatea de supraveghere creia i s-a adresat
solicitarea ar trebui s aib obligaia de a rspunde cererii ntr-un anumit termen.
(135)Pentru a se asigura aplicarea coerent a prezentului regulament n ntreaga Uniune, ar
trebui s se instituie un mecanism pentru asigurarea coerenei n cadrul cruia autoritile de
supraveghere s coopereze. Acest mecanism ar trebui s se aplice, n special, n cazul n care
o autoritate de supraveghere intenioneaz s adopte o msur prevzut a produce efecte
juridice n ceea ce privete operaiunile de prelucrare care afecteaz n mod substanial un
numr semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui s
se aplice, de asemenea, n cazul n care o autoritate de supraveghere vizat sau Comisia
solicit ca aspectul respectiv s fie tratat n cadrul mecanismului pentru asigurarea coerenei.
Acest mecanism nu ar trebui s aduc atingere msurilor pe care Comisia le poate adopta n
exercitarea competenelor care i revin n temeiul tratatelor.
(136)n aplicarea mecanismului pentru asigurarea coerenei, comitetul ar trebui, ntr-un
anumit termen, s emit un aviz n cazul n care o majoritate a membrilor si decide astfel
sau n cazul n care orice autoritate de supraveghere vizat sau Comisia solicit acest lucru.
Comitetul ar trebui, de asemenea, s fie mputernicit s adopte decizii obligatorii din punct de
vedere juridic n cazul unor litigii ntre autoritile de supraveghere. n acest scop, acesta ar
trebui s emit, n principiu cu o majoritate de dou treimi din membrii si, decizii obligatorii
din punct de vedere juridic, n cazuri bine definite, n cazul n care exist opinii divergente
ntre autoritile de supraveghere, n special n cadrul mecanismului de cooperare ntre
autoritatea de supraveghere principal i autoritile de supraveghere vizate privind fondul
cauzei, n special existena sau nu a unei nclcri a prezentului regulament.
(137)Este posibil s existe o necesitate urgent de a se aciona pentru asigurarea proteciei
drepturilor i libertilor persoanelor vizate, n special n cazul n care exist pericolul ca
exercitarea unui drept al unei persoane vizate s fie mpiedicat n mod considerabil. Prin
urmare, o autoritate de supraveghere ar trebui s poat adopta msuri provizorii pe teritoriul
su, justificate n mod corespunztor, avnd o perioad de valabilitate determinat care nu ar
trebui s depeasc trei luni.
(138)Aplicarea unui astfel de mecanism ar trebui s constituie o condiie pentru legalitatea
unei msuri destinate s produc efecte juridice, luate de o autoritate de supraveghere, n
cazurile n care aplicarea acesteia este obligatorie. n alte cazuri cu relevan transfrontalier,
ar trebui pus n aplicare mecanismul de cooperare ntre autoritatea de supraveghere
principal i autoritile de supraveghere vizate, iar ntre autoritile de supraveghere vizate
s-ar putea acorda asisten reciproc i s-ar putea desfura operaiuni comune pe baz
bilateral sau multilateral, fr declanarea mecanismului pentru asigurarea coerenei.
(139)Cu scopul de a promova aplicarea coerent a prezentului regulament, comitetul ar
trebui instituit ca organ independent al Uniunii. Pentru a-i ndeplini obiectivele, comitetul ar
trebui s aib personalitate juridic. Comitetul ar trebui s fie reprezentat de preedintele
su. Acesta ar trebui s nlocuiasc Grupul de lucru pentru protecia persoanelor n ceea ce
privete prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar
trebui s fie alctuit din efii autoritilor de supraveghere din fiecare stat membru i din
Autoritatea European pentru Protecia Datelor sau reprezentanii acestora. Comisia ar trebui
s participe la activitile comitetului fr a avea drept de vot, iar Autoritatea European
pentru Protecia Datelor ar trebui s aib drepturi de vot speciale. Comitetul ar trebui s
contribuie la aplicarea coerent a prezentului regulament n ntreaga Uniune, inclusiv prin
oferirea de consiliere Comisiei, n special cu privire la nivelul de protecie n rile tere i n
cadrul organizaiilor internaionale, i prin promovarea cooperrii autoritilor de
supraveghere n ntreaga Uniune. Comitetul ar trebui s acioneze n mod independent n
ndeplinirea sarcinilor sale.
(140)Comitetul ar trebui s fie asistat de un secretariat asigurat de Autoritatea European
pentru Protecia Datelor. Personalul Autoritii Europene pentru Protecia Datelor implicat n
ndeplinirea sarcinilor conferite comitetului n temeiul prezentului regulament ar trebui s i
ndeplineasc sarcinile exclusiv conform instruciunilor preedintelui comitetului i s
raporteze acestuia.
(141)Orice persoan vizat ar trebui s aib dreptul de a depune o plngere la o singur
autoritate de supraveghere, n special n statul membru n care i are reedina obinuit,
precum i dreptul la o cale de atac eficient n conformitate cu articolul 47 din cart, n cazul
n care persoana vizat consider c drepturile sale n temeiul prezentului regulament sunt
nclcate sau n cazul n care autoritatea de supraveghere nu reacioneaz la o plngere,
respinge sau refuz parial sau total o plngere sau nu acioneaz atunci cnd o astfel de
aciune este necesar pentru asigurarea proteciei drepturilor persoanei vizate. Investigaia n
urma unei plngeri ar trebui s fie efectuat, sub control judiciar, n msura n care este
necesar, n funcie de caz. Autoritatea de supraveghere ar trebui s informeze persoana
vizat cu privire la evoluia i soluionarea plngerii ntr-un termen rezonabil. n
eventualitatea n care cazul necesit o investigare suplimentar sau coordonarea cu o alt
autoritate de supraveghere, ar trebui s se furnizeze informaii intermediare persoanei vizate.
n vederea facilitrii depunerii plngerilor, fiecare autoritate de supraveghere ar trebui s ia
msuri precum punerea la dispoziie a unui formular de depunere a plngerii, care s poat fi
completat inclusiv n format electronic, fr a exclude alte mijloace de comunicare.
(142)n cazul n care persoana vizat consider c drepturile sale n temeiul prezentului
regulament sunt nclcate, aceasta ar trebui s aib dreptul de a mandata un organism, o
organizaie sau o asociaie fr scop lucrativ care este nfiinat() n conformitate cu dreptul
intern, ale crui (crei) obiective statutare sunt n interesul public i care i desfoar
activitatea n domeniul asigurrii proteciei datelor cu caracter personal, s depun o plngere
n numele su la o autoritate de supraveghere, s exercite dreptul la o cale de atac n numele
persoanelor vizate sau, n cazul n care se prevede n dreptul intern, s exercite dreptul de a
primi despgubiri n numele persoanelor vizate. Un stat membru poate prevedea ca un astfel
de organism, organizaie sau asociaie s aib dreptul de a depune o plngere n statul
membru respectiv, independent de mandatul acordat de o persoan vizat, i s aib dreptul
la o cale de atac eficient n cazul n care are motive s considere c drepturile unei persoane
vizate au fost nclcate ca rezultat al unei prelucrri a datelor cu caracter personal care
ncalc prezentul regulament. Organismul, organizaia sau asociaia n cauza nu poate
pretinde despgubiri n numele unei persoane vizate, independent de mandatul acordat de
persoana vizat.
(143)Orice persoan fizic sau juridic are dreptul de a introduce o aciune n anulare
mpotriva deciziilor comitetului n faa Curii de Justiie, n conformitate cu condiiile prevzute
la articolul 263 din TFUE. n calitate de destinatare ale acestor decizii, autoritile de
supraveghere vizate care doresc s le conteste trebuie s introduc o aciune mpotriva
deciziilor respective n termen de dou luni de la data la care le-au fost notificate, n
conformitate cu articolul 263 din TFUE. n cazul n care deciziile comitetului vizeaz n mod
direct i individual un operator, o persoan mputernicit de operator sau reclamantul, acetia
din urm pot introduce o aciune n anularea respectivelor decizii n termen de dou luni de la
publicarea acestora pe site-ul comitetului, n conformitate cu articolul 263 din TFUE. Fr a
aduce atingere acestui drept n temeiul articolului 263 din TFUE, orice persoan fizic sau
juridic ar trebui s aib dreptul la o cale de atac judiciar eficient n faa instanei naionale
competente mpotriva unei decizii a unei autoriti de supraveghere care produce efecte
juridice privind respectiva persoan. O astfel de decizie se refer n special la exercitarea
competenelor de investigare, corective i de autorizare de ctre autoritatea de supraveghere
sau la refuzul sau respingerea plngerilor. Cu toate acestea, dreptul la o cale de atac judiciar
eficient nu include msuri ale autoritilor de supraveghere care nu sunt obligatorii din punct
de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere
furnizat de aceasta. Aciunile mpotriva unei autoriti de supraveghere ar trebui s fie aduse
n faa instanelor statului membru n care este stabilit autoritatea de supraveghere i ar
trebui s se desfoare n conformitate cu dreptul procesual al statului membru respectiv.
Respectivele instane ar trebui s i exercite competena judiciar deplin, care ar trebui s
includ competena de a examina toate aspectele de fapt sau de drept care au relevan
pentru litigiul cu care acestea sunt sesizate.
n cazul n care o plngere a fost respins sau refuzat de o autoritate de supraveghere,
reclamantul poate introduce o aciune la instanele din acelai stat membru. n contextul
cilor de atac judiciare privind aplicarea prezentului regulament, instanele naionale care
consider necesar o decizie privind chestiunea respectiv pentru a le permite s ia o
hotrre pot sau, n cazul prevzut la articolul 267 din TFUE, trebuie s solicite Curii de
Justiie s pronune o decizie preliminar privind interpretarea dreptului Uniunii, inclusiv a
prezentului regulament. n plus, n cazul n care o decizie a unei autoriti de supraveghere
care pune n aplicare o decizie a comitetului este contestat n faa unei instane naionale i
este n discuie validitatea deciziei comitetului, respectiva instan naional nu are
competena de a declara nul decizia comitetului, ci trebuie s aduc chestiunea validitii n
faa Curii de Justiie, n conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat
de Curtea de Justiie, ori de cte ori instana naional consider decizia nul. Cu toate
acestea, o instan naional nu poate s transmit o chestiune cu privire la validitatea
deciziei comitetului la cererea unei persoane fizice sau juridice care a avut posibilitatea de a
introduce o aciune n anulare mpotriva respectivei decizii, n special dac aceasta era vizat
n mod direct i individual de decizia n cauz, dar nu a fcut acest lucru n termenul prevzut
la articolul 263 din TFUE.
(144)Atunci cnd o instan sesizat cu o procedur mpotriva unei decizii a unei autoriti
de supraveghere are motive s cread c n faa unei instane competente dintr-un alt stat
membru au fost introduse proceduri cu privire la aceeai prelucrare, cum ar fi acelai obiect al
prelucrrii, de ctre acelai operator sau aceleai persoan mputernicit de operator, sau
aceeai cauz, instana respectiv ar trebui s contacteze cea de a doua instan pentru a
confirma existena unor astfel de proceduri conexe. n cazul n care aceste proceduri conexe
se afl pe rolul unei instane dintr-un alt stat membru, orice instan, cu excepia celei
sesizate iniial, poate s i suspende procedurile sau, la cererea uneia dintre pri, i poate
declina competena n favoarea instanei sesizate iniial, cu condiia ca aceasta din urm s
aib competena de a soluiona procedurile n cauz i ca dreptul care i se aplic s i permit
consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci cnd sunt
att de strns legate ntre ele nct este oportun instrumentarea i judecarea lor n acelai
timp pentru a se evita riscul pronunrii unor hotrri ireconciliabile n cazul judecrii lor n
mod separat.
(145)n ceea ce privete aciunile iniiate mpotriva unui operator sau unei persoane
mputernicite de operator, reclamantul ar trebui s aib posibilitatea de a introduce aciunea
n faa instanelor din statele membre n care operatorul sau persoana mputernicit de
operator are un sediu sau n care persoana vizat i are reedina, cu excepia cazului n care
operatorul este o autoritate public dintr-un stat membru ce acioneaz n exercitarea
competenelor sale publice.
(146)Operatorul sau persoana mputernicit de operator ar trebui s plteasc despgubiri
pentru orice prejudiciu pe care o persoan l poate suferi ca urmare a unei prelucrri care
ncalc prezentul regulament. Operatorul sau persoana mputernicit de operator ar trebui s
fie exonerai de rspundere dac dovedesc c nu sunt n niciun fel rspunztori pentru
prejudiciu. Conceptul de prejudiciu ar trebui interpretat n sens larg, din perspectiva
jurisprudenei Curii de Justiie, ntr-un mod care s reflecte pe deplin obiectivele prezentului
regulament. Aceast dispoziie nu aduce atingere niciunei cereri de despgubire care rezult
din nclcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care ncalc
prezentul regulament include i prelucrarea care ncalc actele delegate i de punere n
aplicare adoptate n conformitate cu prezentul regulament i cu dreptul intern care specific
norme din prezentul regulament. Persoanele vizate ar trebui s primeasc despgubiri
integrale i eficace pentru prejudiciul pe care le-au suferit. n cazul n care operatorii sau
persoanele mputernicite de operatori sunt implicate n aceeai prelucrare, fiecare operator
sau fiecare persoan mputernicit de operator ar trebui s fie considerat rspunztoare
pentru ntregul prejudiciu. Cu toate acestea, atunci cnd procedurile juridice care le vizeaz
sunt conexate, n conformitate cu dreptul intern, despgubirile pot fi mprite n funcie de
rspunderea fiecrui operator sau a fiecrei persoane mputernicite de operator, cu condiia
s se asigure despgubirea integral i efectiv a persoanei vizate care a suferit prejudiciul.
Orice operator sau persoan mputernicit de operator care a pltit despgubiri integrale
poate formula ulterior o aciune n regres mpotriva altor operatori sau persoane mputernicite
de operatori implicate n aceeai prelucrare.
(147)n cazul n care prezentul regulament cuprinde norme specifice privind competena
judiciar, n special n ceea ce privete cile de atac judiciare, inclusiv aciunile n despgubiri,
mpotriva unui operator sau a unei persoane mputernicite de operator, normele generale
privind competena judiciar precum cele din Regulamentul (UE) nr. 1215/2012 al
Parlamentului European i al Consiliului (1) nu ar trebui s aduc atingere aplicrii unor astfel
de norme specifice.
(1)Regulamentul (UE) nr. 1215/2012 al Parlamentului European i al Consiliului din 12
decembrie 2012 privind competena judiciar, recunoaterea i executarea hotrrilor n
materie civil i comercial (JO L 351, 20.12.2012, p. 1).
(148)Pentru a consolida respectarea aplicrii normelor prevzute n prezentul regulament, ar
trebui impuse sanciuni, inclusiv amenzi administrative, pentru orice nclcare a prezentului
regulament, pe lng sau n locul msurilor adecvate impuse de autoritatea de supraveghere
n temeiul prezentului regulament. n cazul unei nclcri minore sau n cazul n care amenda
susceptibil de a fi impus ar constitui o sarcin disproporionat pentru o persoan fizic,
poate fi emis un avertisment n locul unei amenzi. Cu toate acestea, ar trebui s se ia n
considerare n mod corespunztor natura, gravitatea i durata nclcrii, caracterul deliberat
al nclcrii, aciunile ntreprinse pentru a reduce prejudiciul cauzat, gradul de rspundere sau
orice nclcri anterioare relevante, modul n care nclcarea a fost adus la cunotina
autoritii de supraveghere, conformitatea cu msurile adoptate mpotriva operatorului sau a
persoanei mputernicite de operator, aderarea la un cod de conduit i orice alt factor
agravant sau atenuant. Impunerea de sanciuni, inclusiv de amenzi administrative, ar trebui
s fac obiectul unor garanii procedurale adecvate, n conformitate cu principiile generale ale
dreptului Uniunii i cu carta, inclusiv o protecie judiciar eficient i un proces echitabil.
(149)Statele membre ar trebui s poat stabili normele privind sanciunile penale pentru
nclcrile prezentului regulament, inclusiv pentru nclcarea normelor de drept intern
adoptate n temeiul i n limitele prezentului regulament. Respectivele sanciuni penale pot,
de asemenea, permite privarea de profiturile obinute prin nclcarea prezentului regulament.
Cu toate acestea, impunerea de sanciuni penale pentru nclcri ale unor asemenea norme
de drept intern i de sanciuni administrative nu ar trebui s duc la nclcarea principiului ne
bis in idem, astfel cum a fost interpretat de Curtea de Justiie.
(150)Pentru consolidarea i armonizarea sanciunilor administrative n cazul nclcrii
prezentului regulament, fiecare autoritate de supraveghere ar trebui s aib competena de a
impune amenzi administrative. Prezentul regulament ar trebui s indice nclcrile, i limita
maxim i criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui s fie
stabilite de autoritatea de supraveghere competent n fiecare caz n parte, innd seama de
toate circumstanele relevante ale situaiei specifice, lundu-se n considerare n mod
corespunztor, n special, natura, gravitatea i durata nclcrii, precum i consecinele
acesteia i msurile luate pentru a se asigura respectarea obligaiilor n temeiul prezentului
regulament i pentru a se preveni sau atenua consecinele nclcrii. n cazul n care amenzile
administrative sunt impuse unei ntreprinderi, o ntreprindere ar trebui neleas ca fiind o
ntreprindere n conformitate cu articolele 101 i 102 din TFUE n aceste scopuri. n cazul n
care se impun amenzi administrative unor persoane care nu sunt ntreprinderi, autoritatea de
supraveghere ar trebui s in seama de nivelul general al veniturilor din statul membru
respectiv, precum i de situaia economic a persoanei atunci cnd estimeaz cuantumul
adecvat al amenzii. Mecanismul pentru asigurarea coerenei poate fi, de asemenea, utilizat
pentru a promova aplicarea consecvent a amenzilor administrative. Competena de a stabili
dac i n ce msur autoritile publice ar trebui s fac obiectul unor amenzi administrative
ar trebui s revin statelor membre. Impunerea unei amenzi administrative sau transmiterea
unei avertizri nu afecteaz aplicarea altor competene ale autoritilor de supraveghere sau
a altor sanciuni n temeiul prezentului regulament.
(151)Sistemele juridice ale Danemarcei i Estoniei nu permit amenzi administrative astfel
cum sunt prevzute n prezentul regulament. Normele privind amenzile administrative pot fi
aplicate astfel nct, n Danemarca, amenda s fie impus de instanele naionale competente
ca sanciune penal, iar n Estonia amenda s fie impus de autoritatea de supraveghere n
cadrul unei proceduri privind delictele, cu condiia ca o astfel de aplicare a normelor n statele
membre respective s aib un efect echivalent cu cel al amenzilor administrative impuse de
autoritile de supraveghere. Prin urmare, instanele naionale competente ar trebui s in
seama de recomandarea autoritii de supraveghere care a iniiat amenda. n orice caz,
amenzile impuse ar trebui s fie eficace, proporionale i disuasive.
(152)n cazul n care prezentul regulament nu armonizeaz sanciunile administrative sau n
alte cazuri, acolo unde este necesar, de exemplu n cazul unor nclcri grave ale prezentului
regulament, statele membre ar trebui s pun n aplicare un sistem care s prevad sanciuni
eficace, proporionale i disuasive. Natura unor astfel de sanciuni, penale sau administrative,
ar trebui stabilit n dreptul intern.
(153)Dreptul statelor membre ar trebui s stabileasc un echilibru ntre normele care
reglementeaz libertatea de exprimare i de informare, inclusiv exprimarea jurnalistic,
academic, artistic i/sau literar, i dreptul la protecia datelor cu caracter personal n
temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv n scopuri
jurnalistice sau n scopul exprimrii academice, artistice sau literare ar trebui s fac obiectul
unor derogri sau al unor excepii de la anumite dispoziii ale prezentului regulament n cazul
n care este necesar stabilirea unui echilibru ntre dreptul la protecia datelor cu caracter
personal i dreptul la libertatea de exprimare i de informare, astfel cum este prevzut n
articolul 11 din cart. Acest lucru ar trebui s se aplice n special prelucrrii datelor cu
caracter personal n domeniul audiovizualului, precum i n arhivele de tiri i n bibliotecile
ziarelor. Prin urmare, statele membre ar trebui s adopte msuri legislative care s prevad
excepiile i derogrile necesare n vederea asigurrii echilibrului ntre aceste drepturi
fundamentale. Statele membre ar trebui s adopte astfel de excepii i derogri n ceea ce
privete principiile generale, drepturile persoanelor vizate, operatorul i persoana
mputernicit de operator, transferul de date cu caracter personal ctre ri tere sau
organizaii internaionale, autoritile de supraveghere independente, cooperarea i coerena,
precum i n ceea ce privete situaii specifice de prelucrare a datelor. n cazul n care aceste
excepii sau derogri difer de la un stat membru la altul, ar trebui s se aplice dreptul
statului membru sub incidena cruia intr operatorul. Pentru a ine seama de importana
dreptului la libertatea de exprimare n fiecare societate democratic, este necesar ca noiunile
legate de aceast libertate, cum ar fi jurnalismul, s fie interpretate n sens larg.
(154)Prezentul regulament permite luarea n considerare a principiului accesului public la
documente oficiale n aplicarea prezentului regulament. Accesul public la documente oficiale
poate fi considerat a fi n interes public. Datele cu caracter personal din documentele deinute
de o autoritate public sau de un organism public ar trebui s poat fi divulgate de
autoritatea respectiv sau de organismul respectiv n cazul n care dreptul Uniunii sau dreptul
intern sub incidena cruia intr autoritatea public sau organismul public prevede acest
lucru. Dreptul Uniunii i dreptul intern ar trebui s asigure un echilibru ntre accesul public la
documentele oficiale i reutilizarea informaiilor din sectorul public, pe de o parte, i dreptul la
protecia datelor cu caracter personal, pe de alt parte, i ar putea prin urmare s prevad
echilibrul necesar cu dreptul la protecia datelor cu caracter personal n temeiul prezentului
regulament. Trimiterea la autoritile i organismele publice ar trebui, n acest context, s
includ toate autoritile sau alte organisme reglementate de dreptul intern privind accesul
public la documente. Directiva 2003/98/CE a Parlamentului European i a Consiliului (1)
las intact i nu aduce atingere n niciun fel nivelului de protecie a persoanelor fizice n ceea
ce privete prelucrarea datelor cu caracter personal n conformitate cu dreptul Uniunii i cu
cel intern i, n special, nu modific drepturile i obligaiile prevzute de prezentul
regulament. n special, directiva sus-menionat nu se aplic documentelor la care accesul
este exclus sau restrns n temeiul regimurilor de acces din motive legate de protecia datelor
cu caracter personal i nici prilor din documente accesibile n temeiul respectivelor regimuri
care conin date cu caracter personal a cror reutilizare a fost stabilit prin lege ca fiind
incompatibil cu dreptul privind protecia persoanelor fizice n ceea ce privete prelucrarea
datelor cu caracter personal.
(1)Directiva 2003/98/CE a Parlamentului European i a Consiliului din 17 noiembrie 2003
privind reutilizarea informaiilor din sectorul public (JO L 345, 31.12.2003, p. 90).
(155)Dreptul intern sau acordurile colective, inclusiv "acordurile de munc", pot prevedea
norme specifice care s reglementeze prelucrarea datelor cu caracter personal ale angajailor
n contextul ocuprii unui loc de munc, n special condiiile n care datele cu caracter
personal n contextul ocuprii unui loc de munc pot fi prelucrate pe baza consimmntului
angajatului, n scopul recrutrii, al respectrii clauzelor contractului de munc, inclusiv
descrcarea de obligaiile stabilite prin lege sau prin acorduri colective, al gestionrii,
planificrii i organizrii muncii, al egalitii i diversitii la locul de munc, al asigurrii
sntii i securitii la locul de munc, precum i n scopul exercitrii i beneficierii, n mod
individual sau colectiv, de drepturile i beneficiile legate de ocuparea unui loc de munc,
precum i n scopul ncetrii raporturilor de munc.
(156)Prelucrarea datelor cu caracter personal n scopuri de arhivare n interes public, n
scopuri de cercetare tiinific sau istoric ori n scopuri statistice ar trebui s fac obiectul
unor garanii adecvate pentru drepturile i libertile persoanei vizate n temeiul prezentului
regulament. Respectivele garanii ar trebui s asigure faptul c au fost instituite msuri
tehnice i organizatorice necesare pentru a se asigura, n special, principiul reducerii la
minimum a datelor. Prelucrarea ulterioar a datelor cu caracter personal n scopuri de
arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice
se efectueaz atunci cnd operatorul a evaluat fezabilitatea pentru ndeplinirea acestor
obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit
identificarea persoanelor vizate, cu condiia s existe garanii adecvate (cum ar fi
pseudonimizarea datelor cu caracter personal). Statele membre ar trebui s prevad garanii
adecvate pentru prelucrarea datelor cu caracter personal n scopuri de arhivare n interes
public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. Statele membre
ar trebui s fie autorizate s ofere, n anumite condiii i sub rezerva unor garanii adecvate
pentru persoanele vizate, precizri i derogri n ceea ce privete cererile de informaii i
dreptul la rectificare, dreptul la tergere, dreptul de a fi uitat, dreptul la restricionarea
prelucrrii,dreptul la portabilitatea datelor, precum i dreptul la opoziie n cazul prelucrrii
datelor cu caracter personal n scopuri de arhivare n interes public, n scopuri de cercetare
tiinific sau istoric ori n scopuri statistice. Condiiile i garaniile n cauz pot genera
proceduri specifice astfel nct persoanele vizate s i exercite respectivele drepturi dac
acest lucru este adecvat n contextul scopurilor vizate de prelucrarea specific, precum i
msuri tehnice i organizaionale viznd reducerea la minimum a prelucrrii datelor cu
caracter personal, n conformitate cu principiile proporionalitii i necesitii. Prelucrarea
datelor cu caracter personal n scopuri tiinifice ar trebui s fie, de asemenea, conform cu
alte acte legislative relevante, cum ar fi cele privind studiile clinice.
(157)Prin combinarea informaiilor din registre, cercettorii pot obine noi cunotine de
mare valoare n ceea ce privete bolile cu larg rspndire, cum ar fi bolile cardiovasculare,
cancerul i depresia. Pe baza registrelor, rezultatele cercetrilor pot fi ntrite, ntruct
acestea se bazeaz pe o populaie mai mare. n domeniul tiinelor sociale, cercetarea pe
baza registrelor le permite cercettorilor s obin informaii eseniale despre corelarea pe
termen lung a unei serii de condiii sociale, precum omajul sau educaia, cu alte condiii de
via. Rezultatele cercetrilor obinute pe baza registrelor furnizeaz cunotine solide, de
nalt calitate, care pot constitui baza pentru elaborarea i punerea n aplicare a unor politici
bazate pe cunoatere i care pot mbunti calitatea vieii pentru un numr de persoane,
eficiena serviciilor sociale. Pentru a facilita cercetarea tiinific, datele cu caracter personal
pot fi prelucrate n scopuri de cercetare tiinific, sub rezerva condiiilor i a garaniilor
corespunztoare stabilite n dreptul Uniunii sau n dreptul intern.
(158)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de arhivare,
prezentul regulament ar trebui s se aplice i prelucrrii respective, innd seama de faptul c
prezentul regulament nu ar trebui s se aplice persoanelor decedate. Autoritile publice sau
organismele publice sau private care dein evidene de interes public ar trebui, n temeiul
dreptului Uniunii sau al dreptului naional, s aib o obligaie legal de a dobndi, a pstra, a
evalua, a pregti, a descrie, a comunica, a promova, a disemina i a asigura accesul la
evidene de valoare durabil de interes public general. Statele membre ar trebui, de
asemenea, s poat s prevad prelucrarea ulterioar a datelor cu caracter personal n
scopuri de arhivare, de exemplu cu scopul de a furniza informaii specifice referitoare la
comportamentul politic n perioada fostelor regimuri de stat totalitare, la genociduri, la crime
mpotriva umanitii, n special holocaustul, sau la crime de rzboi.
(159)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare
tiinific, prezentul regulament ar trebui s se aplice i prelucrrii respective. n sensul
prezentului regulament, prelucrarea datelor cu caracter personal n scopuri de cercetare
tiinific ar trebui s fie interpretat n sens larg, incluznd de exemplu dezvoltarea
tehnologic i activitile demonstrative, cercetarea fundamental, cercetarea aplicat i
cercetarea finanat din surse private. Ar trebui, n plus, luat n considerare obiectivul Uniunii
de creare a unui Spaiu european de cercetare, astfel cum este menionat la articolul 179
alineatul (1) din TFUE. Scopurile de cercetare tiinific ar trebui s includ, de asemenea,
studii efectuate n interes public n domeniul sntii publice. Pentru a ndeplini
caracteristicile specifice ale prelucrrii datelor cu caracter personal n scopuri de cercetare
tiinific, ar trebui s se aplice condiii specifice, n special n ceea ce privete publicarea sau
divulgarea ntr-un alt mod a datelor cu caracter personal n contextul scopurilor de cercetare
tiinific. n cazul n care rezultatul cercetrii tiinifice, n special n contextul sntii,
constituie un motiv pentru msuri suplimentare n interesul persoanei vizate, normele
generale ale prezentului regulament ar trebui s se aplice avnd n vedere aceste msuri.
(160)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare
istoric, prezentul regulament ar trebui s se aplice i prelucrrii respective. Acest lucru ar
trebui s includ, de asemenea, cercetarea istoric i cercetarea n scopuri genealogice,
innd seama de faptul c prezentul regulament nu ar trebui s se aplice persoanelor
decedate.
(161)n scopul acordrii consimmntului de a participa la activiti de cercetare tiinific n
cadrul testelor clinice, ar trebui s se aplice dispoziiile relevante ale Regulamentului (UE) nr.
536/2014 al Parlamentului European i al Consiliului (1).
(1)Regulamentul (UE) nr. 536/2014 al Parlamentului European i al Consiliului din 16 aprilie
2014 privind studiile clinice intervenionale cu medicamente de uz uman i de abrogare a
Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).
(162)n cazul n care datele cu caracter personal sunt prelucrate n scopuri statistice,
prezentul regulament ar trebui s se aplice prelucrrii respective. Dreptul Uniunii sau dreptul
intern ar trebui, n limitele prezentului regulament, s determine coninutul statistic, controlul
accesului, specificaiile pentru prelucrarea datelor cu caracter personal n scopuri statistice i
msurile adecvate pentru a proteja drepturile i libertile persoanelor vizate i pentru a
asigura confidenialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior n
diferite scopuri, inclusiv n scopuri de cercetare tiinific. Scopuri statistice nseamn orice
operaiune de colectare i prelucrare de date cu caracter personal necesar pentru anchetele
statistice sau pentru producerea de rezultate statistice. Scopurile statistice presupun c
rezultatul prelucrrii n scopuri statistice nu constituie date cu caracter personal, ci date
agregate i c acest rezultat sau datele cu caracter personal nu sunt utilizate n sprijinul unor
msuri sau decizii privind o anumit persoan fizic.
(163)Informaiile confideniale pe care autoritile statistice de la nivelul Uniunii i de la nivel
naional le colecteaz n vederea elaborrii de statistici europene i naionale oficiale ar trebui
s fie protejate. Statisticile europene ar trebui concepute, elaborate i difuzate n
conformitate cu principiile statistice prevzute la articolul 338 alineatul (2) din TFUE, n timp
ce statisticile naionale ar trebui, de asemenea, s fie n conformitate cu dreptul intern.
Regulamentul (CE) nr. 223/2009 al Parlamentului European i al Consiliului (2) prevede
specificaii suplimentare privind confidenialitatea datelor statistice pentru statisticile
europene.
(2)Regulamentul (CE) nr. 223/2009 al Parlamentului European i al Consiliului din 11 martie
2009 privind statisticile europene i de abrogare a Regulamentului (CE, Euratom) nr.
1101/2008 al Parlamentului European i al Consiliului privind transmiterea de date statistice
confideniale Biroului Statistic al Comunitilor Europene, a Regulamentului (CE) nr. 322/97
al Consiliului privind statisticile comunitare i a Deciziei 89/382/CEE, Euratom a Consiliului
de constituire a Comitetului pentru programele statistice ale Comunitilor Europene (JO L 87,
31.3.2009, p. 164).
(164)n ceea ce privete competenele autoritilor de supraveghere de a obine de la
operator sau de la persoana mputernicit de operator accesul la datele cu caracter personal
i accesul n cldirile lor, statele membre pot adopta, pe cale legislativ i n limitele stabilite
de prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor
obligaii echivalente, n msura n care acest lucru este necesar pentru a asigura un echilibru
ntre dreptul la protecia datelor cu caracter personal i obligaia de pstrare a secretului
profesional. Aceasta nu aduce atingere obligaiilor existente ale statelor membre de a adopta
norme privind secretul profesional n situaiile cerute de dreptul Uniunii.
(165)Prezentul regulament respect i nu aduce atingere statutului de care beneficiaz, n
temeiul dreptului constituional existent, bisericile i asociaiile sau comunitile religioase din
statele membre, astfel cum este recunoscut n articolul 17 din TFUE.
(166)n vederea ndeplinirii obiectivelor prezentului regulament, i anume protejarea
drepturilor i libertilor fundamentale ale persoanelor fizice i, n special, a dreptului acestora
la protecia datelor cu caracter personal, i pentru a se garanta libera circulaie a datelor cu
caracter personal pe teritoriul Uniunii, competena de a adopta acte n conformitate cu
articolul 290 din TFUE ar trebui s fie delegat Comisiei. n special, ar trebui adoptate acte
delegate n ceea ce privete criteriile i cerinele privind mecanismele de certificare,
informaiile care trebuie prezentate prin pictograme standardizate i procedurile pentru
furnizarea unor astfel de pictograme. Este deosebit de important ca, n cadrul activitii sale
pregtitoare, Comisia s organizeze consultri adecvate, inclusiv la nivel de experi. Atunci
cnd pregtete i elaboreaz acte delegate, Comisia ar trebui s asigure transmiterea
simultan, la timp i n mod corespunztor a documentelor relevante ctre Parlamentul
European i ctre Consiliu.
(167)n vederea asigurrii unor condiii uniforme de punere n aplicare a prezentului
regulament, Comisia ar trebui nvestit cu competene de executare n situaiile stabilite de
prezentul regulament. Competenele respective ar trebui s fie exercitate n conformitate cu
Regulamentul (UE) nr. 182/2011. n acest context, Comisia ar trebui s ia n considerare
msuri specifice pentru microntreprinderi i pentru ntreprinderile mici i mijlocii.
(168)Procedura de examinare ar trebui utilizat pentru adoptarea de acte de punere n
aplicare privind: clauzele contractuale standard dintre operatori i persoanele mputernicite de
operatori, precum i dintre persoanele mputernicite de operatori; codurile de conduit;
standardele tehnice i mecanismele de certificare; nivelul adecvat de protecie oferit de o ar
ter, de un teritoriu sau de un anumit sector de prelucrare din ara ter respectiv, sau de o
organizaie internaional; clauzele standard de protecie a datelor; formatele i procedurile
pentru schimbul electronic de informaii ntre operatori, persoanele mputernicite de operatori
i autoritile de supraveghere pentru regulile corporatiste obligatorii; asistena reciproc;
precum i modalitile de realizare a schimbului electronic de informaii ntre autoritile de
supraveghere, precum i ntre autoritile de supraveghere i comitetul.
(169)Comisia ar trebui s adopte acte de punere n aplicare imediat aplicabile atunci cnd
dovezile disponibile arat c o ar ter, un teritoriu sau un anumit sector de prelucrare din
ara ter respectiv, sau o organizaie internaional nu asigur un nivel de protecie
adecvat, precum i din motive imperative de urgen.
(170)Deoarece obiectivul prezentului regulament, i anume asigurarea unui nivel echivalent
de protecie a persoanelor fizice i libera circulaie a datelor cu caracter personal n ntreaga
Uniune, nu poate fi realizat n mod satisfctor de ctre statele membre dar, avnd n vedere
amploarea sau efectele aciunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate
adopta msuri n conformitate cu principiul subsidiaritii, astfel cum este definit la articolul 5
din Tratatul privind Uniunea European ("Tratatul UE"). n conformitate cu principiul
proporionalitii, astfel cum este definit la articolul respectiv, prezentul regulament nu
depete ceea ce este necesar pentru realizarea obiectivelor menionate.
(171)Directiva 95/46/CE ar trebui s fie abrogat prin prezentul regulament. Prelucrrile n
derulare la data aplicrii prezentului regulament ar trebui s fie aduse n conformitate cu
prezentul regulament n termen de doi ani de la data intrrii n vigoare a prezentului
regulament. n cazul n care prelucrrile se bazeaz pe consimmnt n temeiul Directivei
95/46/CE, nu este necesar ca persoana vizat s i dea nc o dat consimmntul n
cazul n care modul n care consimmntul a fost dat este n conformitate cu condiiile din
prezentul regulament, astfel nct operatorului s i se permit s continue o astfel de
prelucrare dup data aplicrii prezentului regulament. Deciziile adoptate ale Comisiei i
autorizaiile autoritilor de supraveghere emise pe baza Directivei 95/46/CE rmn n
vigoare pn cnd vor fi modificate, nlocuite sau abrogate.
(172)Autoritatea European pentru Protecia Datelor a fost consultat n conformitate cu
articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 i a emis un aviz la 7 martie
2012 (1).
(1)JO C 192, 30.6.2012, p. 7.
(173)Prezentul regulament ar trebui s se aplice tuturor aspectelor referitoare la protecia
drepturilor i libertilor fundamentale legate de prelucrarea datelor cu caracter personal,
care nu fac obiectul unor obligaii specifice cu acelai obiectiv ca cel stabilit n Directiva
2002/58/CE a Parlamentului European i a Consiliului (2), inclusiv obligaiile privind
operatorul i drepturile persoanelor fizice. Pentru a se clarifica relaia dintre prezentul
regulament i Directiva 2002/58/CE, respectiva directiv ar trebui s fie modificat n
consecin. Dup adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui s fie
revizuit n special pentru a se asigura coerena cu prezentul regulament,
(2)Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12 iulie 2002 privind
prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice
(Directiva asupra confidenialitii i comunicaiilor electronice) (JO L 201, 31.7.2002, p. 37).
ADOPT PREZENTUL REGULAMENT:
-****-
CAPITOLUL I: Dispoziii generale
Art. 1: Obiect i obiective
(1)Prezentul regulament stabilete normele referitoare la protecia persoanelor fizice n ceea
ce privete prelucrarea datelor cu caracter personal, precum i normele referitoare la libera
circulaie a datelor cu caracter personal.
(2)Prezentul regulament asigur protecia drepturilor i libertilor fundamentale ale
persoanelor fizice i n special a dreptului acestora la protecia datelor cu caracter personal.
(3)Libera circulaie a datelor cu caracter personal n interiorul Uniunii nu poate fi
restricionat sau interzis din motive legate de protecia persoanelor fizice n ceea ce
privete prelucrarea datelor cu caracter personal.
Art. 2: Domeniul de aplicare material
(1)Prezentul regulament se aplic prelucrrii datelor cu caracter personal, efectuat total sau
parial prin mijloace automatizate, precum i prelucrrii prin alte mijloace dect cele
automatizate a datelor cu caracter personal care fac parte dintr-un sistem de eviden a
datelor sau care sunt destinate s fac parte dintr-un sistem de eviden a datelor.
(2)Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal:
a)n cadrul unei activiti care nu intr sub incidena dreptului Uniunii;
b)de ctre statele membre atunci cnd desfoar activiti care intr sub incidena
capitolului 2 al titlului V din Tratatul UE;
c)de ctre o persoan fizic n cadrul unei activiti exclusiv personale sau domestice;
d)de ctre autoritile competente n scopul prevenirii, investigrii, depistrii sau urmririi
penale a infraciunilor, sau al executrii sanciunilor penale, inclusiv al protejrii mpotriva
ameninrilor la adresa siguranei publice i al prevenirii acestora.
(3)Pentru prelucrarea datelor cu caracter personal de ctre instituiile, organele, oficiile i
ageniile Uniunii, se aplic Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001
i alte acte juridice ale Uniunii aplicabile unei asemenea prelucrri a datelor cu caracter
personal se adapteaz la principiile i normele din prezentul regulament n conformitate cu
articolul 98.
(4)Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE, n special
normelor privind rspunderea furnizorilor de servicii intermediari, prevzute la articolele 12-15
din directiva menionat.
Art. 3: Domeniul de aplicare teritorial
(1)Prezentul regulament se aplic prelucrrii datelor cu caracter personal n cadrul
activitilor unui sediu al unui operator sau al unei persoane mputernicite de operator pe
teritoriul Uniunii, indiferent dac prelucrarea are loc sau nu pe teritoriul Uniunii.
(2)Prezentul regulament se aplic prelucrrii datelor cu caracter personal ale unor persoane
vizate care se afl n Uniune de ctre un operator sau o persoan mputernicit de operator
care nu este stabilit() n Uniune, atunci cnd activitile de prelucrare sunt legate de:
a)oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac se
solicit sau nu efectuarea unei pli de ctre persoana vizat; sau
b)monitorizarea comportamentului lor dac acesta se manifest n cadrul Uniunii.
(3)Prezentul regulament se aplic prelucrrii datelor cu caracter personal de ctre un
operator care nu este stabilit n Uniune, ci ntr-un loc n care dreptul intern se aplic n
temeiul dreptului internaional public.
Art. 4: Definiii
n sensul prezentului regulament:
1."date cu caracter personal" nseamn orice informaii privind o persoan fizic identificat
sau identificabil ("persoana vizat"); o persoan fizic identificabil este o persoan care
poate fi identificat, direct sau indirect, n special prin referire la un element de identificare,
cum ar fi un nume, un numr de identificare, date de localizare, un identificator online, sau la
unul sau mai multe elemente specifice, proprii identitii sale fizice, fiziologice, genetice,
psihice, economice, culturale sau sociale;
2."prelucrare" nseamn orice operaiune sau set de operaiuni efectuate asupra datelor cu
caracter personal sau asupra seturilor de date cu caracter personal, cu sau fr utilizarea de
mijloace automatizate, cum ar fi colectarea, nregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziie n orice alt mod, alinierea sau combinarea,
restricionarea, tergerea sau distrugerea;
3."restricionarea prelucrrii" nseamn marcarea datelor cu caracter personal stocate cu
scopul de a limita prelucrarea viitoare a acestora;
4."creare de profiluri" nseamn orice form de prelucrare automat a datelor cu caracter
personal care const n utilizarea datelor cu caracter personal pentru a evalua anumite
aspecte personale referitoare la o persoan fizic, n special pentru a analiza sau prevedea
aspecte privind performana la locul de munc, situaia economic, sntatea, preferinele
personale, interesele, fiabilitatea, comportamentul, locul n care se afl persoana fizic
respectiv sau deplasrile acesteia;
5."pseudonimizare" nseamn prelucrarea datelor cu caracter personal ntr-un asemenea mod
nct acestea s nu mai poat fi atribuite unei anume persoane vizate fr a se utiliza
informaii suplimentare, cu condiia ca aceste informaii suplimentare s fie stocate separat i
s fac obiectul unor msuri de natur tehnic i organizatoric care s asigure neatribuirea
respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
6."sistem de eviden a datelor" nseamn orice set structurat de date cu caracter personal
accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate
dup criterii funcionale sau geografice;
7."operator" nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt
organism care, singur sau mpreun cu altele, stabilete scopurile i mijloacele de prelucrare
a datelor cu caracter personal; atunci cnd scopurile i mijloacele prelucrrii sunt stabilite prin
dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea
acestuia pot fi prevzute n dreptul Uniunii sau n dreptul intern;
8."persoan mputernicit de operator" nseamn persoana fizic sau juridic, autoritatea
public, agenia sau alt organism care prelucreaz datele cu caracter personal n numele
operatorului;
9."destinatar" nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt
organism creia (cruia) i sunt divulgate datele cu caracter personal, indiferent dac este sau
nu o parte ter. Cu toate acestea, autoritile publice crora li se pot comunica date cu
caracter personal n cadrul unei anumite anchete n conformitate cu dreptul Uniunii sau cu
dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de ctre autoritile
publice respective respect normele aplicabile n materie de protecie a datelor, n
conformitate cu scopurile prelucrrii;
10."parte ter" nseamn o persoan fizic sau juridic, autoritate public, agenie sau
organism altul dect persoana vizat, operatorul, persoana mputernicit de operator i
persoanele care, sub directa autoritate a operatorului sau a persoanei mputernicite de
operator, sunt autorizate s prelucreze date cu caracter personal;
11."consimmnt" al persoanei vizate nseamn orice manifestare de voin liber, specific,
informat i lipsit de ambiguitate a persoanei vizate prin care aceasta accept, printr-o
declaraie sau printr-o aciune fr echivoc, ca datele cu caracter personal care o privesc s
fie prelucrate;
12."nclcarea securitii datelor cu caracter personal" nseamn o nclcare a securitii care
duce, n mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea
neautorizat a datelor cu caracter personal transmise, stocate sau prelucrate ntr-un alt mod,
sau la accesul neautorizat la acestea;
13."date genetice" nseamn datele cu caracter personal referitoare la caracteristicile
genetice motenite sau dobndite ale unei persoane fizice, care ofer informaii unice privind
fiziologia sau sntatea persoanei respective i care rezult n special n urma unei analize a
unei mostre de material biologic recoltate de la persoana n cauz;
14."date biometrice" nseamn o date cu caracter personal care rezult n urma unor tehnici
de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale
unei persoane fizice care permit sau confirm identificarea unic a respectivei persoane, cum
ar fi imaginile faciale sau datele dactiloscopice;
15."date privind sntatea" nseamn date cu caracter personal legate de sntatea fizic
sau mental a unei persoane fizice, inclusiv prestarea de servicii de asisten medical, care
dezvluie informaii despre starea de sntate a acesteia;
16."sediu principal" nseamn:
(a)n cazul unui operator cu sedii n cel puin dou state membre, locul n care se afl
administraia central a acestuia n Uniune, cu excepia cazului n care deciziile privind
scopurile i mijloacele de prelucrare a datelor cu caracter personal se iau ntr-un alt sediu al
operatorului din Uniune, sediu care are competena de a dispune punerea n aplicare a
acestor decizii, caz n care sediul care a luat deciziile respective este considerat a fi sediul
principal;
(b)n cazul unei persoane mputernicite de operator cu sedii n cel puin dou state membre,
locul n care se afl administraia central a acesteia n Uniune, sau, n cazul n care persoana
mputernicit de operator nu are o administraie central n Uniune, sediul din Uniune al
persoanei mputernicite de operator n care au loc activitile principale de prelucrare, n
contextul activitilor unui sediu al persoanei mputernicite de operator, n msura n care
aceasta este supus unor obligaii specifice n temeiul prezentului regulament;
17."reprezentant" nseamn o persoan fizic sau juridic stabilit n Uniune, desemnat n
scris de ctre operator sau persoana mputernicit de operator n temeiul articolului 27, care
reprezint operatorul sau persoana mputernicit n ceea ce privete obligaiile lor respective
care le revin n temeiul prezentului regulament;
18."ntreprindere" nseamn o persoan fizic sau juridic ce desfoar o activitate
economic, indiferent de forma juridic a acesteia, inclusiv parteneriate sau asociaii care
desfoar n mod regulat o activitate economic;
19."grup de ntreprinderi" nseamn o ntreprindere care exercit controlul i ntreprinderile
controlate de aceasta;
20."reguli corporatiste obligatorii" nseamn politicile n materie de protecie a datelor cu
caracter personal care trebuie respectate de un operator sau de o persoan mputernicit de
operator stabilit pe teritoriul unui stat membru, n ceea ce privete transferurile sau seturile
de transferuri de date cu caracter personal ctre un operator sau o persoan mputernicit de
operator n una sau mai multe ri tere n cadrul unui grup de ntreprinderi sau al unui grup
de ntreprinderi implicate ntr-o activitate economic comun;
21."autoritate de supraveghere" nseamn o autoritate public independent instituit de un
stat membru n temeiul articolului 51;
22."autoritate de supraveghere vizat" nseamn o autoritate de supraveghere care este
vizat de procesul de prelucrare a datelor cu caracter personal deoarece:
(a)operatorul sau persoana mputernicit de operator este stabilit pe teritoriul statului
membru al autoritii de supraveghere respective;
(b)persoanele vizate care i au reedina n statul membru n care se afl autoritatea de
supraveghere respectiv sunt afectate n mod semnificativ sau sunt susceptibile de a fi
afectate n mod semnificativ de prelucrare; sau
(c)la autoritatea de supraveghere respectiv a fost depus o plngere;
23."prelucrare transfrontalier" nseamn:
(a)fie prelucrarea datelor cu caracter personal care are loc n contextul activitilor sediilor
din mai multe state membre ale unui operator sau ale unei persoane mputernicite de
operator pe teritoriul Uniunii, dac operatorul sau persoana mputernicit de operator are
sedii n cel puin dou state membre; sau
(b)fie prelucrarea datelor cu caracter personal care are loc n contextul activitilor unui
singur sediu al unui operator sau al unei persoane mputernicite de operator pe teritoriul
Uniunii, dar care afecteaz n mod semnificativ sau este susceptibil de a afecta n mod
semnificativ persoane vizate din cel puin dou state membre;
24."obiecie relevant i motivat" nseamn o obiecie la un proiect de decizie n scopul de a
stabili dac exist o nclcare a prezentului regulament sau dac msurile preconizate n ceea
ce privete operatorul sau persoana mputernicit de operator respect prezentul regulament,
care demonstreaz n mod clar importana riscurilor pe care le prezint proiectul de decizie n
ceea ce privete drepturile i libertile fundamentale ale persoanelor vizate i, dup caz,
libera circulaie a datelor cu caracter personal n cadrul Uniunii;
25."serviciile societii informaionale" nseamn un serviciu astfel cum este definit la articolul
1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European i a Consiliului (1);
(1)Directiva 98/34/CE a Parlamentului European i a Consiliului din 22 iunie 1998 de
stabilire a unei proceduri pentru furnizarea de informaii n domeniul standardelor i
reglementrilor tehnice i al normelor privind serviciile societii informaionale (JO L 204,
21.7.1998, p. 37).
26."organizaie internaional" nseamn o organizaie i organismele sale subordonate
reglementate de dreptul internaional public sau orice alt organism care este instituit printr-un
acord ncheiat ntre dou sau mai multe ri sau n temeiul unui astfel de acord.
CAPITOLUL II: Principii
Art. 5: Principii legate de prelucrarea datelor cu caracter personal
(1)Datele cu caracter personal sunt:
a)prelucrate n mod legal, echitabil i transparent fa de persoana vizat ("legalitate,
echitate i transparen");
b)colectate n scopuri determinate, explicite i legitime i nu sunt prelucrate ulterior ntr-un
mod incompatibil cu aceste scopuri; prelucrarea ulterioar n scopuri de arhivare n interes
public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice nu este
considerat incompatibil cu scopurile iniiale, n conformitate cu articolul 89 alineatul (1)
("limitri legate de scop");
c)adecvate, relevante i limitate la ceea ce este necesar n raport cu scopurile n care sunt
prelucrate ("reducerea la minimum a datelor");
d)exacte i, n cazul n care este necesar, s fie actualizate; trebuie s se ia toate msurile
necesare pentru a se asigura c datele cu caracter personal care sunt inexacte, avnd n
vedere scopurile pentru care sunt prelucrate, sunt terse sau rectificate fr ntrziere
("exactitate");
e)pstrate ntr-o form care permite identificarea persoanelor vizate pe o perioad care nu
depete perioada necesar ndeplinirii scopurilor n care sunt prelucrate datele; datele cu
caracter personal pot fi stocate pe perioade mai lungi n msura n care acestea vor fi
prelucrate exclusiv n scopuri de arhivare n interes public, n scopuri de cercetare tiinific
sau istoric ori n scopuri statistice, n conformitate cu articolul 89 alineatul (1), sub rezerva
punerii n aplicare a msurilor de ordin tehnic i organizatoric adecvate prevzute n prezentul
regulament n vederea garantrii drepturilor i libertilor persoanei vizate ("limitri legate de
stocare");
f)prelucrate ntr-un mod care asigur securitatea adecvat a datelor cu caracter personal,
inclusiv protecia mpotriva prelucrrii neautorizate sau ilegale i mpotriva pierderii, a
distrugerii sau a deteriorrii accidentale, prin luarea de msuri tehnice sau organizatorice
corespunztoare ("integritate i confidenialitate").
(2)Operatorul este responsabil de respectarea alineatului (1) i poate demonstra aceast
respectare ("responsabilitate").
Art. 6: Legalitatea prelucrrii
(1)Prelucrarea este legal numai dac i n msura n care se aplic cel puin una dintre
urmtoarele condiii:
a)persoana vizat i-a dat consimmntul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice;
b)prelucrarea este necesar pentru executarea unui contract la care persoana vizat este
parte sau pentru a face demersuri la cererea persoanei vizate nainte de ncheierea unui
contract;
c)prelucrarea este necesar n vederea ndeplinirii unei obligaii legale care i revine
operatorului;
d)prelucrarea este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
e)prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public
sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul;
f)prelucrarea este necesar n scopul intereselor legitime urmrite de operator sau de o parte
ter, cu excepia cazului n care prevaleaz interesele sau drepturile i libertile
fundamentale ale persoanei vizate, care necesit protejarea datelor cu caracter personal, n
special atunci cnd persoana vizat este un copil.
Litera (f) din primul paragraf nu se aplic n cazul prelucrrii efectuate de autoriti publice n
ndeplinirea atribuiilor lor.
(2)Statele membre pot menine sau introduce dispoziii mai specifice de adaptare a aplicrii
normelor prezentului regulament n ceea ce privete prelucrarea n vederea respectrii
alineatului (1) literele (c) i (e) prin definirea unor cerine specifice mai precise cu privire la
prelucrare i a altor msuri de asigurare a unei prelucrri legale i echitabile, inclusiv pentru
alte situaii concrete de prelucrare, astfel cum este prevzut n capitolul IX.
(3)Temeiul pentru prelucrarea menionat la alineatul (1) literele (c) i (e) trebuie s fie
prevzut n:
a)dreptul Uniunii; sau
b)dreptul intern care se aplic operatorului.
Scopul prelucrrii este stabilit pe baza respectivului temei juridic sau, n ceea ce privete
prelucrarea menionat la alineatul (1) litera (e), este necesar pentru ndeplinirea unei sarcini
efectuate n interes public sau n cadrul exercitrii unei funcii publice atribuite operatorului.
Respectivul temei juridic poate conine dispoziii specifice privind adaptarea aplicrii normelor
prezentului regulament, printre altele: condiiile generale care reglementeaz legalitatea
prelucrrii de ctre operator; tipurile de date care fac obiectul prelucrrii; persoanele vizate;
entitile crora le pot fi divulgate datele i scopul pentru care respectivele date cu caracter
personal pot fi divulgate; limitrile legate de scop; perioadele de stocare;
i operaiunile i procedurile de prelucrare, inclusiv msurile de asigurare a unei prelucrri
legale i echitabile cum sunt cele pentru alte situaii concrete de prelucrare astfel cum sunt
prevzute n capitolul IX. Dreptul Uniunii sau dreptul intern urmrete un obiectiv de interes
public i este proporional cu obiectivul legitim urmrit.
(4)n cazul n care prelucrarea n alt scop dect cel pentru care datele cu caracter personal
au fost colectate nu se bazeaz pe consimmntul persoanei vizate sau pe dreptul Uniunii
sau dreptul intern, care constituie o msur necesar i proporional ntr-o societate
democratic pentru a proteja obiectivele menionate la articolul 23 alineatul (1), operatorul,
pentru a stabili dac prelucrarea n alt scop este compatibil cu scopul pentru care datele cu
caracter personal au fost colectate iniial, ia n considerare, printre altele:
a)orice legtur dintre scopurile n care datele cu caracter personal au fost colectate i
scopurile prelucrrii ulterioare preconizate;
b)contextul n care datele cu caracter personal au fost colectate, n special n ceea ce privete
relaia dintre persoanele vizate i operator;
c)natura datelor cu caracter personal, n special n cazul prelucrrii unor categorii speciale de
date cu caracter personal, n conformitate cu articolul 9, sau n cazul n care sunt prelucrate
date cu caracter personal referitoare la condamnri penale i infraciuni, n conformitate cu
articolul 10;
d)posibilele consecine asupra persoanelor vizate ale prelucrrii ulterioare preconizate;
e)existena unor garanii adecvate, care pot include criptarea sau pseudonimizarea.
Art. 7: Condiii privind consimmntul
(1)n cazul n care prelucrarea se bazeaz pe consimmnt, operatorul trebuie s fie n
msur s demonstreze c persoana vizat i-a dat consimmntul pentru prelucrarea
datelor sale cu caracter personal.
(2)n cazul n care consimmntul persoanei vizate este dat n contextul unei declaraii
scrise care se refer i la alte aspecte, cererea privind consimmntul trebuie s fie
prezentat ntr-o form care o difereniaz n mod clar de celelalte aspecte, ntr-o form
inteligibil i uor accesibil, utiliznd un limbaj clar i simplu. Nicio parte a respectivei
declaraii care constituie o nclcare a prezentului regulament nu este obligatorie.
(3)Persoana vizat are dreptul s i retrag n orice moment consimmntul. Retragerea
consimmntului nu afecteaz legalitatea prelucrrii efectuate pe baza consimmntului
nainte de retragerea acestuia. nainte de acordarea consimmntului, persoana vizat este
informat cu privire la acest lucru. Retragerea consimmntului se face la fel de simplu ca
acordarea acestuia.
(4)Atunci cnd se evalueaz dac consimmntul este dat n mod liber, se ine seama ct
mai mult de faptul c, printre altele, executarea unui contract, inclusiv prestarea unui
serviciu, este condiionat sau nu de consimmntul cu privire la prelucrarea datelor cu
caracter personal care nu este necesar pentru executarea acestui contract.
Art. 8: Condiii aplicabile n ceea ce privete consimmntul copiilor n legtur
cu serviciile societii informaionale
(1)n cazul n care se aplic articolul 6 alineatul (1) litera (a), n ceea ce privete oferirea de
servicii ale societii informaionale n mod direct unui copil, prelucrarea datelor cu caracter
personal ale unui copil este legal dac copilul are cel puin vrsta de 16 ani. Dac copilul are
sub vrsta de 16 ani, respectiva prelucrare este legal numai dac i n msura n care
consimmntul respectiv este acordat sau autorizat de titularul rspunderii printeti asupra
copilului.
Statele membre pot prevedea prin lege o vrst inferioar n aceste scopuri, cu condiia ca
acea vrst inferioar s nu fie mai mic de 13 ani.
(2)Operatorul depune toate eforturile rezonabile pentru a verifica n astfel de cazuri c
titularul rspunderii printeti a acordat sau a autorizat consimmntul, innd seama de
tehnologiile disponibile.
(3)Alineatul (1) nu afecteaz dreptul general al contractelor aplicabil n statele membre, cum
ar fi normele privind valabilitatea, ncheierea sau efectele unui contract n legtur cu un
copil.
Art. 9: Prelucrarea de categorii speciale de date cu caracter personal
(1)Se interzice prelucrarea de date cu caracter personal care dezvluie originea rasial sau
etnic, opiniile politice, confesiunea religioas sau convingerile filozofice sau apartenena la
sindicate i prelucrarea de date genetice, de date biometrice pentru identificarea unic a unei
persoane fizice, de date privind sntatea sau de date privind viaa sexual sau orientarea
sexual ale unei persoane fizice.
(2)Alineatul (1) nu se aplic n urmtoarele situaii:
a)persoana vizat i-a dat consimmntul explicit pentru prelucrarea acestor date cu
caracter personal pentru unul sau mai multe scopuri specifice, cu excepia cazului n care
dreptul Uniunii sau dreptul intern prevede ca interdicia prevzut la alineatul (1) s nu poat
fi ridicat prin consimmntul persoanei vizate;
b)prelucrarea este necesar n scopul ndeplinirii obligaiilor i al exercitrii unor drepturi
specifice ale operatorului sau ale persoanei vizate n domeniul ocuprii forei de munc i al
securitii sociale i proteciei sociale, n msura n care acest lucru este autorizat de dreptul
Uniunii sau de dreptul intern ori de un acord colectiv de munc ncheiat n temeiul dreptului
intern care prevede garanii adecvate pentru drepturile fundamentale i interesele persoanei
vizate;
c)prelucrarea este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale
unei alte persoane fizice, atunci cnd persoana vizat se afl n incapacitate fizic sau juridic
de a-i da consimmntul;
d)prelucrarea este efectuat n cadrul activitilor lor legitime i cu garanii adecvate de ctre
o fundaie, o asociaie sau orice alt organism fr scop lucrativ i cu specific politic, filozofic,
religios sau sindical, cu condiia ca prelucrarea s se refere numai la membrii sau la fotii
membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente n
legtur cu scopurile sale i ca datele cu caracter personal s nu fie comunicate terilor fr
consimmntul persoanelor vizate;
e)prelucrarea se refer la date cu caracter personal care sunt fcute publice n mod manifest
de ctre persoana vizat;
f)prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept n
instan sau ori de cte ori instanele acioneaz n exerciiul funciei lor judiciare;
g)prelucrarea este necesar din motive de interes public major, n baza dreptului Uniunii sau
a dreptului intern, care este proporional cu obiectivul urmrit, respect esena dreptului la
protecia datelor i prevede msuri corespunztoare i specifice pentru protejarea drepturilor
fundamentale i a intereselor persoanei vizate;
h)prelucrarea este necesar n scopuri legate de medicina preventiv sau a muncii, de
evaluarea capacitii de munc a angajatului, de stabilirea unui diagnostic medical, de
furnizarea de asisten medical sau social sau a unui tratament medical sau de gestionarea
sistemelor i serviciilor de sntate sau de asisten social, n temeiul dreptului Uniunii sau al
dreptului intern sau n temeiul unui contract ncheiat cu un cadru medical i sub rezerva
respectrii condiiilor i garaniilor prevzute la alineatul (3);
i)prelucrarea este necesar din motive de interes public n domeniul sntii publice, cum ar
fi protecia mpotriva ameninrilor transfrontaliere grave la adresa sntii sau asigurarea
de standarde ridicate de calitate i siguran a asistenei medicale i a medicamentelor sau a
dispozitivelor medicale, n temeiul dreptului Uniunii sau al dreptului intern, care prevede
msuri adecvate i specifice pentru protejarea drepturilor i libertilor persoanei vizate, n
special a secretului profesional; sau
j)prelucrarea este necesar n scopuri de arhivare n interes public, n scopuri de cercetare
tiinific sau istoric ori n scopuri statistice, n conformitate cu articolul 89 alineatul (1), n
baza dreptului Uniunii sau a dreptului intern, care este proporional cu obiectivul urmrit,
respect esena dreptului la protecia datelor i prevede msuri corespunztoare i specifice
pentru protejarea drepturilor fundamentale i a intereselor persoanei vizate.
(3)Datele cu caracter personal menionate la alineatul (1) pot fi prelucrate n scopurile
menionate la alineatul (2) litera (h) n cazul n care datele respective sunt prelucrate de ctre
un profesionist supus obligaiei de pstrare a secretului profesional sau sub responsabilitatea
acestuia, n temeiul dreptului Uniunii sau al dreptului intern sau n temeiul normelor stabilite
de organisme naionale competente sau de o alt persoan supus, de asemenea, unei
obligaii de confidenialitate n temeiul dreptului Uniunii sau al dreptului intern ori al normelor
stabilite de organisme naionale competente.
(4)Statele membre pot menine sau introduce condiii suplimentare, inclusiv restricii, n ceea
ce privete prelucrarea de date genetice, date biometrice sau date privind sntatea.
Art. 10: Prelucrarea de date cu caracter personal referitoare la condamnri penale
i infraciuni
Prelucrarea de date cu caracter personal referitoare la condamnri penale i infraciuni sau la
msuri de securitate conexe n temeiul articolului 6 alineatul (1) se efectueaz numai sub
controlul unei autoriti de stat sau atunci cnd prelucrarea este autorizat de dreptul Uniunii
sau de dreptul intern care prevede garanii adecvate pentru drepturile i libertile
persoanelor vizate. Orice registru cuprinztor al condamnrilor penale se ine numai sub
controlul unei autoriti de stat.
Art. 11: Prelucrarea care nu necesit identificare
(1)n cazul n care scopurile pentru care un operator prelucreaz date cu caracter personal
nu necesit sau nu mai necesit identificarea unei persoane vizate de ctre operator,
operatorul nu are obligaia de a pstra, obine sau prelucra informaii suplimentare pentru a
identifica persoana vizat n scopul unic al respectrii prezentului regulament.
(2)Dac, n cazurile menionate la alineatul (1) din prezentul articol, operatorul poate
demonstra c nu este n msur s identifice persoana vizat, operatorul informeaz
persoana vizat n mod corespunztor, n cazul n care este posibil. n astfel de cazuri,
articolele 15-20 nu se aplic, cu excepia cazului n care persoana vizat, n scopul exercitrii
drepturilor sale n temeiul respectivelor articole, ofer informaii suplimentare care permit
identificarea sa.
CAPITOLUL III: Drepturile persoanei vizate
Seciunea 1: Transparen i modaliti
Art. 12: Transparena informaiilor, a comunicrilor i a modalitilor de exercitare
a drepturilor persoanei vizate
(1)Operatorul ia msuri adecvate pentru a furniza persoanei vizate orice informaii
menionate la articolele 13 i 14 i orice comunicri n temeiul articolelor 15-22 i 34
referitoare la prelucrare, ntr-o form concis, transparent, inteligibil i uor accesibil,
utiliznd un limbaj clar i simplu, n special pentru orice informaii adresate n mod specific
unui copil. Informaiile se furnizeaz n scris sau prin alte mijloace, inclusiv, atunci cnd este
oportun, n format electronic. La solicitarea persoanei vizate, informaiile pot fi furnizate
verbal, cu condiia ca identitatea persoanei vizate s fie dovedit prin alte mijloace.
(2)Operatorul faciliteaz exercitarea drepturilor persoanei vizate n temeiul articolelor 15-22.
n cazurile menionate la articolul 11 alineatul (2), operatorul nu refuz s dea curs cererii
persoanei vizate de a-i exercita drepturile n conformitate cu articolele 15-22, cu excepia
cazului n care operatorul demonstreaz c nu este n msur s identifice persoana vizat.
(3)Operatorul furnizeaz persoanei vizate informaii privind aciunile ntreprinse n urma unei
cereri n temeiul articolelor 15-22, fr ntrzieri nejustificate i n orice caz n cel mult o lun
de la primirea cererii. Aceast perioad poate fi prelungit cu dou luni atunci cnd este
necesar, inndu-se seama de complexitatea i numrul cererilor. Operatorul informeaz
persoana vizat cu privire la orice astfel de prelungire, n termen de o lun de la primirea
cererii, prezentnd i motivele ntrzierii. n cazul n care persoana vizat introduce o cerere
n format electronic, informaiile sunt furnizate n format electronic acolo unde este posibil, cu
excepia cazului n care persoana vizat solicit un alt format.
(4)Dac nu ia msuri cu privire la cererea persoanei vizate, operatorul informeaz persoana
vizat, fr ntrziere i n termen de cel mult o lun de la primirea cererii, cu privire la
motivele pentru care nu ia msuri i la posibilitatea de a depune o plngere n faa unei
autoriti de supraveghere i de a introduce o cale de atac judiciar.
(5)Informaiile furnizate n temeiul articolelor 13 i 14 i orice comunicare i orice msuri
luate n temeiul articolelor 15-22 i 34 sunt oferite gratuit. n cazul n care cererile din partea
unei persoane vizate sunt n mod vdit nefondate sau excesive, n special din cauza
caracterului lor repetitiv, operatorul poate:
a)fie s perceap o tax rezonabil innd cont de costurile administrative pentru furnizarea
informaiilor sau a comunicrii sau pentru luarea msurilor solicitate;
b)fie s refuze s dea curs cererii.
n aceste cazuri, operatorului i revine sarcina de a demonstra caracterul vdit nefondat sau
excesiv al cererii.
(6)Fr a aduce atingere articolului 11, n cazul n care are ndoieli ntemeiate cu privire la
identitatea persoanei fizice care nainteaz cererea menionat la articolele 15-21, operatorul
poate solicita furnizarea de informaii suplimentare necesare pentru a confirma identitatea
persoanei vizate.
(7)Informaiile care urmeaz s fie furnizate persoanelor vizate n temeiul articolelor 13 i 14
pot fi furnizate n combinaie cu pictograme standardizate pentru a oferi ntr-un mod uor
vizibil, inteligibil i clar lizibil o imagine de ansamblu semnificativ asupra prelucrrii avute n
vedere. n cazul n care pictogramele sunt prezentate n format electronic, acestea trebuie s
poat fi citite automat.
(8)Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 92 n
vederea determinrii informaiilor care urmeaz s fie prezentate de pictograme i a
procedurilor pentru furnizarea de pictograme standardizate.
Seciunea 2: Informare i acces la date cu caracter personal
Art. 13: Informaii care se furnizeaz n cazul n care datele cu caracter personal
sunt colectate de la persoana vizat
(1)n cazul n care datele cu caracter personal referitoare la o persoan vizat sunt colectate
de la aceasta, operatorul, n momentul obinerii acestor date cu caracter personal, furnizeaz
persoanei vizate toate informaiile urmtoare:
a)identitatea i datele de contact ale operatorului i, dup caz, ale reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecia datelor, dup caz;
c)scopurile n care sunt prelucrate datele cu caracter personal, precum i temeiul juridic al
prelucrrii;
d)n cazul n care prelucrarea se face n temeiul articolului 6 alineatul (1) litera (f), interesele
legitime urmrite de operator sau de o parte ter;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f)dac este cazul, intenia operatorului de a transfera date cu caracter personal ctre o ar
ter sau o organizaie internaional i existena sau absena unei decizii a Comisiei privind
caracterul adecvat sau, n cazul transferurilor menionate la articolul 46 sau 47 sau la articolul
49 alineatul (1) al doilea paragraf, o trimitere la garaniile adecvate sau corespunztoare i la
mijloacele de a obine o copie a acestora, n cazul n care acestea au fost puse la dispoziie.
(2)n plus fa de informaiile menionate la alineatul (1), n momentul n care datele cu
caracter personal sunt obinute, operatorul furnizeaz persoanei vizate urmtoarele informaii
suplimentare necesare pentru a asigura o prelucrare echitabil i transparent:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, dac acest lucru nu
este posibil, criteriile utilizate pentru a stabili aceast perioad;
b)existena dreptului de a solicita operatorului, n ceea ce privete datele cu caracter
personal referitoare la persoana vizat, accesul la acestea, rectificarea sau tergerea acestora
sau restricionarea prelucrrii sau a dreptului de a se opune prelucrrii, precum i a dreptului
la portabilitatea datelor;
c)atunci cnd prelucrarea se bazeaz pe articolul 6 alineatul (1) litera (a) sau pe articolul 9
alineatul (2) litera (a), existena dreptului de a retrage consimmntul n orice moment, fr
a afecta legalitatea prelucrrii efectuate pe baza consimmntului nainte de retragerea
acestuia;
d)dreptul de a depune o plngere n faa unei autoriti de supraveghere;
e)dac furnizarea de date cu caracter personal reprezint o obligaie legal sau contractual
sau o obligaie necesar pentru ncheierea unui contract, precum i dac persoana vizat este
obligat s furnizeze aceste date cu caracter personal i care sunt eventualele consecine ale
nerespectrii acestei obligaii;
f)existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la
articolul 22 alineatele (1) i (4), precum i, cel puin n cazurile respective, informaii
pertinente privind logica utilizat i privind importana i consecinele preconizate ale unei
astfel de prelucrri pentru persoana vizat.
(3)n cazul n care operatorul intenioneaz s prelucreze ulterior datele cu caracter personal
ntr-un alt scop dect cel pentru care acestea au fost colectate, operatorul furnizeaz
persoanei vizate, nainte de aceast prelucrare ulterioar, informaii privind scopul secundar
respectiv i orice informaii suplimentare relevante, n conformitate cu alineatul (2).
(4)Alineatele (1), (2) i (3) nu se aplic dac i n msura n care persoana vizat deine deja
informaiile respective.
Art. 14: Informaii care se furnizeaz n cazul n care datele cu caracter personal
nu au fost obinute de la persoana vizat
(1)n cazul n care datele cu caracter personal nu au fost obinute de la persoana vizat,
operatorul furnizeaz persoanei vizate urmtoarele informaii:
a)identitatea i datele de contact ale operatorului i, dup caz, ale reprezentantului acestuia;
b)datele de contact ale responsabilului cu protecia datelor, dup caz;
c)scopurile n care sunt prelucrate datele cu caracter personal, precum i temeiul juridic al
prelucrrii;
d)categoriile de date cu caracter personal vizate;
e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dup caz;
f)dac este cazul, intenia operatorului de a transfera date cu caracter personal ctre un
destinatar dintr-o ar ter sau o organizaie internaional i existena sau absena unei
decizii a Comisiei privind caracterul adecvat sau, n cazul transferurilor menionate la articolul
46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garaniile adecvate
sau corespunztoare i la mijloacele de a obine o copie a acestora, n cazul n care acestea
au fost puse la dispoziie.
(2)Pe lng informaiile menionate la alineatul (1), operatorul furnizeaz persoanei vizate
urmtoarele informaii necesare pentru a asigura o prelucrare echitabil i transparent n
ceea ce privete persoana vizat:
a)perioada pentru care vor fi stocate datele cu caracter personal sau, dac acest lucru nu
este posibil, criteriile utilizate pentru a stabili aceast perioad;
b)n cazul n care prelucrarea se face n temeiul articolului 6 alineatul (1) litera (f), interesele
legitime urmrite de operator sau de o parte ter;
c)existena dreptului de a solicita operatorului, n ceea ce privete datele cu caracter personal
referitoare la persoana vizat, accesul la acestea, rectificarea sau tergerea acestora sau
restricionarea prelucrrii i a dreptului de a se opune prelucrrii, precum i a dreptului la
portabilitatea datelor;
d)atunci cnd prelucrarea se bazeaz pe articolul 6 alineatul (1) litera (a) sau pe articolul 9
alineatul (2) litera (a), existena dreptului de a retrage consimmntul n orice moment, fr
a afecta legalitatea prelucrrii efectuate pe baza consimmntului nainte de retragerea
acestuia;
e)dreptul de a depune o plngere n faa unei autoriti de supraveghere;
f)sursa din care provin datele cu caracter personal i, dac este cazul, dac acestea provin
din surse disponibile public;
g)existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la
articolul 22 alineatele (1) i (4), precum i, cel puin n cazurile respective, informaii
pertinente privind logica utilizat i privind importana i consecinele preconizate ale unei
astfel de prelucrri pentru persoana vizat.
(3)Operatorul furnizeaz informaiile menionate la alineatele (1) i (2):
a)ntr-un termen rezonabil dup obinerea datelor cu caracter personal, dar nu mai mare de
o lun, inndu-se seama de circumstanele specifice n care sunt prelucrate datele cu
caracter personal;
b)dac datele cu caracter personal urmeaz s fie utilizate pentru comunicarea cu persoana
vizat, cel trziu n momentul primei comunicri ctre persoana vizat respectiv; sau
c)dac se intenioneaz divulgarea datelor cu caracter personal ctre un alt destinatar, cel
mai trziu la data la care acestea sunt divulgate pentru prima oar.
(4)n cazul n care operatorul intenioneaz s prelucreze ulterior datele cu caracter personal
ntr-un alt scop dect cel pentru care acestea au fost obinute, operatorul furnizeaz
persoanei vizate, nainte de aceast prelucrare ulterioar, informaii privind scopul secundar
respectiv i orice informaii suplimentare relevante, n conformitate cu alineatul (2).
(5)Alineatele (1)-(4) nu se aplic dac i n msura n care:
a)persoana vizat deine deja informaiile;
b)furnizarea acestor informaii se dovedete a fi imposibil sau ar implica eforturi
disproporionate, n special n cazul prelucrrii n scopuri de arhivare n interes public, n
scopuri de cercetare tiinific sau istoric ori n scopuri statistice, sub rezerva condiiilor i a
garaniilor prevzute la articolul 89 alineatul (1), sau n msura n care obligaia menionat la
alineatul (1) din prezentul articol este susceptibil s fac imposibil sau s afecteze n mod
grav realizarea obiectivelor prelucrrii respective In astfel de cazuri, operatorul ia msuri
adecvate pentru a proteja drepturile, libertile i interesele legitime ale persoanei vizate,
inclusiv punerea informaiilor la dispoziia publicului;
c)obinerea sau divulgarea datelor este prevzut n mod expres de dreptul Uniunii sau de
dreptul intern sub incidena cruia intr operatorul i care prevede msuri adecvate pentru a
proteja interesele legitime ale persoanei vizate; sau
d)n cazul n care datele cu caracter personal trebuie s rmn confideniale n temeiul unei
obligaii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern,
inclusiv al unei obligaii legale de a pstra secretul.
Art. 15: Dreptul de acces al persoanei vizate
(1)Persoana vizat are dreptul de a obine din partea operatorului o confirmare c se
prelucreaz sau nu date cu caracter personal care o privesc i, n caz afirmativ, acces la
datele respective i la urmtoarele informaii:
a)scopurile prelucrrii;
b)categoriile de date cu caracter personal vizate;
c)destinatarii sau categoriile de destinatari crora datele cu caracter personal le-au fost sau
urmeaz s le fie divulgate, n special destinatari din ri tere sau organizaii internaionale;
d)acolo unde este posibil, perioada pentru care se preconizeaz c vor fi stocate datele cu
caracter personal sau, dac acest lucru nu este posibil, criteriile utilizate pentru a stabili
aceast perioad;
e)existena dreptului de a solicita operatorului rectificarea sau tergerea datelor cu caracter
personal ori restricionarea prelucrrii datelor cu caracter personal referitoare la persoana
vizat sau a dreptului de a se opune prelucrrii;
f)dreptul de a depune o plngere n faa unei autoriti de supraveghere;
g)n cazul n care datele cu caracter personal nu sunt colectate de la persoana vizat, orice
informaii disponibile privind sursa acestora;
h)existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la
articolul 22 alineatele (1) i (4), precum i, cel puin n cazurile respective, informaii
pertinente privind logica utilizat i privind importana i consecinele preconizate ale unei
astfel de prelucrri pentru persoana vizat.
(2)n cazul n care datele cu caracter personal sunt transferate ctre o ar ter sau o
organizaie internaional, persoana vizat are dreptul s fie informat cu privire la garaniile
adecvate n temeiul articolului 46 referitoare la transfer.
(3)Operatorul furnizeaz o copie a datelor cu caracter personal care fac obiectul prelucrrii.
Pentru orice alte copii solicitate de persoana vizat, operatorul poate percepe o tax
rezonabil, bazat pe costurile administrative. n cazul n care persoana vizat introduce
cererea n format electronic i cu excepia cazului n care persoana vizat solicit un alt
format, informaiile sunt furnizate ntr-un format electronic utilizat n mod curent.
(4)Dreptul de a obine o copie menionat la alineatul (3) nu aduce atingere drepturilor i
libertilor altora.
Seciunea 3: Rectificare i tergere
Art. 16: Dreptul la rectificare
Persoana vizat are dreptul de a obine de la operator, fr ntrzieri nejustificate, rectificarea
datelor cu caracter personal inexacte care o privesc. inndu-se seama de scopurile n care
au fost prelucrate datele, persoana vizat are dreptul de a obine completarea datelor cu
caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraii suplimentare.
Art. 17: Dreptul la tergerea datelor ("dreptul de a fi uitat")
(1)Persoana vizat are dreptul de a obine din partea operatorului tergerea datelor cu
caracter personal care o privesc, fr ntrzieri nejustificate, iar operatorul are obligaia de a
terge datele cu caracter personal fr ntrzieri nejustificate n cazul n care se aplic unul
dintre urmtoarele motive:
a)datele cu caracter personal nu mai sunt necesare pentru ndeplinirea scopurilor pentru care
au fost colectate sau prelucrate;
b)persoana vizat i retrage consimmntul pe baza cruia are loc prelucrarea, n
conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), i
nu exist niciun alt temei juridic pentru prelucrarea;
c)persoana vizat se opune prelucrrii n temeiul articolului 21 alineatul (1) i nu exist
motive legitime care s prevaleze n ceea ce privete prelucrarea sau persoana vizat se
opune prelucrrii n temeiul articolului 21 alineatul (2);
d)datele cu caracter personal au fost prelucrate ilegal;
e)datele cu caracter personal trebuie terse pentru respectarea unei obligaii legale care
revine operatorului n temeiul dreptului Uniunii sau al dreptului intern sub incidena cruia se
afl operatorul;
f)datele cu caracter personal au fost colectate n legtur cu oferirea de servicii ale societii
informaionale menionate la articolul 8 alineatul (1).
(2)n cazul n care operatorul a fcut publice datele cu caracter personal i este obligat, n
temeiul alineatului (1), s le tearg, operatorul, innd seama de tehnologia disponibil i de
costul implementrii, ia msuri rezonabile, inclusiv msuri tehnice, pentru a informa operatorii
care prelucreaz datele cu caracter personal c persoana vizat a solicitat tergerea de ctre
aceti operatori a oricror linkuri ctre datele respective sau a oricror copii sau reproduceri
ale acestor date cu caracter personal.
(3)Alineatele (1) i (2a) nu se aplic n msura n care prelucrarea este necesar:
a)pentru exercitarea dreptului la liber exprimare i la informare;
b)pentru respectarea unei obligaii legale care prevede prelucrarea n temeiul dreptului
Uniunii sau al dreptului intern care se aplic operatorului sau pentru ndeplinirea unei sarcini
executate n interes public sau n cadrul exercitrii unei autoriti oficiale cu care este nvestit
operatorul;
c)din motive de interes public n domeniul sntii publice, n conformitate cu articolul 9
alineatul (2) literele (h) i (i) i cu articolul 9 alineatul (3);
d)n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n
scopuri statistice, n conformitate cu articolul 89 alineatul (1), n msura n care dreptul
menionat la alineatul (1) este susceptibil s fac imposibil sau s afecteze n mod grav
realizarea obiectivelor prelucrrii respective; sau
e)pentru constatarea, exercitarea sau aprarea unui drept n instan.
Art. 18: Dreptul la restricionarea prelucrrii
(1)Persoana vizat are dreptul de a obine din partea operatorului restricionarea prelucrrii
n cazul n care se aplic unul din urmtoarele cazuri:
a)persoana vizat contest exactitatea datelor, pentru o perioad care i permite operatorului
s verifice exactitatea datelor;
b)prelucrarea este ilegal, iar persoana vizat se opune tergerii datelor cu caracter personal,
solicitnd n schimb restricionarea utilizrii lor;
c)operatorul nu mai are nevoie de datele cu caracter personal n scopul prelucrrii, dar
persoana vizat i le solicit pentru constatarea, exercitarea sau aprarea unui drept n
instan; sau
d)persoana vizat s-a opus prelucrrii n conformitate cu articolul 21 alineatul (1), pentru
intervalul de timp n care se verific dac drepturile legitime ale operatorului prevaleaz
asupra celor ale persoanei vizate.
(2)n cazul n care prelucrarea a fost restricionat n temeiul alineatului (1), astfel de date cu
caracter personal pot, cu excepia stocrii, s fie prelucrate numai cu consimmntul
persoanei vizate sau pentru constatarea, exercitarea sau aprarea unui drept n instan sau
pentru protecia drepturilor unei alte persoane fizice sau juridice sau din motive de interes
public important al Uniunii sau al unui stat membru.
(3)O persoan vizat care a obinut restricionarea prelucrrii n temeiul alineatului (1) este
informat de ctre operator nainte de ridicarea restriciei de prelucrare.
Art. 19: Obligaia de notificare privind rectificarea sau tergerea datelor cu
caracter personal sau restricionarea prelucrrii
Operatorul comunic fiecrui destinatar cruia i-au fost divulgate datele cu caracter personal
orice rectificare sau tergere a datelor cu caracter personal sau restricionare a prelucrrii
efectuate n conformitate cu articolul 16, articolul 17 alineatul (1) i articolul 18, cu excepia
cazului n care acest lucru se dovedete imposibil sau presupune eforturi disproporionate.
Operatorul informeaz persoana vizat cu privire la destinatarii respectivi dac persoana
vizat solicit acest lucru.
Art. 20: Dreptul la portabilitatea datelor
(1)Persoana vizat are dreptul de a primi datele cu caracter personal care o privesc i pe
care le-a furnizat operatorului ntr-un format structurat, utilizat n mod curent i care poate fi
citit automat i are dreptul de a transmite aceste date altui operator, fr obstacole din
partea operatorului cruia i-au fost furnizate datele cu caracter personal, n cazul n care:
a)prelucrarea se bazeaz pe consimmnt n temeiul articolului 6 alineatul (1) litera (a) sau
al articolului 9 alineatul (2) litera (a) sau pe un contract n temeiul articolului 6 alineatul (1)
litera (b); i
b)prelucrarea este efectuat prin mijloace automate.
(2)n exercitarea dreptului su la portabilitatea datelor n temeiul alineatului (1), persoana
vizat are dreptul ca datele cu caracter personal s fie transmise direct de la un operator la
altul acolo unde acest lucru este fezabil din punct de vedere tehnic.
(3)Exercitarea dreptului menionat la alineatul (1) din prezentul articol nu aduce atingere
articolului 17. Respectivul drept nu se aplic prelucrrii necesare pentru ndeplinirea unei
sarcini executate n interes public sau n cadrul exercitrii unei autoriti oficiale cu care este
nvestit operatorul.
(4)Dreptul menionat la alineatul (1) nu aduce atingere drepturilor i libertilor altora.
Seciunea 4: Dreptul la opoziie i procesul decizional individual automatizat
Art. 21: Dreptul la opoziie
(1)n orice moment, persoana vizat are dreptul de a se opune, din motive legate de situaia
particular n care se afl, prelucrrii n temeiul articolului 6 alineatul (1) litera (e) sau (f) sau
al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv crerii de
profiluri pe baza respectivelor dispoziii. Operatorul nu mai prelucreaz datele cu caracter
personal, cu excepia cazului n care operatorul demonstreaz c are motive legitime i
imperioase care justific prelucrarea i care prevaleaz asupra intereselor, drepturilor i
libertilor persoanei vizate sau c scopul este constatarea, exercitarea sau aprarea unui
drept n instan.
(2)Atunci cnd prelucrarea datelor cu caracter personal are drept scop marketingul direct,
persoana vizat are dreptul de a se opune n orice moment prelucrrii n acest scop a datelor
cu caracter personal care o privesc, inclusiv crerii de profiluri, n msura n care este legat
de marketingul direct respectiv.
(3)n cazul n care persoana vizat se opune prelucrrii n scopul marketingului direct, datele
cu caracter personal nu mai sunt prelucrate n acest scop.
(4)Cel trziu n momentul primei comunicri cu persoana vizat, dreptul menionat la
alineatele (1) i (2) este adus n mod explicit n atenia persoanei vizate i este prezentat n
mod clar i separat de orice alte informaii.
(5)n contextual utilizrii serviciilor societii informaionale i n pofida Directivei
2002/58/CE, persoana vizat i poate exercita dreptul de a se opune prin mijloace
automate care utilizeaz specificaii tehnice.
(6)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare
tiinific sau istoric sau n scopuri statistice n conformitate cu articolul 89 alineatul (1),
persoana vizat, din motive legate de situaia sa particular, are dreptul de a se opune
prelucrrii datelor cu caracter personal care o privesc, cu excepia cazului n care prelucrarea
este necesar pentru ndeplinirea unei sarcini din motive de interes public.
Art. 22: Procesul decizional individual automatizat, inclusiv crearea de profiluri
(1)Persoana vizat are dreptul de a nu face obiectul unei decizii bazate exclusiv pe
prelucrarea automat, inclusiv crearea de profiluri, care produce efecte juridice care privesc
persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ.
(2)Alineatul (1) nu se aplic n cazul n care decizia:
a)este necesar pentru ncheierea sau executarea unui contract ntre persoana vizat i un
operator de date;
b)este autorizat prin dreptul Uniunii sau dreptul intern care se aplic operatorului i care
prevede, de asemenea, msuri corespunztoare pentru protejarea drepturilor, libertilor i
intereselor legitime ale persoanei vizate; sau
c)are la baz consimmntul explicit al persoanei vizate.
(3)n cazurile menionate la alineatul (2) literele (a) i (c), operatorul de date pune n
aplicare msuri corespunztoare pentru protejarea drepturilor, libertilor i intereselor
legitime ale persoanei vizate, cel puin dreptul acesteia de a obine intervenie uman din
partea operatorului, de a-i exprima punctul de vedere i de a contesta decizia.
(4)Deciziile menionate la alineatul (2) nu au la baz categoriile speciale de date cu caracter
personal menionate la articolul 9 alineatul (1), cu excepia cazului n care se aplic articolul 9
alineatul (2) litera (a) sau (g) i n care au fost instituite msuri corespunztoare pentru
protejarea drepturilor, libertilor i intereselor legitime ale persoanei vizate.
Seciunea 5: Restricii
Art. 23: Restricii
(1)Dreptul Uniunii sau dreptul intern care se aplic operatorului de date sau persoanei
mputernicite de operator poate restriciona printr-o msur legislativ domeniul de aplicare
al obligaiilor i al drepturilor prevzute la articolele 12-22 i 34, precum i la articolul 5 n
msura n care dispoziiile acestuia corespund drepturilor i obligaiilor prevzute la articolele
12-22, atunci cnd o astfel de restricie respect esena drepturilor i libertilor
fundamentale i constituie o msur necesar i proporional ntr-o societate democratic,
pentru a asigura:
a)securitatea naional;
b)aprarea;
c)securitatea public;
d)prevenirea, investigarea, depistarea sau urmrirea penal a infraciunilor sau executarea
sanciunilor penale, inclusiv protejarea mpotriva ameninrilor la adresa securitii publice i
prevenirea acestora;
e)alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, n
special un interes economic sau financiar important al Uniunii sau al unui stat membru,
inclusiv n domeniile monetar, bugetar i fiscal i n domeniul sntii publice i al securitii
sociale;
f)protejarea independenei judiciare i a procedurilor judiciare;
g)prevenirea, investigarea, depistarea i urmrirea penal a nclcrii eticii n cazul profesiilor
reglementate;
h)funcia de monitorizare, inspectare sau reglementare legat, chiar i ocazional, de
exercitarea autoritii oficiale n cazurile menionate la literele (a)-(e) i (g);
i)protecia persoanei vizate sau a drepturilor i libertilor altora; (j) punerea n aplicare a
preteniilor de drept civil.
(2)n special, orice msur legislativ menionat la alineatul (1) conine dispoziii specifice
cel puin, dac este cazul, n ceea ce privete:
a)scopurile prelucrrii sau ale categoriilor de prelucrare;
b)categoriile de date cu caracter personal;
c)domeniul de aplicare al restriciilor introduse;
d)garaniile pentru a preveni abuzurile sau accesul sau transferul ilegal;
e)menionarea operatorului sau a categoriilor de operatori;
f)perioadele de stocare i garaniile aplicabile avnd n vedere natura, domeniul de aplicare i
scopurile prelucrrii sau ale categoriilor de prelucrare;
g)riscurile pentru drepturile i libertilor persoanelor vizate; i
h)dreptul persoanelor vizate de a fi informate cu privire la restricie, cu excepia cazului n
care acest lucru poate aduce atingere scopului restriciei.
CAPITOLUL IV: Operatorul i persoana mputernicit de operator
Seciunea 1: Obligaii generale
Art. 24: Responsabilitatea operatorului
(1)innd seama de natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i
de riscurile cu grade diferite de probabilitate i gravitate pentru drepturile i libertile
persoanelor fizice, operatorul pune n aplicare msuri tehnice i organizatorice adecvate
pentru a garanta i a fi n msur s demonstreze c prelucrarea se efectueaz n
conformitate cu prezentul regulament. Respectivele msuri se revizuiesc i se actualizeaz
dac este necesar.
(2)Atunci cnd sunt proporionale n raport cu operaiunile de prelucrare, msurile
menionate la alineatul (1) includ punerea n aplicare de ctre operator a unor politici
adecvate de protecie a datelor.
(3)Aderarea la coduri de conduit aprobate, menionate la articolul 40, sau la un mecanism
de certificare aprobat, menionat la articolul 42, poate fi utilizat ca element care s
demonstreze respectarea obligaiilor de ctre operator.
Art. 25: Asigurarea proteciei datelor ncepnd cu momentul conceperii i n mod
implicit
(1)Avnd n vedere stadiul actual al tehnologiei, costurile implementrii, i natura, domeniul
de aplicare, contextul i scopurile prelucrrii, precum i riscurile cu grade diferite de
probabilitate i gravitate pentru drepturile i libertile persoanelor fizice pe care le prezint
prelucrarea, operatorul, att n momentul stabilirii mijloacelor de prelucrare, ct i n cel al
prelucrrii n sine, pune n aplicare msuri tehnice i organizatorice adecvate, cum ar fi
pseudonimizarea, care sunt destinate s pun n aplicare n mod eficient principiile de
protecie a datelor, precum reducerea la minimum a datelor, i s integreze garaniile
necesare n cadrul prelucrrii, pentru a ndeplini cerinele prezentului regulament i a proteja
drepturile persoanelor vizate.
(2)Operatorul pune n aplicare msuri tehnice i organizatorice adecvate pentru a asigura c,
n mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru
fiecare scop specific al prelucrrii. Respectiva obligaie se aplic volumului de date colectate,
gradului de prelucrare a acestora, perioadei lor de stocare i accesibilitii lor. n special,
astfel de msuri asigur c, n mod implicit, datele cu caracter personal nu pot fi accesate,
fr intervenia persoanei, de un numr nelimitat de persoane.
(3)Un mecanism de certificare aprobat n conformitate cu articolul 42 poate fi utilizat drept
element care s demonstreze ndeplinirea cerinelor prevzute la alineatele (1) i (2) ale
prezentului articol.
Art. 26: Operatori asociai
(1)n cazul n care doi sau mai muli operatori stabilesc n comun scopurile i mijloacele de
prelucrare, acetia sunt operatori asociai. Ei stabilesc ntr-un mod transparent
responsabilitile fiecruia n ceea ce privete ndeplinirea obligaiilor care le revin n temeiul
prezentului regulament, n special n ceea ce privete exercitarea drepturilor persoanelor
vizate i ndatoririle fiecruia de furnizare a informaiilor prevzute la articolele 13 i 14, prin
intermediul unui acord ntre ei, cu excepia cazului i n msura n care responsabilitile
operatorilor sunt stabilite n dreptul Uniunii sau n dreptul intern care se aplic acestora.
Acordul poate s desemneze un punct de contact pentru persoanele vizate.
(2)Acordul menionat la alineatul (1) reflect n mod adecvat rolurile i raporturile respective
ale operatorilor asociai fa de persoanele vizate. Esena acestui acord este fcut cunoscut
persoanei vizate.
(3)Indiferent de clauzele acordului menionat la alineatul (1), persoana vizat i poate
exercita drepturile n temeiul prezentului regulament cu privire la i n raport cu fiecare dintre
operatori.
Art. 27: Reprezentanii operatorilor sau ai persoanelor mputernicite de operatori
care nu i au sediul n Uniune
(1)n cazul n care se aplic articolul 3 alineatul (2), operatorul sau persoana mputernicit de
operator desemneaz n scris un reprezentant n Uniune.
(2)Obligaia prevzut la alineatul (1) din prezentul articol nu se aplic:
a)prelucrrii care are un caracter ocazional, care nu include, pe scar larg, prelucrarea unor
categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau prelucrarea
unor date cu caracter personal referitoare la condamnri penale i infraciuni menionat la
articolul 10, i care este puin susceptibil de a genera un risc pentru drepturile i libertile
persoanelor, innd cont de natura, contextul, domeniul de aplicare i scopurile prelucrrii;
sau
b)unei autoriti sau unui organism public.
(3)Reprezentantul i are sediul n unul dintre statele membre n care se afl persoanele
vizate ale cror date cu caracter personal sunt prelucrate n legtur cu furnizarea de bunuri
i servicii sau al cror comportament este monitorizat.
(4)Reprezentantul primete din partea operatorului sau a persoanei mputernicite de operator
un mandat prin care autoritile de supraveghere i persoanele vizate, n special, se pot
adresa reprezentantului, n plus fa de operator sau persoana mputernicit de operator sau
n locul acestora, cu privire la toate chestiunile legate de prelucrarea, n scopul asigurrii
respectrii prezentului regulament.
(5)Desemnarea unui reprezentant de ctre operator sau persoana mputernicit de operator
nu aduce atingere aciunilor n justiie care ar putea fi introduse mpotriva operatorului sau
persoanei mputernicite de operator nsei.
Art. 28: Persoana mputernicit de operator
(1)n cazul n care prelucrarea urmeaz s fie realizat n numele unui operator, operatorul
recurge doar la persoane mputernicite care ofer garanii suficiente pentru punerea n
aplicare a unor msuri tehnice i organizatorice adecvate, astfel nct prelucrarea s respecte
cerinele prevzute n prezentul regulament i s asigure protecia drepturilor persoanei
vizate.
(2)Persoana mputernicit de operator nu recruteaz o alt persoan mputernicit de
operator fr a primi n prealabil o autorizaie scris, specific sau general, din partea
operatorului. n cazul unei autorizaii generale scrise, persoana mputernicit de operator
informeaz operatorul cu privire la orice modificri preconizate privind adugarea sau
nlocuirea altor persoane mputernicite de operator, oferind astfel posibilitatea operatorului de
a formula obiecii fa de aceste modificri.
(3)Prelucrarea de ctre o persoan mputernicit de un operator este reglementat printr-un
contract sau alt act juridic n temeiul dreptului Uniunii sau al dreptului intern care are caracter
obligatoriu pentru persoana mputernicit de operator n raport cu operatorul i care
stabilete obiectul i durata prelucrrii, natura i scopul prelucrrii, tipul de date cu caracter
personal i categoriile de persoane vizate i obligaiile i drepturile operatorului. Respectivul
contract sau act juridic prevede n special c persoan mputernicit de operator:
a)prelucreaz datele cu caracter personal numai pe baza unor instruciuni documentate din
partea operatorului, inclusiv n ceea ce privete transferurile de date cu caracter personal
ctre o ar ter sau o organizaie internaional, cu excepia cazului n care aceast
obligaie i revine persoanei mputernicite n temeiul dreptului Uniunii sau al dreptului intern
care i se aplic; n acest caz, notific aceast obligaie juridic operatorului nainte de
prelucrare, cu excepia cazului n care dreptul respectiv interzice o astfel de notificare din
motive importante legate de interesul public;
b)se asigur c persoanele autorizate s prelucreze datele cu caracter personal s-au angajat
s respecte confidenialitatea sau au o obligaie statutar adecvat de confidenialitate;
c)adopt toate msurile necesare n conformitate cu articolul 32;
d)respect condiiile menionate la alineatele (2) i (4) privind recrutarea unei alte persoane
mputernicite de operator;
e)innd seama de natura prelucrrii, ofer asisten operatorului prin msuri tehnice i
organizatorice adecvate, n msura n care acest lucru este posibil, pentru ndeplinirea
obligaiei operatorului de a rspunde cererilor privind exercitarea de ctre persoana vizat a
drepturilor prevzute n capitolul III;
f)ajut operatorul s asigure respectarea obligaiilor prevzute la articolele 32-36, innd
seama de caracterul prelucrrii i informaiile aflate la dispoziia persoanei mputernicite de
operator;
g)la alegerea operatorului, terge sau returneaz operatorului toate datele cu caracter
personal dup ncetarea furnizrii serviciilor legate de prelucrare i elimin copiile existente,
cu excepia cazului n care dreptul Uniunii sau dreptul intern impune stocarea datelor cu
caracter personal;
h)pune la dispoziia operatorului toate informaiile necesare pentru a demonstra respectarea
obligaiilor prevzute la prezentul articol, permite desfurarea auditurilor, inclusiv a
inspeciilor, efectuate de operator sau alt auditor mandatat i contribuie la acestea.
n ceea ce privete primul paragraf litera (h), persoana mputernicit de operator informeaz
imediat operatorul n cazul n care, n opinia sa, o instruciune ncalc prezentul regulament
sau alte dispoziii din dreptul intern sau din dreptul Uniunii referitoare la protecia datelor.
(4)n cazul n care o persoan mputernicit de un operator recruteaz o alt persoan
mputernicit pentru efectuarea de activiti de prelucrare specifice n numele operatorului,
aceleai obligaii privind protecia datelor prevzute n contractul sau n alt act juridic ncheiat
ntre operator i persoana mputernicit de operator, astfel cum se prevede la alineatul (3),
revin celei de a doua persoane mputernicite, prin intermediul unui contract sau al unui alt act
juridic, n temeiul dreptului Uniunii sau al dreptului intern, n special furnizarea de garanii
suficiente pentru punerea n aplicare a unor msuri tehnice i organizatorice adecvate, astfel
nct prelucrarea s ndeplineasc cerinele prezentului regulament. n cazul n care aceast a
doua persoan mputernicit nu i respect obligaiile privind protecia datelor, persoana
mputernicit iniial rmne pe deplin rspunztoare fa de operator n ceea ce privete
ndeplinirea obligaiilor acestei a doua persoane mputernicite.
(5)Aderarea persoanei mputernicite de operator la un cod de conduit aprobat, menionat la
articolul 40, sau la un mecanism de certificare aprobat, menionat la articolul 42, poate fi
utilizat ca element prin care s se demonstreze existena garaniilor suficiente menionate la
alineatele (1) i (4) din prezentul articol.
(6)Fr a aduce atingere unui contract individual ncheiat ntre operator i persoana
mputernicit de operator, contractul sau cellalt act juridic menionat la alineatele (3) i (4)
din prezentul articol se poate baza, integral sau parial, pe clauze contractuale standard
menionate la alineatele (7) i (8) din prezentul articol, inclusiv atunci cnd fac parte dintr-o
certificare acordat operatorului sau persoanei mputernicite de operator n temeiul articolelor
42 i 43.
(7)Comisia poate s prevad clauze contractuale standard pentru aspectele menionate la
alineatele (3) i (4) din prezentul articol i n conformitate cu procedura de examinare
menionat la articolul 93 alineatul (2).
(8)O autoritate de supraveghere poate s adopte clauze contractuale standard pentru
aspectele menionate la alineatele (3) i (4) din prezentul articol i n conformitate cu
mecanismul pentru asigurarea coerenei menionat la articolul 63.
(9)Contractul sau cellalt act juridic menionat la alineatele (3) i (4) se formuleaz n scris,
inclusiv n format electronic.
(10)Fr a aduce atingere articolelor 82, 83 i 84, n cazul n care o persoan mputernicit
de operator nclc prezentul regulament, prin stabilirea scopurilor i mijloacelor de
prelucrare a datelor cu caracter personal, persoana mputernicit de operator este
considerat a fi un operator n ceea ce privete prelucrarea respectiv.
Art. 29: Desfurarea activitii de prelucrare sub autoritatea operatorului sau a
persoanei mputernicite de operator
Persoana mputernicit de operator i orice persoan care acioneaz sub autoritatea
operatorului sau a persoanei mputernicite de operator care are acces la date cu caracter
personal nu le prelucreaz dect la cererea operatorului, cu excepia cazului n care dreptul
Uniunii sau dreptul intern l oblig s fac acest lucru.
Art. 30: Evidenele activitilor de prelucrare
(1)Fiecare operator i, dup caz, reprezentantul acestuia pstreaz o eviden a activitilor
de prelucrare desfurate sub responsabilitatea lor. Respectiva eviden cuprinde toate
urmtoarele informaii:
a)numele i datele de contact ale operatorului i, dup caz, ale operatorului asociat, ale
reprezentantului operatorului i ale responsabilului cu protecia datelor;
b)scopurile prelucrrii;
c)o descriere a categoriilor de persoane vizate i a categoriilor de date cu caracter personal;
d)categoriile de destinatari crora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din ri tere sau organizaii internaionale;
e)dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o
organizaie internaional, inclusiv identificarea rii tere sau a organizaiei internaionale
respective i, n cazul transferurilor menionate la articolul 49 alineatul (1) al doilea paragraf,
documentaia care dovedete existena unor garanii adecvate;
f)acolo unde este posibil, termenele-limit preconizate pentru tergerea diferitelor categorii
de date;
g)acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de
securitate menionate la articolul 32 alineatul (1).
(2)Fiecare operator i, dup caz, persoana mputernicit de operator pstreaz o eviden a
tuturor categoriilor de activiti de prelucrare desfurate n numele operatorului, care
cuprind:
a)numele i datele de contact ale persoanei sau persoanelor mputernicite de operator i ale
fiecrui operator n numele cruia acioneaz aceast persoan (aceste persoane), precum i
ale reprezentantului operatorului sau al persoanei mputernicite de operator, dup caz;
b)categoriile de activiti de prelucrare desfurate n numele fiecrui operator;
c)dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o
organizaie internaional, inclusiv identificarea rii tere sau a organizaiei internaionale
respective i, n cazul transferurilor prevzute la articolul 49 alineatul (1) al doilea paragraf,
documentaia care dovedete existena unor garanii adecvate;
d)acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de
securitate menionate la articolul 32 alineatul (1).
(3)Evidenele menionate la alineatele (1) i (2) se formuleaz n scris, inclusiv n format
electronic.
(4)Operatorul sau persoana mputernicit de acesta, precum i, dup caz, reprezentantul
operatorului sau al persoanei mputernicite de operator pun evidenele la dispoziia autoritii
de supraveghere, la cererea acesteia.
(5)Obligaiile menionate la alineatele 1 i 2 nu se aplic unei ntreprinderi sau organizaii cu
mai puin de 250 de angajai, cu excepia cazului n care prelucrarea pe care o efectueaz
este susceptibil s genereze un risc pentru drepturile i libertile persoanelor vizate,
prelucrarea nu este ocazional sau prelucrarea include categorii speciale de date, astfel cum
se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnri
penale i infraciuni, astfel cum se menioneaz la articolul 10.
Art. 31: Cooperarea cu autoritatea de supraveghere
Operatorul i persoana mputernicit de operator i, dup caz, reprezentantul acestora
coopereaz, la cerere, cu autoritatea de supraveghere n ndeplinirea sarcinilor lor.
Seciunea 2: Securitatea datelor cu caracter personal
Art. 32: Securitatea prelucrrii
(1)Avnd n vedere stadiul actual al dezvoltrii, costurile implementrii i natura, domeniul de
aplicare, contextul i scopurile prelucrrii, precum i riscul cu diferite grade de probabilitate i
gravitate pentru drepturile i libertile persoanelor fizice, operatorul i persoana
mputernicit de acesta implementeaz msuri tehnice i organizatorice adecvate n vederea
asigurrii unui nivel de securitate corespunztor acestui risc, incluznd printre altele, dup
caz:
a)pseudonimizarea i criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenialitatea, integritatea, disponibilitatea i rezistena
continue ale sistemelor i serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal i accesul la acestea
n timp util n cazul n care are loc un incident de natur fizic sau tehnic;
d)un proces pentru testarea, evaluarea i aprecierea periodice ale eficacitii msurilor
tehnice i organizatorice pentru a garanta securitatea prelucrrii.
(2)La evaluarea nivelului adecvat de securitate, se ine seama n special de riscurile
prezentate de prelucrare, generate n special, n mod accidental sau ilegal, de distrugerea,
pierderea, modificarea, divulgarea neautorizat sau accesul neautorizat la datele cu caracter
personal transmise, stocate sau prelucrate ntr-un alt mod.
(3)Aderarea la un cod de conduit aprobat, menionat la articolul 40, sau la un mecanism de
certificare aprobat, menionat la articolul 42, poate fi utilizat ca element prin care s se
demonstreze ndeplinirea cerinelor prevzute la alineatul (1) din prezentul articol.
(4)Operatorul i persoana mputernicit de acesta iau msuri pentru a asigura faptul c orice
persoan fizic care acioneaz sub autoritatea operatorului sau a persoanei mputernicite de
operator i care are acces la date cu caracter personal nu le prelucreaz dect la cererea
operatorului, cu excepia cazului n care aceast obligaie i revine n temeiul dreptului Uniunii
sau al dreptului intern.
Art. 33: Notificarea autoritii de supraveghere n cazul nclcrii securitii
datelor cu caracter personal
(1)n cazul n care are loc o nclcare a securitii datelor cu caracter personal, operatorul
notific acest lucru autoritii de supraveghere competente n temeiul articolului 55, fr
ntrzieri nejustificate i, dac este posibil, n termen de cel mult 72 de ore de la data la care
a luat cunotin de aceasta, cu excepia cazului n care este susceptibil s genereze un risc
pentru drepturile i libertile persoanelor fizice. n cazul n care notificarea nu are loc n
termen de 72 de ore, aceasta este nsoit de o explicaie motivat din partea autoritii de
supraveghere n cazul n care.
(2)Persoana mputernicit de operator ntiineaz operatorul fr ntrzieri nejustificate dup
ce ia cunotin de o nclcare a securitii datelor cu caracter personal.
(3)Notificarea menionat la alineatul (1) cel puin:
a)descrie caracterul nclcrii securitii datelor cu caracter personal, inclusiv, acolo unde este
posibil, categoriile i numrul aproximativ al persoanelor vizate n cauz, precum i categoriile
i numrul aproximativ al nregistrrilor de date cu caracter personal n cauz;
b)comunic numele i datele de contact ale responsabilului cu protecia datelor sau un alt
punct de contact de unde se pot obine mai multe informaii;
c)descrie consecinele probabile ale nclcrii securitii datelor cu caracter personal;
d)descrie msurile luate sau propuse spre a fi luate de operator pentru a remedia problema
nclcrii securitii datelor cu caracter personal, inclusiv, dup caz, msurile pentru
atenuarea eventualelor sale efecte negative.
(4)Atunci cnd i n msura n care nu este posibil s se furnizeze informaiile n acelai timp,
acestea pot fi furnizate n mai multe etape, fr ntrzieri nejustificate.
(5)Operatorul pstreaz documente referitoare la toate cazurile de nclcare a securitii
datelor cu caracter personal, care cuprind o descriere a situaiei de fapt n care a avut loc
nclcarea securitii datelor cu caracter personal, a efectelor acesteia i a msurilor de
remediere ntreprinse. Aceast documentaie permite autoritii de supraveghere s verifice
conformitatea cu prezentul articol.
Art. 34: Informarea persoanei vizate cu privire la nclcarea securitii datelor cu
caracter personal
(1)n cazul n care nclcarea securitii datelor cu caracter personal este susceptibil s
genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, operatorul
informeaz persoana vizat fr ntrzieri nejustificate cu privire la aceast nclcare.
(2)n informarea transmis persoanei vizate prevzut la alineatul (1) din prezentul articol se
include o descriere ntr-un limbaj clar i simplu a caracterului nclcrii securitii datelor cu
caracter personal, precum i cel puin informaiile i msurile menionate la articolul 33
alineatul (3) literele (b), (c) i (d).
(3)Informarea persoanei vizate menionat la alineatul (1) nu este necesar n cazul n care
oricare dintre urmtoarele condiii este ndeplinit:
a)operatorul a implementat msuri de protecie tehnice i organizatorice adecvate, iar aceste
msuri au fost aplicate n cazul datelor cu caracter personal afectate de nclcarea securitii
datelor cu caracter personal, n special msuri prin care se asigur c datele cu caracter
personal devin neinteligibile oricrei persoane care nu este autorizat s le acceseze, cum ar
fi criptarea;
b)operatorul a luat msuri ulterioare prin care se asigur c riscul ridicat pentru drepturile i
libertile persoanelor vizate menionat la alineatul (1) nu mai este susceptibil s se
materializeze;
c)ar necesita un efort disproporionat. n aceast situaie, se efectueaz n loc o informare
public sau se ia o msur similar prin care persoanele vizate sunt informate ntr-un mod la
fel de eficace.
(4)n cazul n care operatorul nu a comunicat deja nclcarea securitii datelor cu caracter
personal ctre persoana vizat, autoritatea de supraveghere, dup ce a luat n considerare
probabilitatea ca nclcarea securitii datelor cu caracter personal s genereze un risc ridicat,
poate s i solicite acestuia s fac acest lucru sau poate decide c oricare dintre condiiile
menionate la alineatul (3) sunt ndeplinite.
Seciunea 3: Evaluarea impactului asupra proteciei datelor i consultarea
prealabil
Art. 35: Evaluarea impactului asupra proteciei datelor
(1)Avnd n vedere natura, domeniul de aplicare, contextul i scopurile prelucrrii, n cazul n
care un tip de prelucrare, n special cel bazat pe utilizarea noilor tehnologii, este susceptibil s
genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, operatorul
efectueaz, naintea prelucrrii, o evaluare a impactului operaiunilor de prelucrare prevzute
asupra proteciei datelor cu caracter personal. O evaluare unic poate aborda un set de
operaiuni de prelucrare similare care prezint riscuri ridicate similare.
(2)La realizarea unei evaluri a impactului asupra proteciei datelor, operatorul solicit avizul
responsabilului cu protecia datelor, dac acesta a fost desemnat.
(3)Evaluarea impactului asupra proteciei datelor menionat la alineatul (1) se impune mai
ales n cazul:
a)unei evaluri sistematice i cuprinztoare a aspectelor personale referitoare la persoane
fizice, care se bazeaz pe prelucrarea automat, inclusiv crearea de profiluri, i care st la
baza unor decizii care produc efecte juridice privind persoana fizic sau care o afecteaz n
mod similar ntr-o msur semnificativ;
b)prelucrrii pe scar larg a unor categorii speciale de date, menionat la articolul 9
alineatul (1), sau a unor date cu caracter personal privind condamnri penale i infraciuni,
menionat la articolul 10; sau
c)unei monitorizri sistematice pe scar larg a unei zone accesibile publicului.
(4)Autoritatea de supraveghere ntocmete i public o list a tipurilor de operaiuni de
prelucrare care fac obiectul cerinei de efectuare a unei evaluri a impactului asupra proteciei
datelor, n conformitate cu alineatul (1). Autoritatea de supraveghere comunic aceste liste
comitetului menionat la articolul 68.
(5)Autoritatea de supraveghere poate, de asemenea, s stabileasc i s pun la dispoziia
publicului o list a tipurilor de operaiuni de prelucrare pentru care nu este necesar o
evaluare a impactului asupra proteciei datelor. Autoritatea de supraveghere comunic aceste
liste comitetului.
(6)nainte de adoptarea listelor menionate la alineatele (4) i (5), autoritatea de
supraveghere competent aplic mecanismul pentru asigurarea coerenei menionat la
articolul 63 n cazul n care aceste liste implic activiti de prelucrare care presupun
furnizarea de bunuri sau prestarea de servicii ctre persoane vizate sau monitorizarea
comportamentului acestora n mai multe state membre ori care pot afecta n mod substanial
libera circulaie a datelor cu caracter personal n cadrul Uniunii.
(7)Evaluarea conine cel puin:
a)o descriere sistematic a operaiunilor de prelucrare preconizate i a scopurilor prelucrrii,
inclusiv, dup caz, interesul legitim urmrit de operator;
b)o evaluare a necesitii i proporionalitii operaiunilor de prelucrare n legtur cu aceste
scopuri;
c)o evaluare a riscurilor pentru drepturile i libertile persoanelor vizate menionate la
alineatul (1); i
d)msurile preconizate n vederea abordrii riscurilor, inclusiv garaniile, msurile de
securitate i mecanismele menite s asigure protecia datelor cu caracter personal i s
demonstreze conformitatea cu dispoziiile prezentului regulament, lund n considerare
drepturile i interesele legitime ale persoanelor vizate i ale altor persoane interesate.
(8)La evaluarea impactului operaiunilor de prelucrare efectuate de operatorii sau de
persoanele mputernicite de operatori relevante, se are n vedere n mod corespunztor
respectarea de ctre operatorii sau persoanele mputernicite respective a codurilor de
conduit aprobate menionate la articolul 40, n special n vederea unei evaluri a impactului
asupra proteciei datelor.
(9)Operatorul solicit, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanilor
acestora privind prelucrarea prevzut, fr a aduce atingere proteciei intereselor comerciale
sau publice ori securitii operaiunilor de prelucrare.
(10)Atunci cnd prelucrarea n temeiul articolului 6 alineatul (1) litera (c) sau (e) are un
temei juridic n dreptul Uniunii sau al unui stat membru sub incidena cruia intr operatorul,
iar dreptul respectiv reglementeaz operaiunea de prelucrare specific sau setul de
operaiuni specifice n cauz i deja s-a efectuat o evaluare a impactului asupra proteciei
datelor ca parte a unei evaluri a impactului generale n contextul adoptrii respectivului
temei juridic, alineatele (1)-(7) nu se aplic, cu excepia cazului n care statele membre
consider c este necesar efectuarea unei astfel de evaluri naintea desfurrii activitilor
de prelucrare.
(11)Acolo unde este necesar, operatorul efectueaz o analiz pentru a evalua dac
prelucrarea are loc n conformitate cu evaluarea impactului asupra proteciei datelor, cel puin
atunci cnd are loc o modificare a riscului reprezentat de operaiunile de prelucrare.
Art. 36: Consultarea prealabil
(1)Operatorul consult autoritatea de supraveghere nainte de prelucrarea atunci cnd
evaluarea impactului asupra proteciei datelor prevzut la articolul 35 indic faptul c
prelucrarea ar genera un risc ridicat n absena unor msuri luate de operator pentru
atenuarea riscului.
(2)Atunci cnd consider c prelucrarea prevzut menionat la alineatul (1) ar nclca
prezentul regulament, n special atunci cnd riscul nu a fost identificat sau atenuat ntr-o
msur suficient de ctre operator, autoritatea de supraveghere ofer consiliere n scris
operatorului i, dup caz, persoanei mputernicite de operator, n cel mult opt sptmni de la
primirea cererii de consultare, i i poate utiliza oricare dintre competenele menionate la
articolul 58. Aceast perioad poate fi prelungit cu ase sptmni, inndu-se seama de
complexitatea prelucrrii prevzute. Autoritatea de supraveghere informeaz operatorul i,
dup caz, persoana mputernicit de operator, n termen de o lun de la primirea cererii, cu
privire la orice astfel de prelungire, prezentnd motivele ntrzierii. Aceste perioade pot fi
suspendate pn cnd autoritatea de supraveghere a obinut informaiile pe care le-a solicitat
n scopul consultrii.
(3)Atunci cnd consult autoritatea de supraveghere n conformitate cu alineatul (1),
operatorul i furnizeaz acesteia:
a)dac este cazul, responsabilitile respective ale operatorului, ale operatorilor asociai i ale
persoanelor mputernicite de operator implicate n activitile de prelucrare, n special pentru
prelucrarea n cadrul unui grup de ntreprinderi;
b)scopurile i mijloacele prelucrrii preconizate;
c)msurile i garaniile prevzute pentru protecia drepturilor i libertilor persoanelor vizate,
n conformitate cu prezentul regulament;
d)dac este cazul, datele de contact ale responsabilului cu protecia datelor;
e)evaluarea impactului asupra proteciei datelor prevzut la articolul 35; i
f)orice alte informaii solicitate de autoritatea de supraveghere.
(4)Statele membre consult autoritatea de supraveghere n cadrul procesului de pregtire a
unei propuneri de msur legislativ care urmeaz s fie adoptat de un parlament naional
sau a unei msuri de reglementare ntemeiate pe o astfel de msur legislativ, care se
refer la prelucrarea.
(5)n pofida alineatului (1), dreptul intern poate impune operatorilor s se consulte cu
autoritatea de supraveghere i s obin n prealabil autorizarea din partea acesteia n
legtur cu prelucrarea de ctre un operator n vederea ndeplinirii unei sarcini exercitate de
acesta n interes public, inclusiv prelucrarea n legtur cu protecia social i sntatea
public.
Seciunea 4: Responsabilul cu protecia datelor
Art. 37: Desemnarea responsabilului cu protecia datelor
(1)Operatorul i persoana mputernicit de operator desemneaz un responsabil cu protecia
datelor ori de cte ori:
a)prelucrarea este efectuat de o autoritate sau un organism public, cu excepia instanelor
care acioneaz n exerciiul funciei lor jurisdicionale;
b)activitile principale ale operatorului sau ale persoanei mputernicite de operator constau
n operaiuni de prelucrare care, prin natura, domeniul de aplicare i/sau scopurile lor,
necesit o monitorizare periodic i sistematic a persoanelor vizate pe scar larg; sau
c)activitile principale ale operatorului sau ale persoanei mputernicite de operator constau
n prelucrarea pe scar larg a unor categorii speciale de date, menionat la articolul 9, sau
a unor date cu caracter personal privind condamnri penale i infraciuni, menionat la
articolul 10.
(2)Un grup de ntreprinderi poate numi un responsabil cu protecia datelor unic, cu condiia
ca responsabilul cu protecia datelor s fie uor accesibil din fiecare ntreprindere.
(3)n cazul n care operatorul sau persoana mputernicit de operator este o autoritate
public sau un organism public, poate fi desemnat un responsabil cu protecia datelor unic
pentru mai multe dintre aceste autoriti sau organisme, lund n considerare structura
organizatoric i dimensiunea acestora.
(4)n alte cazuri dect cele menionate la alineatul (1), operatorul sau persoana mputernicit
de operator ori asociaiile i alte organisme care reprezint categorii de operatori sau de
persoane mputernicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul
intern solicit acest lucru, desemneaz un responsabil cu protecia datelor. Responsabilul cu
protecia datelor poate s acioneze n favoarea unor astfel de asociaii i alte organisme care
reprezint operatori sau persoane mputernicite de operatori.
(5)Responsabilul cu protecia datelor este desemnat pe baza calitilor profesionale i, n
special, a cunotinelor de specialitate n dreptul i practicile din domeniul proteciei datelor,
precum i pe baza capacitii de a ndeplini sarcinile prevzute la articolul 39.
(6)Responsabilul cu protecia datelor poate fi un membru al personalului operatorului sau
persoanei mputernicite de operator sau poate s i ndeplineasc sarcinile n baza unui
contract de servicii.
(7)Operatorul sau persoana mputernicit de operator public datele de contact ale
responsabilului cu protecia datelor i le comunic autoritii de supraveghere.
Art. 38: Funcia responsabilului cu protecia datelor
(1)Operatorul i persoana mputernicit de operator se asigur c responsabilul cu protecia
datelor este implicat n mod corespunztor i n timp util n toate aspectele legate de protecia
datelor cu caracter personal.
(2)Operatorul i persoana mputernicit de operator sprijin responsabilul cu protecia datelor
n ndeplinirea sarcinilor menionate la articolul 39, asigurndu-i resursele necesare pentru
executarea acestor sarcini, precum i accesarea datelor cu caracter personal i a operaiunilor
de prelucrare, i pentru meninerea cunotinelor sale de specialitate.
(3)Operatorul i persoana mputernicit de operator se asigur c responsabilul cu protecia
datelor nu primete niciun fel de instruciuni n ceea ce privete ndeplinirea acestor sarcini.
Acesta nu este demis sau sancionat de ctre operator sau de persoana mputernicit de
operator pentru ndeplinirea sarcinilor sale. Responsabilul cu protecia datelor rspunde direct
n faa celui mai nalt nivel al conducerii operatorului sau persoanei mputernicite de operator.
(4)Persoanele vizate pot contacta responsabilul cu protecia datelor cu privire la toate
chestiunile legate de prelucrarea datelor lor i la exercitarea drepturilor lor n temeiul
prezentului regulament.
(5)Responsabilul cu protecia datelor are obligaia de a respecta secretul sau
confidenialitatea n ceea ce privete ndeplinirea sarcinilor sale, n conformitate cu dreptul
Uniunii sau cu dreptul intern.
(6)Responsabilul cu protecia datelor poate ndeplini i alte sarcini i atribuii. Operatorul sau
persoana mputernicit de operator se asigur c niciuna dintre aceste sarcini i atribuii nu
genereaz un conflict de interese.
Art. 39: Sarcinile responsabilului cu protecia datelor
(1)Responsabilul cu protecia datelor are cel puin urmtoarele sarcini:
a)informarea i consilierea operatorului, sau a persoanei mputernicite de operator, precum i
a angajailor care se ocup de prelucrare cu privire la obligaiile care le revin n temeiul
prezentului regulament i al altor dispoziii de drept al Uniunii sau drept intern referitoare la
protecia datelor;
b)monitorizarea respectrii prezentului regulament, a altor dispoziii de drept al Uniunii sau
de drept intern referitoare la protecia datelor i a politicilor operatorului sau ale persoanei
mputernicite de operator n ceea ce privete protecia datelor cu caracter personal, inclusiv
alocarea responsabilitilor i aciunile de sensibilizare i de formare a personalului implicat n
operaiunile de prelucrare, precum i auditurile aferente;
c)furnizarea de consiliere la cerere n ceea ce privete evaluarea impactului asupra proteciei
datelor i monitorizarea funcionrii acesteia, n conformitate cu articolul 35;
d)cooperarea cu autoritatea de supraveghere;
e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele
legate de prelucrare, inclusiv consultarea prealabil menionat la articolul 36, precum i,
dac este cazul, consultarea cu privire la orice alt chestiune.
(2)n ndeplinirea sarcinilor sale, responsabilul cu protecia datelor ine seama n mod
corespunztor de riscul asociat operaiunilor de prelucrare, lund n considerare natura,
domeniul de aplicare, contextul i scopurile prelucrrii.
Seciunea 5: Coduri de conduit i certificare
Art. 40: Coduri de conduit
(1)Statele membre, autoritile de supraveghere, comitetul i Comisia ncurajeaz elaborarea
de coduri de conduit menite s contribuie la buna aplicare a prezentului regulament, innd
seama de caracteristicile specifice ale diverselor sectoare de prelucrare i de nevoile specifice
ale microntreprinderilor i ale ntreprinderilor mici i mijlocii.
(2)Asociaiile i alte organisme care reprezint categorii de operatori sau de persoane
mputernicite de operatori pot pregti coduri de conduit sau le pot modifica sau extinde pe
cele existente, n scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi
n ceea ce privete:
a)prelucrarea n mod echitabil i transparent;
b)interesele legitime urmrite de operatori n contexte specifice;
c)colectarea datelor cu caracter personal;
d)pseudonimizarea datelor cu caracter personal;
e)informarea publicului i a persoanelor vizate;
f)exercitarea drepturilor persoanelor vizate;
g)informarea i protejarea copiilor i modalitatea n care trebuie obinut consimmntul
titularilor rspunderii printeti asupra copiilor;
h)msurile i procedurile menionate la articolele 24 i 25 i msurile de asigurare a
securitii prelucrrii, menionate la articolul 32;
i)notificarea autoritilor de supraveghere cu privire la nclcrile securitii datelor cu
caracter personal i informarea persoanelor vizate cu privire la aceste nclcri;
j)transferul de date cu caracter personal ctre ri tere sau organizaii internaionale; sau
k)proceduri extrajudiciare i alte proceduri de soluionare a litigiilor pentru soluionarea
litigiilor ntre operatori i persoanele vizate n ceea ce privete prelucrarea, fr a aduce
atingere drepturilor persoanelor vizate, n temeiul articolelor 77 i 79.
(3)La codurile de conduit aprobate n temeiul alineatului (5) din prezentul articol i care au
o valabilitate general n temeiul alineatului (9) din prezentul articol pot adera nu numai
operatorii sau persoanele mputernicite de operatori care fac obiectul prezentului regulament,
ci i operatorii sau persoanele mputernicite de operatori care nu fac obiectul prezentului
regulament n temeiul articolului 3, n scopul de a oferi garanii adecvate n cadrul
transferurilor de date cu caracter personal ctre ri tere sau organizaii internaionale n
condiiile menionate la articolul 46 alineatul (2) litera (e). Aceti operatori sau persoane
mputernicite de operatori i asum angajamente cu caracter obligatoriu i executoriu, prin
intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de
vedere juridic, n scopul aplicrii garaniilor adecvate respective, inclusiv cu privire la
drepturile persoanelor vizate.
(4)Codul de conduit prevzut la alineatul (2) din prezentul articol cuprinde mecanisme care
permit organismului menionat la articolul 41 alineatul (1) s efectueze monitorizarea
obligatorie a respectrii dispoziiilor acestuia de ctre operatorii sau persoanele mputernicite
de operatori care se angajeaz s l aplice, fr a aduce atingere sarcinilor i competenelor
autoritilor de supraveghere care sunt competente n temeiul articolului 55 sau 56.
(5)Asociaiile i alte organisme menionate la alineatul (2) din prezentul articol care
intenioneaz s pregteasc un cod de conduit sau s modifice sau s extind un cod
existent transmit proiectul de cod, de modificare sau de extindere autoritii de supraveghere
care este competent n temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu
privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de
extindere i l aprob n cazul n care se constat c acesta ofer garanii adecvate suficiente.
(6)n cazul n care proiectul de cod, de modificare sau de extindere este aprobat n
conformitate cu alineatul (5), iar codul de conduit n cauz nu are legtur cu activitile de
prelucrare din mai multe state membre, autoritatea de supraveghere nregistreaz i public
codul.
(7)n cazul n care un proiect de cod de conduit, de modificare sau de extindere are
legtur cu activitile de prelucrare din mai multe state membre, nainte de aprobare,
autoritatea de supraveghere competent n temeiul articolului 55 l transmite, prin procedura
menionat la articolul 63, comitetului, care emite un aviz cu privire la conformitatea cu
prezentul regulament a proiectului respectiv, sau, n situaia menionat la alineatul (3) din
prezentul articol, ofer garanii adecvate.
(8)n cazul n care avizul menionat la alineatul (7) confirm conformitatea cu prezentul
regulament a proiectului de cod, de modificare sau de extindere sau n cazul n care, n
situaia menionat la alineatul (3), ofer garanii adecvate, comitetul transmite avizul su
Comisiei.
(9)Comisia poate adopta acte de punere n aplicare pentru a decide c codul de conduit,
modificarea sau extinderea aprobate care i-au fost prezentate n temeiul alineatului (8) din
prezentul articol au valabilitate general n Uniune. Actele de punere n aplicare respective se
adopt n conformitate cu procedura de examinare prevzut la articolul 93 alineatul (2).
(10)Comisia asigur publicitatea adecvat pentru codurile aprobate asupra crora s-a decis
c au valabilitate general n conformitate cu alineatul (9).
(11)Comitetul regrupeaz toate codurile de conduit, modificrile i extinderile aprobate ntr-
un registru i le pune la dispoziia publicului prin mijloace corespunztoare.
Art. 41: Monitorizarea codurilor de conduit aprobate
(1)Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente
n temeiul articolelor 57 i 58, monitorizarea respectrii unui cod de conduit n temeiul
articolului 40 poate fi realizat de un organism care dispune de un nivel adecvat de expertiz
n legtur cu obiectul codului i care este acreditat n acest scop de autoritatea de
supraveghere competent.
(2)Un organism menionat la alineatul (1) poate fi acreditat pentru monitorizarea respectrii
unui cod de conduit dac:
a)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor,
independena i expertiza sa n legtur cu obiectul codului;
b)a instituit proceduri care i permit s evalueze eligibilitatea operatorilor i a persoanelor
mputernicite de operatori n vederea aplicrii codului, s monitorizeze respectarea de ctre
acetia a dispoziiilor codului i s revizuiasc periodic funcionarea acestuia;
c)a instituit proceduri i structuri pentru tratarea plngerilor privind nclcri ale codului sau
privind modul n care codul a fost sau este pus n aplicare de un operator sau o persoan
mputernicit de operator, precum i pentru asigurarea transparenei acestor proceduri i
structuri pentru persoanele vizate i pentru public; i
d)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, c sarcinile
i atribuiile sale nu creeaz conflicte de interese.
(3)Autoritatea de supraveghere competent transmite proiectul de criterii pentru acreditarea
unui organism menionat la alineatul (1) din prezentul articol comitetului, n conformitate cu
mecanismul pentru asigurarea coerenei menionat la articolul 63.
(4)Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente
i dispoziiilor capitolului VIII, un organism menionat la alineatul (1) din prezentul articol ia
msuri corespunztoare, sub rezerva unor garanii adecvate, n cazul nclcrii codului de
ctre un operator sau o persoan mputernicit de operator, inclusiv prin suspendarea sau
excluderea respectivului operator sau a respectivei persoane din cadrul codului. Organismul n
cauz informeaz autoritatea de supraveghere competent cu privire la aceste msuri i la
motivele care le-au determinat.
(5)Autoritatea de supraveghere competent revoc acreditarea unui organism menionat la
alineatul (1) n cazul n care nu mai sunt ndeplinite condiiile pentru acreditare sau msurile
luate de organismul n cauz ncalc prezentul regulament.
(6)Prezentul articol nu se aplic prelucrrii efectuate de autoriti i organisme publice.
Art. 42: Certificare
(1)Statele membre, autoritile de supraveghere, comitetul i Comisia ncurajeaz, n special
la nivelul Uniunii, instituirea de mecanisme de certificare n domeniul proteciei datelor,
precum i de sigilii i mrci n acest domeniu, care s permit demonstrarea faptului c
operaiunile de prelucrare efectuate de operatori i de persoanele mputernicite de operatori
respect prezentul regulament. Sunt luate n considerare necesitile specifice ale
microntreprinderilor i ale ntreprinderilor mici i mijlocii.
(2)Mecanismele de certificare din domeniul proteciei datelor, sigiliile sau mrcile aprobate n
temeiul alineatului (5) din prezentul articol sunt instituite nu numai pentru a fi respectate de
operatorii sau de persoanele mputernicite de operatori care fac obiectul prezentului
regulament, ci i pentru a demonstra existena unor garanii adecvate oferite de operatorii
sau de persoanele mputernicite de operatori care nu fac obiectul prezentului regulament, n
temeiul articolului 3, n cadrul transferurilor de date cu caracter personal ctre ri tere sau
organizaii internaionale n condiiile menionate la articolul 46 alineatul (2) litera (f). Aceti
operatori sau persoane mputernicite de operatori i asum angajamente cu caracter
obligatoriu i executoriu, prin intermediul unor instrumente contractuale sau al altor
instrumente obligatorii din punct de vedere juridic, n scopul aplicrii garaniilor adecvate
respective, inclusiv cu privire la drepturile persoanelor vizate.
(3)Certificarea este voluntar i disponibil prin intermediul unui proces transparent.
(4)Certificarea n conformitate cu prezentul articol nu reduce responsabilitatea operatorului
sau a persoanei mputernicite de operator de a respecta prezentul regulament i nu aduce
atingere sarcinilor i competenelor autoritilor de supraveghere care sunt competente n
temeiul articolului 55 sau 56.
(5)Organismele de certificare menionate la articolul 43 sau autoritatea de supraveghere
competent emit o certificare n temeiul prezentului articol, pe baza criteriilor aprobate de
ctre autoritatea de supraveghere competent respectiv n temeiul articolului 58 alineatul
(3), sau de ctre comitet n temeiul articolului 63. n cazul n care criteriile sunt aprobate de
comitet, aceasta poate duce la o certificare comun, i anume sigiliul european privind
protecia datelor.
(6)Operatorul sau persoana mputernicit de operator care supune activitile sale de
prelucrare mecanismului de certificare ofer organismului de certificare menionat la articolul
43 sau, dup caz, autoritii de supraveghere competente, toate informaiile necesare pentru
desfurarea procedurii de certificare, precum i accesul la activitile de prelucrare
respective.
(7)Certificarea este eliberat unui operator sau unei persoane mputernicite de operator
pentru o perioad maxim de trei ani i poate fi rennoit n aceleai condiii, cu condiia ca
cerinele relevante s fie ndeplinite n continuare. Certificarea este retras, dup caz, de
ctre organismele de certificare menionate la articolul 43 sau de ctre autoritatea de
supraveghere competent n cazul n care nu mai sunt ndeplinite cerinele pentru certificare.
(8)Comitetul regrupeaz toate mecanismele de certificare i sigiliile i mrcile de protecie a
datelor ntr-un registru i le pune la dispoziia publicului prin orice mijloc corespunztor.
Art. 43: Organisme de certificare
(1)Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente,
prevzute la articolele 57 i 58, organismele de certificare care dispun de un nivel adecvat de
competen n domeniul proteciei datelor, dup ce informeaz autoritatea de supraveghere
pentru a-i permite s i exercite competenele n temeiul articolului 58 alineatul (2) litera (h),
emit i rennoiesc certificarea. Statele membre se asigur c aceste organisme de certificare
sunt acreditate de ctre una sau amndou dintre urmtoarele entiti:
a)autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56;
b)organismul naional de acreditare desemnat n conformitate cu Regulamentul (CE) nr.
765/2008 al Parlamentului European i al Consiliului (1) n conformitate cu standardul EN-
ISO/IEC 17065/2012 i cu cerinele suplimentare stabilite de autoritatea de supraveghere
care este competent n temeiul articolului 55 sau 56.
(1)Regulamentul (CE) nr. 765/2008 al Parlamentului European i al Consiliului din 9 iulie
2008 de stabilire a cerinelor de acreditare i de supraveghere a pieei n ceea ce privete
comercializarea produselor i de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218,
13.8.2008, p. 30)
(2)Un organism de certificare menionat la alineatul (1) este acreditat n conformitate cu
alineatul respectiv numai dac:
a)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor,
independena i expertiza sa n legtur cu obiectul certificrii;
b)s-a angajat s respecte criteriile menionate la articolul 42 alineatul (5) i aprobate de
autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56, sau de
ctre comitet n temeiul articolului 63;
c)a instituit proceduri pentru emiterea, revizuirea periodic i retragerea certificrii, a sigiliilor
i mrcilor din domeniul proteciei datelor;
d)a instituit proceduri i structuri pentru tratarea plngerilor privind nclcri ale certificrii
sau privind modul n care certificarea a fost sau este pus n aplicare de un operator sau o
persoan mputernicit de operator, precum i pentru asigurarea transparenei acestor
proceduri i structuri pentru persoanele vizate i pentru public; i
e)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, c sarcinile
i atribuiile sale nu creeaz conflicte de interese.
(3)Acreditarea organismelor de certificare menionate la alineatele (1) i (2) din prezentul
articol se realizeaz pe baza criteriilor aprobate de ctre autoritatea de supraveghere care
este competent n temeiul articolului 55 sau 56, sau de ctre comitet n temeiul articolului
63. n cazul unei acreditri n conformitate cu alineatul (1) litera (b) din prezentul articol,
aceste cerine le completeaz pe cele prevzute n Regulamentul (CE) nr. 765/2008 i
normele tehnice care descriu metodele i procedurile organismelor de certificare.
(4)Organismele de certificare menionate la alineatul (1) sunt responsabile cu realizarea unei
evaluri adecvate n vederea certificrii sau retragerii acestei certificri, fr a aduce atingere
responsabilitii operatorului sau a persoanei mputernicite de operator de a respecta
prezentul regulament. Acreditarea se elibereaz pentru o perioad maxim de cinci ani i
poate fi rennoit n aceleai condiii, cu condiia ca organismul de certificare s ndeplineasc
cerinele prevzute n prezentul articol.
(5)Organismele de certificare menionate la alineatul (1) transmite autoritilor de
supraveghere competente motivele acordrii sau retragerii certificrii solicitate.
(6)Cerinele menionate la alineatul (3) din prezentul articol i criteriile menionate la articolul
42 alineatul (5) se public de ctre autoritatea de supraveghere ntr-o form uor de accesat.
Autoritile de supraveghere transmit, de asemenea, aceste cerine i criterii comitetului.
Comitetul regrupeaz toate mecanismele de certificare i sigiliile de protecie a datelor ntr-un
registru i le pune la dispoziia publicului prin orice mijloc corespunztor.
(7)Fr a aduce atingere dispoziiilor capitolului VIII, autoritatea de supraveghere
competent sau organismul naional de acreditare revoc acreditarea acordat unui organism
de certificare n temeiul alineatului (1) din prezentul articol n cazul n care nu sunt sau nu
mai sunt ndeplinite condiiile pentru acreditare sau msurile luate de organismul de
acreditare ncalc prezentul regulament.
(8)Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 92, n
scopul specificrii cerinelor care trebuie luate n considerare pentru mecanismele de
certificare din domeniul proteciei datelor, menionate la articolul 42 alineatul (1).
(9)Comisia poate adopta acte de punere n aplicare pentru a stabili standarde tehnice pentru
mecanismele de certificare i pentru sigiliile i mrcile din domeniul proteciei datelor, precum
i mecanisme de promovare i recunoatere a acelor mecanisme de certificare, sigilii i mrci.
Actele de punere n aplicare respective se adopt n conformitate cu procedura de examinare
menionat la articolul 93 alineatul (2).
CAPITOLUL V: Transferurile de date cu caracter personal ctre ri tere sau
organizaii internaionale
Art. 44: Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrrii sau care urmeaz a fi prelucrate
dup ce sunt transferate ntr-o ar ter sau ctre o organizaie internaional pot fi
transferate doar dac, sub rezerva celorlalte dispoziii ale prezentului regulament, condiiile
prevzute n prezentul capitol sunt respectate de operator i de persoana mputernicit de
operator, inclusiv n ceea ce privete transferurile ulterioare de date cu caracter personal din
ara ter sau de la organizaia internaional ctre o alt ar ter sau ctre o alt
organizaie internaional. Toate dispoziiile din prezentul capitol se aplic pentru a se asigura
c nivelul de protecie a persoanelor fizice garantat prin prezentul regulament nu este
subminat.
Art. 45: Transferuri n temeiul unei decizii privind caracterul adecvat al nivelului
de protecie
(1)Transferul de date cu caracter personal ctre o ar ter sau o organizaie internaional
se poate realiza atunci cnd Comisia a decis c ara ter, un teritoriu ori unul sau mai multe
sectoare specificate din acea ar ter sau organizaia internaional n cauz asigur un
nivel de protecie adecvat. Transferurile realizate n aceste condiii nu necesit autorizri
speciale.
(2)Atunci cnd evalueaz caracterul adecvat al nivelului de protecie, Comisia ine seama,
n special, de urmtoarele elemente:
a)statul de drept, respectarea drepturilor omului i a libertilor fundamentale, legislaia
relevant, att general, ct i sectorial, inclusiv privind securitatea public, aprarea,
securitatea naional i dreptul penal, precum i accesul autoritilor publice la datele cu
caracter personal, precum i punerea n aplicare a acestei legislaii, normele de protecie a
datelor, normele profesionale i msurile de securitate, inclusiv normele privind transferul
ulterior de date cu caracter personal ctre o alt ar ter sau organizaie internaional,
care sunt respectate n ara ter respectiv sau n organizaia internaional respectiv,
jurisprudena, precum i existena unor drepturi efective i opozabile ale persoanelor vizate i
a unor reparaii efective pe cale administrativ i judiciar pentru persoanele vizate ale cror
date cu caracter personal sunt transferate;
b)existena i funcionarea eficient a uneia sau mai multor autoriti de supraveghere
independente n ara ter sau sub jurisdicia crora intr o organizaie internaional, cu
responsabilitate pentru asigurarea i impunerea respectrii normelor de protecie a datelor,
incluznd competene adecvate de asigurare a respectrii aplicrii, pentru acordarea de
asisten i consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora i pentru
cooperarea cu autoritile de supraveghere din statele membre; i
c)angajamentele internaionale la care a aderat ara ter sau organizaia internaional n
cauz sau alte obligaii care decurg din convenii sau instrumente obligatorii din punct de
vedere juridic, precum i din participarea acesteia la sisteme multilaterale sau regionale, mai
ales n domeniul proteciei datelor cu caracter personal.
(3)Comisia, dup ce evalueaz caracterul adecvat al nivelului de protecie, poate decide,
printr-un act de punere n aplicare, c o ar ter, un teritoriu sau unul sau mai multe
sectoare specificate dintr-o ar ter sau o organizaie internaional asigur un nivel de
protecie adecvat n sensul alineatului (2) din prezentul articol. Actul de punere n aplicare
prevede un mecanism de revizuire periodic, cel puin o dat la patru ani, care ia n
considerare toate evoluiile relevante din ara ter sau organizaia internaional. Actul de
punere n aplicare menioneaz aplicarea geografic i sectorial, i, dup caz, identific
autoritatea sau autoritile de supraveghere menionate la alineatul (2) litera (b) din
prezentul articol. Actul de punere n aplicare se adopt n conformitate cu procedura de
examinare menionat la articolul 93 alineatul (2).
(4)Comisia monitorizeaz continuu evoluiile din rile tere i de la nivelul organizaiilor
internaionale care ar putea afecta funcionarea deciziilor adoptate n temeiul alineatului (3)
din prezentul articol i a deciziilor adoptate n temeiul articolului 25 alineatul (6) din Directiva
95/46/CE.
(5)n cazul n care informaiile disponibile dezvluie, n special n urma revizuirii menionate
la alineatul (3) din prezentul articol, c o ar ter, un teritoriu sau un sector specificat din
acea ar ter sau o organizaie internaional nu mai asigur un nivel de protecie adecvat
n sensul alineatului (2) din prezentul articol, Comisia, dac este necesar, abrog, modific
sau suspend, prin intermediul unui act de punere n aplicare, decizia menionat la alineatul
(3) din prezentul articol fr efect retroactiv. Actele de punere n aplicare respective se
adopt n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2).
Din motive imperioase de urgen, Comisia adopt acte de punere n aplicare imediat
aplicabile n conformitate cu procedura menionat la articolul 93 alineatul (3).
(6)Comisia iniiaz consultri cu ara ter sau organizaia internaional n vederea
remedierii situaiei care a stat la baza deciziei luate n conformitate cu alineatul (5).
(7)O decizie luat n temeiul alineatului (5) din prezentul articol nu aduce atingere
transferurilor de date cu caracter personal ctre ara ter, un teritoriu sau unul sau mai
multe sectoare specificate din acea ar ter sau ctre organizaia internaional n cauz n
conformitate cu articolele 46-49.
(8)Comisia public n Jurnalul Oficial al Uniunii Europene i pe site-ul su o list a rilor
tere, a teritoriilor i sectoarelor specificate dintr-o ar ter i a organizaiilor internaionale
n cazul crora a decis c nivelul de protecie adecvat este asigurat sau nu mai este asigurat.
(9)Deciziile adoptate de Comisie n temeiul articolului 25 alineatul (6) din Directiva
95/46/CE rmn n vigoare pn cnd sunt modificate, nlocuite sau abrogate de o decizie a
Comisiei adoptat n conformitate cu alineatul (3) sau (5) din prezentul articol.
Art. 46: Transferuri n baza unor garanii adecvate
(1)n absena unei decizii n temeiul articolului 45 alineatul (3), operatorul sau persoana
mputernicit de operator poate transfera date cu caracter personal ctre o ar ter sau o
organizaie internaional numai dac operatorul sau persoana mputernicit de operator a
oferit garanii adecvate i cu condiia s existe drepturi opozabile i ci de atac eficiente
pentru persoanele vizate.
(2)Garaniile adecvate menionate la alineatul 1 pot fi furnizate fr s fie nevoie de nicio
autorizaie specific din partea unei autoriti de supraveghere, prin:
a)un instrument obligatoriu din punct de vedere juridic i executoriu ntre autoritile sau
organismele publice;
b)reguli corporatiste obligatorii n conformitate cu articolul 47;
c)clauze standard de protecie a datelor adoptate de Comisie n conformitate cu procedura de
examinare menionat la articolul 93 alineatul (2);
d)clauze standard de protecie a datelor adoptate de o autoritate de supraveghere i
aprobate de Comisie n conformitate cu procedura de examinare menionat la articolul 93
alineatul (2);
e)un cod de conduit aprobat n conformitate cu articolul 40, nsoit de un angajament
obligatoriu i executoriu din partea operatorului sau a persoanei mputernicite de operator din
ara ter de a aplica garanii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
f)un mecanism de certificare aprobat n conformitate cu articolul 42, nsoit de un
angajament obligatoriu i executoriu din partea operatorului sau a persoanei mputernicite de
operator din ara ter de a aplica garanii adecvate, inclusiv cu privire la drepturile
persoanelor vizate.
(3)Sub rezerva autorizrii din partea autoritii de supraveghere competente, garaniile
adecvate menionate la alineatul (1) pot fi furnizate de asemenea, n special, prin:
a)clauze contractuale ntre operator sau persoana mputernicit de operator i operatorul,
persoana mputernicit de operator sau destinatarul datelor cu caracter personal din ara
ter sau organizaia internaional; sau
b)dispoziii care urmeaz s fie incluse n acordurile administrative dintre autoritile sau
organismele publice, care includ drepturi opozabile i efective pentru persoanele vizate.
(4)Autoritatea de supraveghere aplic mecanismul pentru asigurarea coerenei menionat la
articolul 63, n cazurile menionate la alineatul (3) din prezentul articol.
(5)Autorizaiile acordate de un stat membru sau de o autoritate de supraveghere n temeiul
articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile pn la data la care sunt
modificate, nlocuite sau abrogate, dac este necesar, de respectiva autoritate de
supraveghere. Deciziile adoptate de Comisie n temeiul articolului 26 alineatul (4) din
Directiva 95/46/CE rmn n vigoare pn cnd sunt modificate, nlocuite sau abrogate,
dac este necesar, de o decizie a Comisiei adoptat n conformitate cu alineatul (2) din
prezentul articol.
Art. 47: Reguli corporatiste obligatorii
(1)n conformitate cu mecanismul pentru asigurarea coerenei prevzut la articolul 63,
autoritatea de supraveghere competent aprob reguli corporatiste obligatorii, cu condiia ca
acestea:
a)s fie obligatorii din punct de vedere juridic i s se aplice fiecrui membru vizat al grupului
de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun,
inclusiv angajailor acestuia, precum i s fie puse n aplicare de membrii n cauz;
b)s confere, n mod expres, drepturi opozabile persoanelor vizate n ceea ce privete
prelucrarea datelor lor cu caracter personal; i
c)s ndeplineasc cerinele prevzute la alineatul (2).
(2)Regulile corporatiste obligatorii menionate la alineatul (1) precizeaz cel puin:
a)structura i datele de contact ale grupului de ntreprinderi sau ale grupului de ntreprinderi
implicate ntr-o activitate economic comun i ale fiecruia dintre membrii si;
b)transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter
personal, tipul prelucrrii i scopurile prelucrrii, tipurile de persoane vizate afectate i
identificarea rii tere sau a rilor tere n cauz;
c)caracterul lor juridic obligatoriu, att pe plan intern, ct i extern;
d)aplicarea principiilor generale n materie de protecie a datelor, n special limitarea scopului,
reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protecia
datelor ncepnd cu momentul conceperii i protecia implicit, temeiul juridic pentru
prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, msurile de
asigurare a securitii datelor, precum i cerinele referitoare la transferurile ulterioare ctre
organisme care nu fac obiectul regulilor corporatiste obligatorii;
e)drepturile persoanelor vizate n ceea ce privete prelucrarea i mijloacele de exercitare a
acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe
prelucrarea automat, inclusiv crearea de profiluri, n conformitate cu articolul 22, dreptul de
a depune o plngere n faa autoritii de supraveghere competente i n faa instanelor
competente ale statelor membre, n conformitate cu articolul 79, precum i dreptul de a
obine reparaii i, dup caz, despgubiri pentru nclcarea regulilor corporatiste obligatorii;
f)acceptarea de ctre operator sau de persoana mputernicit de operator, care i are sediul
pe teritoriul unui stat membru, a rspunderii pentru orice nclcare a regulilor corporatiste
obligatorii de ctre orice membru n cauz care nu i are sediul n Uniune; operatorul sau
persoana mputernicit de operator este exonerat() de aceast rspundere, integral sau
parial, numai dac dovedete c membrul respectiv nu a fost rspunztor de evenimentul
care a cauzat prejudiciul;
g)modul n care informaiile privind regulile corporatiste obligatorii, n special privind
dispoziiile menionate la literele (d), (e) i (f) de la prezentul alineat, sunt furnizate
persoanelor vizate n completarea informaiilor menionate la articolele 13 i 14;
h)sarcinile oricrui responsabil cu protecia datelor desemnat n conformitate cu articolul 37
sau ale oricrei alte persoane sau entiti nsrcinate cu monitorizarea respectrii regulilor
corporatiste obligatorii n cadrul grupului de ntreprinderi sau al grupului de ntreprinderi
implicate ntr-o activitate economic comun, a activitilor de formare i a gestionrii
plngerilor;
i)procedurile de formulare a plngerilor;
j)mecanismele din cadrul grupului de ntreprinderi sau al grupului de ntreprinderi implicate
ntr-o activitate economic comun, menite s asigure verificarea conformitii cu regulile
corporatiste obligatorii. Aceste mecanisme includ auditurile privind protecia datelor i
metodele de asigurare a aciunilor corective menite s protejeze drepturile persoanei vizate.
Rezultatele acestor verificri ar trebui s fie comunicate persoanei sau entitii menionate la
litera (h) i consiliului de administraie al ntreprinderii care exercit controlul grupului de
ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun i ar
trebui s fie puse la dispoziia autoritii de supraveghere competente, la cerere;
k)mecanismele de raportare i nregistrare a modificrilor aduse regulilor i de raportare a
acestor modificri autoritii de supraveghere;
l)mecanismul de cooperare cu autoritatea de supraveghere n vederea asigurrii respectrii
regulilor de ctre orice membru al grupului de ntreprinderi sau al grupului de ntreprinderi
implicate ntr-o activitate economic comun, n special prin punerea la dispoziia autoritii
de supraveghere a rezultatelor verificrilor cu privire la msurile menionate la punctul (j);
m)mecanismele de raportare ctre autoritatea de supraveghere competent a oricror
cerine legale impuse unui membru al grupului de ntreprinderi sau al grupului de ntreprinderi
implicate ntr-o activitate economic comun ntr-o ar ter care pot avea un efect advers
considerabil asupra garaniilor furnizate prin regulile corporatiste obligatorii; i
n)formarea corespunztoare n domeniul proteciei datelor a personalului care are un acces
permanent sau periodic la date cu caracter personal.
(3)Comisia poate preciza formatul i procedurile pentru schimbul de informaii ntre
operatori, persoanele mputernicite de operatori i autoritile de supraveghere pentru
regulile corporatiste obligatorii n sensul prezentului articol. Actele de punere n aplicare
respective se adopt n conformitate cu procedura de examinare prevzut la articolul 93
alineatul (2).
Art. 48: Transferurile sau divulgrile de informaii neautorizate de dreptul Uniunii
Orice hotrre a unei instane sau a unui tribunal i orice decizie a unei autoriti
administrative a unei ri tere care impun unui operator sau persoanei mputernicite de
operator s transfere sau s divulge date cu caracter personal poate fi recunoscut sau
executat n orice fel numai dac se bazeaz pe un acord internaional, cum ar fi un tratat de
asisten judiciar reciproc n vigoare ntre ara ter solicitant i Uniune sau un stat
membru, fr a se aduce atingere altor motive de transfer n temeiul prezentului capitol.
Art. 49: Derogri pentru situaii specifice
(1)n absena unei decizii privind caracterul adecvat al nivelului de protecie n conformitate
cu articolul 45 alineatul (3) sau a unor garanii adecvate n conformitate cu articolul 46,
inclusiv a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu
caracter personal ctre o ar ter sau o organizaie internaional poate avea loc numai n
una dintre condiiile urmtoare:
a)persoana vizat i-a exprimat n mod explicit acordul cu privire la transferul propus, dup
ce a fost informat asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru
persoana vizat ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de
protecie i a unor garanii adecvate;
b)transferul este necesar pentru executarea unui contract ntre persoana vizat i operator
sau pentru aplicarea unor msuri precontractuale adoptate la cererea persoanei vizate;
c)transferul este necesar pentru ncheierea unui contract sau pentru executarea unui contract
ncheiat n interesul persoanei vizate ntre operator i o alt persoan fizic sau juridic;
d)transferul este necesar din considerente importante de interes public;
e)transferul este necesar pentru stabilirea, exercitarea sau aprarea unui drept n instan;
f)transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor
persoane, atunci cnd persoana vizat nu are capacitatea fizic sau juridic de a-i exprima
acordul;
g)transferul se realizeaz dintr-un registru care, potrivit dreptului Uniunii sau al dreptului
intern, are scopul de a furniza informaii publicului i care poate fi consultat fie de public n
general, fie de orice persoan care poate face dovada unui interes legitim, dar numai n
msura n care sunt ndeplinite condiiile cu privire la consultare prevzute de dreptul Uniunii
sau de dreptul intern n acel caz specific.
n cazul n care un transfer nu ar putea s se ntemeieze pe o dispoziie prevzut la articolul
45 sau 46, inclusiv dispoziii privind reguli corporatiste obligatorii, i nu este aplicabil niciuna
dintre derogrile pentru situaii specifice prevzute la primul paragraf din prezentul alineat,
un transfer ctre o ar ter sau o organizaie internaional poate avea loc numai n cazul n
care transferul nu este repetitiv, se refer doar la un numr limitat de persoane vizate, este
necesar n scopul realizrii intereselor legitime majore urmrite de operator asupra cruia nu
prevaleaz interesele sau drepturile i libertile persoanei vizate i operatorul a evaluat toate
circumstanele aferente transferului de date i, pe baza acestei evaluri, a prezentat garanii
corespunztoare n ceea ce privete protecia datelor cu caracter personal. Operatorul
informeaz autoritatea de supraveghere cu privire la transfer. Operatorul, n plus fa de
furnizarea informaiilor menionate la articolele 13 i 14, informeaz persoana vizat cu
privire la transfer i la interesele legitime majore pe care le urmrete.
(2)Transferul n temeiul alineatului (1) primul paragraf litera (g) nu implic totalitatea datelor
cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse n
registru. Atunci cnd registrul urmeaz a fi consultat de ctre persoane care au un interes
legitim, transferul se efectueaz numai la cererea persoanelor respective sau n cazul n care
acestea vor fi destinatarii.
(3)Alineatul (1) primul paragraf literele (a), (b) i (c) i paragraful al doilea nu se aplic n
cazul activitilor desfurate de autoritile publice n exercitarea competenelor lor publice.
(4)Interesul public prevzut la alineatul (1) primul paragraf litera (d) este recunoscut n
dreptul Uniunii sau n dreptul statului membru sub incidena cruia intr operatorul.
(5)n absena unei decizii privind caracterul adecvat al nivelului de protecie, dreptul Uniunii
sau dreptul intern poate, din considerente importante de interes public, s stabileasc n mod
expres limite asupra transferului unor categorii specifice de date cu caracter personal ctre o
ar ter sau o organizaie internaional. Statele membre notific aceste dispoziii Comisiei.
(6)Operatorul sau persoana mputernicit de operator consemneaz evaluarea, precum i
garaniile adecvate prevzute la paragraful al doilea al alineatului (1) din prezentul articol, n
evidenele menionate la articolul 30.
Art. 50: Cooperarea internaional n domeniul proteciei datelor cu caracter
personal
n ceea ce privete rile tere i organizaiile internaionale, Comisia i autoritile de
supraveghere iau msurile corespunztoare pentru:
(a)elaborarea de mecanisme de cooperare internaional pentru a facilita asigurarea aplicrii
efective a legislaiei privind protecia datelor cu caracter personal;
(b)acordarea de asisten internaional reciproc n asigurarea aplicrii legislaiei din
domeniul proteciei datelor cu caracter personal, inclusiv prin notificare, transferul plngerilor,
asisten n investigaii i schimb de informaii, sub rezerva unor garanii adecvate pentru
protecia datelor cu caracter personal i a altor drepturi i liberti fundamentale;
(c)implicarea prilor interesate relevante n discuiile i activitile care au ca scop
intensificarea cooperrii internaionale n domeniul aplicrii legislaiei privind protecia datelor
cu caracter personal;
(d)promovarea schimbului reciproc i a documentaiei cu privire la legislaia i practicile n
materie de protecie a datelor cu caracter personal, inclusiv n ceea ce privete conflictele
jurisdicionale cu rile tere.
CAPITOLUL VI: Autoriti de supraveghere independente
Seciunea 1: Statutul independent
Art. 51: Autoritatea de supraveghere
(1)Fiecare stat membru se asigur c una sau mai multe autoriti publice independente sunt
responsabile de monitorizarea aplicrii prezentului regulament, n vederea protejrii
drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete prelucrarea i
n vederea facilitrii liberei circulaii a datelor cu caracter personal n cadrul Uniunii
("autoritatea de supraveghere").
(2)Fiecare autoritate de supraveghere contribuie la aplicarea coerent a prezentului
regulament n ntreaga Uniune. n acest scop, autoritile de supraveghere coopereaz att
ntre ele, ct i cu Comisia, n conformitate cu capitolul VII.
(3)n cazul n care mai multe autoriti de supraveghere sunt instituite ntr-un stat membru,
acesta desemneaz autoritatea de supraveghere care reprezint autoritile respective n
cadrul comitetului i instituie un mecanism prin care s asigure respectarea de ctre celelalte
autoriti a normelor privind mecanismul pentru asigurarea coerenei prevzut la articolul 63.
(4)Fiecare stat membru notific Comisiei dispoziiile de drept pe care le adopt n temeiul
prezentului capitol pn la 25 mai 2018 i, fr ntrziere, orice modificare ulterioar pe care
o aduce acestor dispoziii.
Art. 52: Independen
(1)Fiecare autoritate de supraveghere beneficiaz de independen deplin n ndeplinirea
sarcinilor sale i exercitarea competenelor sale n conformitate cu prezentul regulament.
(2)Membrul sau membrii fiecrei autoriti de supraveghere, n cadrul ndeplinirii sarcinilor i
al exercitrii competenelor sale (lor) n conformitate cu prezentul regulament, rmne
(rmn) independent (independeni) de orice influen extern direct sau indirect i nici nu
solicit, nici nu accept instruciuni de la o parte extern.
(3)Membrul sau membrii fiecrei autoriti de supraveghere se abin de la a ntreprinde
aciuni incompatibile cu atribuiile lor, iar pe durata mandatului, nu desfoar activiti
incompatibile, remunerate sau nu.
(4)Fiecare stat membru se asigur c fiecare autoritate de supraveghere beneficiaz de
resurse umane, tehnice i financiare, de un sediu i de infrastructura necesar pentru
ndeplinirea sarcinilor i exercitarea efectiv a competenelor sale, inclusiv a celor care
urmeaz s fie aplicate n contextul asistenei reciproce, al cooperrii i al participrii n cadrul
comitetului.
(5)Fiecare stat membru se asigur c fiecare autoritate de supraveghere i selecteaz
personalul propriu i deine personal propriu aflat sub conducerea exclusiv a membrului sau
membrilor autoritii de supraveghere respective.
(6)Fiecare stat membru se asigur c fiecare autoritate de supraveghere face obiectul unui
control financiar care nu aduce atingere independenei sale i c dispune de bugete anuale
distincte, publice, care pot face parte din bugetul general de stat sau naional.
Art. 53: Condiii generale aplicabile membrilor autoritii de supraveghere
(1)Statele membre se asigur c fiecare membru al autoritii lor de supraveghere este
numit prin intermediul unei proceduri transparente:
- de parlament;
- de guvern;
- de eful statului; sau
- de un organism independent mputernicit s fac numiri n temeiul dreptului intern.
(2)Fiecare membru n cauz are calificrile, experiena i competenele necesare, n special n
domeniul proteciei datelor cu caracter personal, pentru a-i putea ndeplini atribuiile i
exercita competenele.
(3)Atribuiile unui membru nceteaz n cazul expirrii mandatului, n cazul demisiei sau
pensionrii din oficiu n conformitate cu dreptul intern relevant.
(4)Un membru poate fi demis doar n cazuri de abateri grave sau dac nu mai ndeplinete
condiiile necesare pentru ndeplinirea atribuiilor sale.
Art. 54: Norme privind instituirea autoritii de supraveghere
(1)Fiecare stat membru prevede, pe cale legislativ, urmtoarele:
a)instituirea fiecrei autoriti de supraveghere;
b)calificrile i condiiile de eligibilitate necesare pentru a fi numit n calitate de membru al
fiecrei autoriti de supraveghere;
c)normele i procedurile pentru numirea membrului sau a membrilor fiecrei autoriti de
supraveghere;
d)durata mandatului membrului sau membrilor fiecrei autoriti de supraveghere, de
minimum patru ani, cu excepia primei numiri dup 24 mai 2016, din care o parte poate fi pe
o perioad mai scurt n cazul n care acest lucru este necesar pentru a proteja independena
autoritii de supraveghere printr-o procedur de numiri ealonate;
e)dac i de cte ori este eligibil pentru rennoire mandatul membrului sau membrilor fiecrei
autoriti de supraveghere;
f)condiiile care reglementeaz obligaiile membrului sau membrilor i ale personalului fiecrei
autoriti de supraveghere, interdicii privind aciunile, ocupaiile i beneficiile incompatibile cu
acestea n cursul mandatului i dup ncetarea acestuia, precum i normele care
reglementeaz ncetarea contractului de angajare.
(2)Membrul sau membrii i personalul fiecrei autoriti de supraveghere au obligaia, n
conformitate cu dreptul Uniunii sau cu dreptul intern, de a respecta att pe parcursul
mandatului, ct i dup ncetarea acestuia, secretul profesional n ceea ce privete
informaiile confideniale de care au luat cunotin n cursul ndeplinirii sarcinilor sau al
exercitrii competenelor lor. Pe durata mandatului lor, aceast obligaie de pstrare a
secretului profesional se aplic n special n ceea ce privete raportarea de ctre persoane
fizice a nclcrilor prezentului regulament.
Seciunea 2: Abilitri, sarcini i competene
Art. 55: Competena
(1)Fiecare autoritate de supraveghere are competena s ndeplineasc sarcinile i s
exercite competenele care i sunt conferite n conformitate cu prezentul regulament pe
teritoriul statului membru de care aparine.
(2)n cazul n care prelucrarea este efectuat de autoriti publice sau de organisme private
care acioneaz pe baza literei (c) sau (e) de la articolul 6 alineatul (1), este autoritatea de
supraveghere din statul membru respectiv. n astfel de cazuri, nu se aplic articolul 56.
(3)Autoritile de supraveghere nu sunt competente s supravegheze operaiunile de
prelucrare ale instanelor care acioneaz n exerciiul funciei lor judiciare.
Art. 56: Competena autoritii de supraveghere principale
(1)Fr a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a
sediului unic al operatorului sau al persoanei mputernicite de operator este competent s
acioneze n calitate de autoritate de supraveghere principal pentru prelucrarea
transfrontalier efectuat de respectivul operator sau respectiva persoan mputernicit n
cauz n conformitate cu procedura prevzut la articolul 60.
(2)Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competent s
trateze o plngere depus n atenia sa sau o eventual nclcare a prezentului regulament, n
cazul n care obiectul acesteia se refer numai la un sediu aflat n statul su membru sau
afecteaz n mod semnificativ persoane vizate numai n statul su membru.
(3)n cazurile menionate la alineatul (2) din prezentul articol, autoritatea de supraveghere
informeaz fr ntrziere autoritatea de supraveghere principal cu privire la aceast
chestiune. n termen de trei sptmni de la momentul informrii, autoritatea de
supraveghere principal decide dac trateaz sau nu cazul respectiv n conformitate cu
procedura prevzut la articolul 60, lund n considerare dac exist sau nu un sediu al
operatorului sau al persoanei mputernicite de operator pe teritoriul statului membru a crui
autoritate de supraveghere a informat-o.
(4)n cazul n care autoritatea de supraveghere principal decide s trateze cazul, se aplic
procedura prevzut la articolul 60. Autoritatea de supraveghere care a informat autoritatea
de supraveghere principal poate nainta un proiect de decizie acesteia din urm. Autoritatea
de supraveghere principal ine seama n cea mai mare msur posibil de proiectul respectiv
atunci cnd pregtete proiectul de decizie prevzut la articolul 60 alineatul (3).
(5)n cazul n care autoritatea de supraveghere principal decide s nu trateze cazul,
autoritatea de supraveghere care a informat autoritatea de supraveghere principal trateaz
cazul n conformitate cu articolele 61 i 62.
(6)Autoritatea de supraveghere principal este singurul interlocutor al operatorului sau al
persoanei mputernicite de operator n ceea ce privete prelucrarea transfrontalier efectuat
de respectivul operator sau de respectiva persoan mputernicit de operator.
Art. 57: Sarcini
(1)Fr a aduce atingere altor sarcini stabilite n temeiul prezentului regulament, fiecare
autoritate de supraveghere, pe teritoriul su:
a)monitorizeaz i asigur aplicarea prezentului regulament;
b)promoveaz aciuni de sensibilizare i de nelegere n rndul publicului a riscurilor,
normelor, garaniilor i drepturilor n materie de prelucrare. Se acord atenie special
activitilor care se adreseaz n mod specific copiilor;
c)ofer consiliere, n conformitate cu dreptul intern, parlamentului naional, guvernului i
altor instituii i organisme cu privire la msurile legislative i administrative referitoare la
protecia drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea;
d)promoveaz aciuni de sensibilizare a operatorilor i a persoanelor mputernicite de acetia
cu privire la obligaiile care le revin n temeiul prezentului regulament;
e)la cerere, furnizeaz informaii oricrei persoane vizate n legtur cu exercitarea
drepturilor sale n conformitate cu prezentul regulament i, dac este cazul, coopereaz cu
autoritile de supraveghere din alte state membre n acest scop;
f)trateaz plngerile depuse de o persoan vizat, un organism, o organizaie sau o asociaie
n conformitate cu articolul 80 i investigheaz ntr-o msur adecvat obiectul plngerii i
informeaz reclamantul cu privire la evoluia i rezultatul investigaiei, ntr-un termen
rezonabil, n special dac este necesar efectuarea unei investigaii mai amnunite sau
coordonarea cu o alt autoritate de supraveghere;
g)coopereaz, inclusiv prin schimb de informaii, cu alte autoriti de supraveghere i i ofer
asisten reciproc pentru a asigura coerena aplicrii i respectrii prezentului regulament;
h)desfoar investigaii privind aplicarea prezentului regulament, inclusiv pe baza unor
informaii primite de la o alt autoritate de supraveghere sau de la o alt autoritate public;
i)monitorizeaz evoluiile relevante, n msura n care acestea au impact asupra proteciei
datelor cu caracter personal, n special evoluia tehnologiilor informaiei i comunicaiilor i a
practicilor comerciale;
j)adopt clauze contractuale standard menionate la articolul 28 alineatul (8) i la articolul 46
alineatul (2) litera (d);
k)ntocmete i menine la zi o list n legtur cu cerina privind evaluarea impactului asupra
proteciei datelor, n conformitate cu articolul 35 alineatul (4);
l)ofer consiliere cu privire la operaiunile de prelucrare menionate la articolul 36 alineatul
(2);
m)ncurajeaz elaborarea de coduri de conduit n conformitate cu articolul 40 alineatul (1),
i d avizul cu privire la acestea i le aprob pe cele care ofer suficiente garanii, n
conformitate cu articolul 40 alineatul (5);
n)ncurajeaz stabilirea unor mecanisme de certificare, precum i a unor sigilii i mrci n
domeniul proteciei datelor n conformitate cu articolul 42 alineatul (1) i aprob criteriile de
certificare n conformitate cu articolul 42 alineatul (5);
o)acolo unde este cazul, efectueaz o revizuire periodic a certificrilor acordate, n
conformitate cu articolul 42 alineatul (7);
p)elaboreaz i public criteriile de acreditare a unui organism de monitorizare a codurilor de
conduit n conformitate cu articolul 41 i a unui organism de certificare n conformitate cu
articolul 43;
q)coordoneaz procedura de acreditare a unui organism de monitorizare a codurilor de
conduit n conformitate cu articolul 41 i a unui organism de certificare n conformitate cu
articolul 43;
r)autorizeaz clauzele i dispoziiile contractuale menionate la articolul 46 alineatul (3);
s)aprob regulile corporatiste obligatorii n conformitate cu articolul 47;
t)contribuie la activitile comitetului;
u)menine la zi evidene interne privind nclcrile prezentului regulament i msurile luate, n
special avertismentele emise i sanciunile impuse n conformitate cu articolul 58 alineatul
(2); i
v)ndeplinete orice alte sarcini legate de protecia datelor cu caracter personal.
(2)Fiecare autoritate de supraveghere faciliteaz depunerea plngerilor menionate la
alineatul (1) litera (f) prin msuri precum punerea la dispoziie a unui formular de depunere a
plngerii care s poat fi completat inclusiv n format electronic, fr a exclude alte mijloace
de comunicare.
(3)ndeplinirea sarcinilor fiecrei autoriti de supraveghere este gratuit pentru persoana
vizat i, dup caz, pentru responsabilul cu protecia datelor.
(4)n cazul n care cererile sunt n mod vdit nefondate sau excesive, n special din cauza
caracterului lor repetitiv, autoritatea de supraveghere poate percepe o tax rezonabil,
bazat pe costurile administrative, sau poate refuza s le trateze. Sarcina de a demonstra
caracterul evident nefondat sau excesiv al cererii revine autoritii de supraveghere.
Art. 58: Competene
(1)Fiecare autoritate de supraveghere are toate urmtoarele competene de investigare:
a)de a da dispoziii operatorului i persoanei mputernicite de operator i, dup caz,
reprezentantului operatorului sau al persoanei mputernicite de operator s furnizeze orice
informaii pe care autoritatea de supraveghere le solicit n vederea ndeplinirii sarcinilor sale;
b)de a efectua investigaii sub form de audituri privind protecia datelor;
c)de a efectua o revizuire a certificrilor acordate n temeiul articolului 42 alineatul (7);
d)de a notifica operatorul sau persoana mputernicit de operator cu privire la presupusa
nclcare a prezentului regulament;
e)de a obine, din partea operatorului i a persoanei mputernicite de operator, accesul la
toate datele cu caracter personal i la toate informaiile necesare pentru ndeplinirea sarcinilor
sale;
f)de a obine accesul la oricare dintre incintele operatorului i ale persoanei mputernicite de
operator, inclusiv la orice echipamente i mijloace de prelucrare a datelor, n conformitate cu
dreptul Uniunii sau cu dreptul procesual intern.
(2)Fiecare autoritate de supraveghere are toate urmtoarele competene corective:
a)de a emite avertizri n atenia unui operator sau a unei persoane mputernicite de operator
cu privire la posibilitatea ca operaiunile de prelucrare prevzute s ncalce dispoziiile
prezentului regulament;
b)de a emite mustrri adresate unui operator sau unei persoane mputernicite de operator n
cazul n care operaiunile de prelucrare au nclcat dispoziiile prezentului regulament;
c)de a da dispoziii operatorului sau persoanei mputernicite de operator s respecte cererile
persoanei vizate de a-i exercita drepturile n temeiul prezentului regulament;
d)de a da dispoziii operatorului sau persoanei mputernicite de operator s asigure
conformitatea operaiunilor de prelucrare cu dispoziiile prezentului regulament, specificnd,
dup caz, modalitatea i termenul-limit pentru aceasta;
e)de a obliga operatorul s informeze persoana vizat cu privire la o nclcare a proteciei
datelor cu caracter personal;
f)de a impune o limitare temporar sau definitiv, inclusiv o interdicie asupra prelucrrii;
g)de a dispune rectificarea sau tergerea datelor cu caracter personal sau restricionarea
prelucrrii, n temeiul articolelor 16, 17 i 18, precum i notificarea acestor aciuni
destinatarilor crora le-au fost divulgate datele cu caracter personal, n conformitate cu
articolul 17 alineatul (2) i cu articolul 19;
h)de a retrage o certificare sau de a obliga organismul de certificare s retrag o certificare
eliberat n temeiul articolul 42 i 43 sau de a obliga organismul de certificare s nu elibereze
o certificare n cazul n care cerinele de certificare nu sunt sau nu mai sunt ndeplinite;
i)de a impune amenzi administrative n conformitate cu articolul 83, n completarea sau n
locul msurilor menionate la prezentul alineat, n funcie de circumstanele fiecrui caz n
parte;
j)de a dispune suspendarea fluxurilor de date ctre un destinatar dintr-o ar ter sau ctre
o organizaie internaional.
(3)Fiecare autoritate de supraveghere are toate urmtoarele competene de autorizare i de
consiliere:
a)de a oferi consiliere operatorului n conformitate cu procedura de consultare prealabil
menionat la articolul 36;
b)de a emite avize, din proprie iniiativ sau la cerere, parlamentului naional, guvernului
statului membru sau, n conformitate cu dreptul intern, altor instituii i organisme, precum i
publicului, cu privire la orice aspect legat de protecia datelor cu caracter personal;
c)de a autoriza prelucrarea menionat la articolul 36 alineatul (5), n cazul n care dreptul
statului membru prevede o astfel de autorizare prealabil;
d)de a emite un aviz i de a aproba proiectele de coduri de conduit, n conformitate cu
articolul 40 alineatul (5);
e)de a acredita organismele de certificare n conformitate cu articolul 43;
f)de a emite certificri i de a aproba criterii de certificare n conformitate cu articolul 42
alineatul (5);
g)de a adopta clauzele standard n materie de protecie a datelor menionate la articolul 28
alineatul (8) i la articolul 46 alineatul (2) litera (d);
h)de a autoriza clauzele contractuale menionate la articolul 46 alineatul (3) litera (a);
i)de a autoriza acordurile administrative menionate la articolul 46 alineatul (3) litera (b); i
j)de a aproba reguli corporatiste obligatorii n conformitate cu articolul 47.
(4)Exercitarea competenelor conferite autoritii de supraveghere n temeiul prezentului
articol face obiectul unor garanii adecvate, inclusiv ci de atac judiciare eficiente i procese
echitabile, prevzute n dreptul Uniunii i n dreptul intern n conformitate cu carta.
(5)Fiecare stat membru prevede, pe cale legislativ, faptul c autoritatea sa de supraveghere
are competena de a aduce n faa autoritilor judiciare cazurile de nclcare a prezentului
regulament i, dup caz, de a iniia sau de a se implica ntr-un alt mod n proceduri judiciare,
n scopul de a asigura aplicarea dispoziiilor prezentului regulament.
(6)Fiecare stat membru poate s prevad n dreptul su faptul c autoritatea sa de
supraveghere are competene suplimentare, n afara celor menionate la alineatele (1), (2) i
(3). Exercitarea acestor competene nu afecteaz modul de operare eficient a capitolului VII.
Art. 59: Rapoarte de activitate
Fiecare autoritate de supraveghere ntocmete un raport anual cu privire la activitile sale,
care poate include o list a tipurilor de nclcri notificate i a tipurilor de msuri luate n
conformitate cu articolul 58 alineatul (2). Rapoartele se transmit parlamentului naional,
guvernului i altor autoriti desemnate prin dreptul intern. Acestea se pun la dispoziia
publicului, a Comisiei i a comitetului.
CAPITOLUL VII: Cooperare i coeren
Seciunea 1: Cooperare
Art. 60: Cooperarea dintre autoritatea de supraveghere principal i celelalte
autoriti de supraveghere vizate
(1)Autoritatea de supraveghere principal coopereaz cu celelalte autoriti de supraveghere
vizate, n conformitate cu prezentul articol, n ncercarea de a ajunge la un consens.
Autoritatea de supraveghere principal i autoritile de supraveghere vizate i comunic
reciproc toate informaiile relevante.
(2)Autoritatea de supraveghere principal poate solicita n orice moment altor autoriti de
supraveghere vizate s ofere asisten reciproc n temeiul articolului 61 i poate desfura
operaiuni comune n temeiul articolului 62, n special n vederea efecturii de investigaii sau
a monitorizrii punerii n aplicare a unei msuri referitoare la un operator sau o persoan
mputernicit de operator, stabilit() n alt stat membru.
(3)Autoritatea de supraveghere principal comunic fr ntrziere informaiile relevante
referitoare la aceast chestiune celorlalte autoriti de supraveghere vizate. Autoritatea de
supraveghere principal transmite fr ntrziere un proiect de decizie celorlalte autoriti de
supraveghere vizate, pentru a obine avizul lor, i ine seama n mod corespunztor de
opiniile acestora.
(4)n cazul n care oricare dintre celelalte autoriti de supraveghere vizate exprim, n
termen de patru sptmni dup ce a fost consultat n conformitate cu alineatul (3) din
prezentul articol, o obiecie relevant i motivat la proiectul de decizie, autoritatea de
supraveghere principal, n cazul n care nu d curs obieciei relevante i motivate sau
consider c obiecia nu este relevant sau motivat, sesizeaz mecanismul pentru
asigurarea coerenei menionat la articolul 63.
(5)n cazul n care intenioneaz s dea curs obieciei relevante i motivate formulate,
autoritatea de supraveghere principal transmite celorlalte autoriti de supraveghere vizate
un proiect revizuit de decizie pentru a obine avizul acestora. Acest proiect revizuit de decizie
face obiectul procedurii menionate la alineatul (4) pe parcursul unei perioade de dou
sptmni.
(6)n cazul n care niciuna dintre celelalte autoriti de supraveghere vizate nu a formulat
obiecii la proiectul de decizie transmis de autoritatea de supraveghere principal n termenul
menionat la alineatele (4) i (5), se consider c autoritatea de supraveghere principal i
autoritile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care
devine obligatoriu pentru acestea.
(7)Autoritatea de supraveghere principal adopt decizia i o notific sediului principal sau
sediului unic al operatorului sau al persoanei mputernicite de operator, dup caz, i
informeaz celelalte autoriti de supraveghere vizate i comitetul cu privire la decizia n
cauz, incluznd un rezumat al elementelor i motivelor relevante. Autoritatea de
supraveghere la care a fost depus plngerea informeaz reclamantul cu privire la decizie.
(8)Prin derogare de la alineatul (7), n cazul n care o plngere este refuzat sau respins,
autoritatea de supraveghere la care s-a depus plngerea adopt decizia, o notific
reclamantului i informeaz operatorul cu privire la acest lucru.
(9)n cazul n care autoritatea de supraveghere principal i autoritile de supraveghere
vizate sunt de acord s refuze sau s resping anumite pri ale unei plngeri i s dea curs
altor pri ale plngerii respective, se adopt o decizie separat pentru fiecare dintre aceste
pri. Autoritatea de supraveghere principal adopt decizia pentru partea care vizeaz
aciunile referitoare la operator, o notific sediului principal sau sediului unic al operatorului
sau al persoanei mputernicite de operator de pe teritoriul statului membru n cauz i
informeaz reclamantul cu privire la acest lucru, n timp ce autoritatea de supraveghere a
reclamantului adopt decizia pentru partea care vizeaz refuzarea sau respingerea plngerii
respective, o notific reclamantului i informeaz operatorul sau persoana mputernicit de
operator cu privire la acest lucru.
(10)n urma notificrii deciziei autoritii de supraveghere principale n temeiul alineatelor (7)
i (9), operatorul sau persoana mputernicit de operator ia msurile necesare pentru a se
asigura c activitile de prelucrare sunt n conformitate cu decizia n toate sediile sale din
Uniune. Operatorul sau persoana mputernicit de operator notific msurile luate n vederea
respectrii deciziei autoritii de supraveghere principale, care informeaz celelalte autoriti
de supraveghere vizate.
(11)n cazul n care, n circumstane excepionale, o autoritate de supraveghere vizat are
motive s considere c exist o nevoie urgent de a aciona n vederea protejrii intereselor
persoanelor vizate, se aplic procedura de urgen prevzut la articolul 66.
(12)Autoritatea de supraveghere principal i celelalte autoriti de supraveghere vizate i
furnizeaz reciproc informaiile solicitate n temeiul prezentului articol, pe cale electronic,
utiliznd un formular standard.
Art. 61: Asisten reciproc
(1)Autoritile de supraveghere i furnizeaz reciproc informaii relevante i asisten pentru
a pune n aplicare prezentul regulament n mod coerent i instituie msuri de cooperare
eficace ntre ele. Asistena reciproc se refer, n special, la cereri de informaii i msuri de
supraveghere, cum ar fi cereri privind autorizri i consultri prealabile, inspecii i
investigaii.
(2)Fiecare autoritate de supraveghere ia toate msurile corespunztoare necesare pentru a
rspunde unei cererii a unei alte autoriti de supraveghere, fr ntrzieri nejustificate i cel
trziu n termen de o lun de la data primirii cererii. Aceste msuri pot include, n special,
transmiterea informaiilor relevante privind desfurarea unei investigaii.
(3)Cererile de asisten cuprind toate informaiile necesare, inclusiv scopul cererii i motivele
care stau la baza acesteia. Informaiile care fac obiectul schimbului se utilizeaz numai n
scopul n care au fost solicitate.
(4)Autoritatea de supraveghere solicitat nu poate refuza s dea curs cererii, cu excepia
cazului n care:
a)nu are competen privind obiectul cererii sau msurile pe care este solicitat s le
execute; sau
b)a da curs cererii ar nclca prezentul regulament sau dreptul Uniunii sau dreptului intern
sub incidena cruia intr autoritatea de supraveghere care a primit cererea.
(5)Autoritatea de supraveghere creia i s-a adresat cererea informeaz autoritatea de
supraveghere care a transmis cererea cu privire la rezultate sau, dup caz, la progresele
nregistrate ori msurile ntreprinse pentru a rspunde cererii. Autoritatea de supraveghere
solicitat i motiveaz fiecare refuz de a da curs cererii n temeiul alineatului (4).
(6)Ca regul, autoritile de supraveghere solicitate furnizeaz informaiile solicitate de alte
autoriti de supraveghere pe cale electronic, utiliznd un formular standard.
(7)Autoritile de supraveghere solicitate nu percep nicio tax pentru aciunile ntreprinse de
acestea n temeiul unei cereri de asisten reciproc. Autoritile de supraveghere pot conveni
asupra unor norme privind retribuiile reciproce n cazul unor cheltuieli specifice rezultate n
urma acordrii de asisten reciproc n situaii excepionale.
(8)n cazul n care o autoritate de supraveghere nu furnizeaz informaiile menionate la
alineatul (5) din prezentul articol n termen de o lun de la primirea cererii din partea altei
autoriti de supraveghere, aceasta din urm poate adopta o msur provizorie pe teritoriul
propriului stat membru, n conformitate cu articolul 55 alineatul (1). n acest caz, necesitatea
urgent de a aciona n temeiul articolului 66 alineatul (1) este considerat a fi ndeplinit i
necesit o decizie obligatorie urgent din partea comitetului, n conformitate cu articolul 66
alineatul (2).
(9)Comisia, printr-un act de punere n aplicare, poate specifica forma i procedurile pentru
asistena reciproc menionat n prezentul articol, precum i modalitile de schimb de
informaii pe cale electronic ntre autoritile de supraveghere i ntre autoritile de
supraveghere i comitet, n special formularul standard menionat la alineatul (6) din
prezentul articol. Actele de punere n aplicare respective sunt adoptate n conformitate cu
procedura de examinare menionat la articolul 93 alineatul (2).
Art. 62: Operaiuni comune ale autoritilor de supraveghere
(1)Dup caz, autoritile de supraveghere desfoar operaiuni comune, inclusiv investigaii
comune i msuri comune de aplicare a legii, n care sunt implicai membri sau personal din
autoritile de supraveghere ale altor state membre.
(2)n cazul n care operatorul sau persoana mputernicit de operator deine sedii n mai
multe state membre sau dac un numr semnificativ de persoane vizate din mai multe state
membre sunt susceptibile de a fi afectate n mod semnificativ de operaiuni de prelucrare, o
autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a
participa la operaiunile comune. Autoritatea de supraveghere care este competent n
conformitate cu articolul 56 alineatul (1) sau alineatul (4) invit autoritile de supraveghere
din fiecare dintre aceste state membre s ia parte la operaiunile comune respective i
rspunde fr ntrziere la cererea de participare a unei autoriti de supraveghere.
(3)O autoritate de supraveghere poate, n conformitate cu dreptul intern i cu acordul
autoritii de supraveghere din statul membru de origine, s acorde competene, inclusiv
competene de investigare, membrilor sau personalului autoritii de supraveghere din statul
membru de origine implicai n operaiuni comune sau, n msura n care dreptul statului
membru al autoritii de supraveghere din statul membru de primire permite acest lucru,
poate autoriza membrii sau personalul autoritii de supraveghere din statul membru de
origine s i exercite competenele de investigare n conformitate cu dreptul statului membru
al acestei din urm autoriti. Astfel de competene de investigare pot fi exercitate doar sub
coordonarea i n prezena membrilor sau personalului autoritii de supraveghere din statul
membru de primire. Membrii sau personalul autoritii de supraveghere din statul membru de
origine sunt supui dreptului intern sub incidena cruia intr autoritatea de supraveghere din
statul membru de primire.
(4)n cazul n care, n conformitate cu alineatul (1), personalul unei autoriti de
supraveghere din statul membru de origine i desfoar activitatea ntr-un alt stat membru,
statul membru de primire i asum responsabilitatea pentru aciunile personalului respectiv,
inclusiv rspunderea pentru eventualele prejudicii cauzate de membrii personalului respectiv
n cursul operaiunilor acestora, n conformitate cu dreptul statului membru pe teritoriul
cruia i desfoar operaiunile.
(5)Statul membru pe teritoriul cruia s-au produs prejudiciile repar aceste prejudicii n
condiiile aplicabile prejudiciilor cauzate de propriul su personal. Statul membru de origine al
autoritii de supraveghere al crei personal a cauzat prejudicii unei persoane de pe teritoriul
unui alt stat membru ramburseaz acestui alt stat membru totalitatea sumelor pe care le-a
pltit persoanelor ndreptite n numele acestora.
(6)Fr a aduce atingere exercitrii drepturilor sale fa de tere pri i cu excepia
alineatului (5), fiecare stat membru se abine, n cazul prevzut la alineatul (1), de la a
pretinde de la un alt stat membru rambursarea despgubirilor pentru prejudiciile menionate
la alineatul (4).
(7)n cazul n care este planificat o operaiune comun, iar o autoritate de supraveghere nu
se conformeaz, n termen de o lun, obligaiei prevzute n a doua tez a alineatului (2) din
prezentul articol, celelalte autoriti de supraveghere pot adopta o msur provizorie pe
teritoriul statului membru al respectivei autoriti, n conformitate cu articolul 55. n acest
caz, necesitatea urgent de a aciona n temeiul articolului 66 alineatul (1) este considerat a
fi ndeplinit i necesit un aviz de urgen sau o decizie obligatorie urgent din partea
comitetului, n conformitate cu articolul 66 alineatul (2).
Seciunea 2: Asigurarea coerenei
Art. 63: Mecanismul pentru asigurarea coerenei
Pentru a contribui la aplicarea coerent a prezentului regulament n ntreaga Uniune,
autoritile de supraveghere coopereaz ntre ele i, dup caz, cu Comisia prin mecanismul
pentru asigurarea coerenei, astfel cum se prevede n prezenta seciune.
Art. 64: Avizul comitetului
(1)Comitetul emite un aviz de fiecare dat cnd o autoritate de supraveghere competent
intenioneaz s adopte oricare dintre msurile de mai jos. n acest scop, autoritatea de
supraveghere competent comunic proiectul de decizie comitetului, atunci cnd:
a)vizeaz adoptarea unei liste de operaiuni de prelucrare care fac obiectul cerinei de
efectuare a unei evaluri a impactului asupra proteciei datelor, n conformitate cu articolul 35
alineatul (4);
b)n conformitate cu articolul 40 alineatul (7), se refer la conformitatea cu prezentul
regulament a unui proiect de cod de conduit sau a unei modificri sau extinderi a unui cod
de conduit;
c)vizeaz aprobarea criteriilor pentru acreditarea unui organism n conformitate cu articolul
41 alineatul (3) sau a unui organism de certificare n conformitate cu articolul 43 alineatul
(3);
d)vizeaz determinarea clauzelor standard n materie de protecie a datelor menionate la
articolul 46 alineatul (2) litera (d) sau la articolul 28 alineatul (8);
e)vizeaz autorizarea clauzelor contractuale menionate la articolul 46 alineatul (3) litera (a);
sau
f)vizeaz aprobarea regulilor corporatiste obligatorii n sensul articolului 47.
(2)Orice autoritate de supraveghere, preedintele comitetului sau Comisia poate solicita ca
orice chestiune de aplicare general sau care produce efecte n mai mult de un stat membru
s fie examinat de comitet n vederea obinerii unui aviz, n special n cazul n care o
autoritate de supraveghere competent nu respect obligaiile privind asistena reciproc n
conformitate cu articolul 61 sau privind operaiunile comune n conformitate cu articolul 62.
(3)n cazurile menionate la alineatele (1) i (2), comitetul emite un aviz cu privire la
chestiunea care i este prezentat, cu condiia s nu fi emis deja un aviz cu privire la aceeai
chestiune. Avizul respectiv este adoptat n termen de opt sptmni cu majoritatea simpl a
membrilor comitetului. Aceast perioad poate fi prelungit cu ase sptmni, inndu-se
seama de complexitatea chestiunii. n ceea ce privete proiectul de decizie menionat la
alineatul (1) transmis membrilor comitetului n conformitate cu alineatul (5), un membru care
nu a emis obiecii ntr-un termen rezonabil indicat de preedinte se consider a fi de acord cu
proiectul de decizie.
(4)Autoritile de supraveghere i Comisia comunic pe cale electronic comitetului, fr
ntrzieri nejustificate, printr-un formular standard, orice informaie relevant, inclusiv, dup
caz, o sintez a faptelor, proiectul de decizie, motivele care fac necesar adoptarea unei
astfel de msuri, precum i opiniile altor autoriti de supraveghere vizate.
(5)Preedintele comitetului informeaz pe cale electronic, fr ntrzieri nejustificate:
a)membrii comitetului i Comisia cu privire la orice informaie relevant care i-a fost
comunicat, utiliznd un formular standard. Secretariatul comitetului furnizeaz traduceri ale
informaiilor relevante, acolo unde este necesar; i
b)autoritatea de supraveghere menionat, dup caz, la alineatele (1) i (2), i Comisia cu
privire la aviz i l public.
(6)Autoritatea de supraveghere competent nu i adopt proiectul de decizie menionat la
alineatul (1) n termenul menionat la alineatul (3).
(7)Autoritatea de supraveghere menionat la alineatul (1) ine seama pe deplin de avizul
comitetului i comunic pe cale electronic preedintelui comitetului, n termen de dou
sptmni de la primirea avizului, dac i va pstra sau i va modifica proiectul de decizie i,
dac este cazul, transmite proiectul de decizie modificat, utiliznd un formular standard.
(8)n cazul n care autoritatea de supraveghere vizat informeaz preedintele comitetului, n
termenul menionat la alineatul (7) din prezentul articol, c intenioneaz s nu se
conformeze avizului comitetului, integral sau parial, oferind motivele relevante, se aplic
articolul 65 alineatul (1).
Art. 65: Soluionarea litigiilor de ctre comitet
(1)Pentru a asigura aplicarea corect i coerent a prezentului regulament n cazuri
individuale, comitetul adopt o decizie obligatorie n urmtoarele cazuri:
a)atunci cnd, n unul dintre cazurile menionate la articolul 60 alineatul (4), o autoritate de
supraveghere vizat a formulat o obiecie relevant i motivat la un proiect de decizie a
autoritii principale sau autoritatea principal a respins o astfel de obiecie ca nefiind
relevant sau motivat. Decizia obligatorie se refer la toate chestiunile vizate de obiecia
relevant i motivat, n special la chestiunea dac prezentul regulament a fost nclcat;
b)n cazul n care exist opinii divergente cu privire la care dintre autoritile de supraveghere
vizate deine competena pentru sediul principal;
c)n cazul n care o autoritate de supraveghere competent nu solicit avizul comitetului n
cazurile menionate la articolul 64 alineatul (1) sau nu ine seama de avizul comitetului emis
n temeiul articolului 64. n acest caz, orice autoritate de supraveghere vizat sau Comisia
poate comunica chestiunea comitetului.
(2)Decizia menionat la alineatul (1) se adopt n termen de o lun de la prezentarea
chestiunii, cu o majoritate de dou treimi a membrilor comitetului. Acest termen poate fi
prelungit cu o lun, inndu-se seama de complexitatea chestiunii. Decizia menionat la
alineatul (1) se motiveaz i se adreseaz autoritii de supraveghere principale i tuturor
autoritilor de supraveghere vizate, fiind obligatorie pentru acestea.
(3)n cazul n care comitetul nu a fost n msur s adopte o decizie n termenele menionate
la alineatul (2), acesta i adopt decizia n termen de dou sptmni de la data expirrii
celei de a doua luni menionate la alineatul (2), cu o majoritate simpl a membrilor si. n
cazul n care membrii comitetului au opinii divergente n proporii egale, decizia se adopt
prin votul preedintelui.
(4)Autoritile de supraveghere vizate nu adopt o decizie asupra chestiunii prezentate
comitetului n conformitate cu alineatul (1) n termenele menionate la alineatele (2) i (3).
(5)Preedintele comitetului notific, fr ntrzieri nejustificate, decizia menionat la
alineatul (1) autoritilor de supraveghere vizate. Comitetul informeaz Comisia cu privire la
acest lucru. Decizia se public pe site-ul comitetului, fr ntrziere, dup notificarea de ctre
autoritatea de supraveghere a deciziei finale menionate la alineatul (6).
(6)Autoritatea de supraveghere principal sau, dac este cazul, autoritatea de supraveghere
la care s-a depus plngerea i adopt decizia final pe baza deciziei menionate la alineatul
(1) din prezentul articol, fr ntrziere nejustificat i n termen de cel mult o lun de la
notificarea de ctre comitet a deciziei sale. Autoritatea de supraveghere principal sau, dac
este cazul, autoritatea de supraveghere la care s-a depus plngerea informeaz comitetul cu
privire la data la care decizia sa final este notificat operatorului sau persoanei mputernicite
de operator i, respectiv, persoanei vizate. Decizia final a autoritilor de supraveghere
vizate se adopt n conformitate cu condiiile prevzute la articolul 60 alineatele (7), (8) i
(9). Decizia final se refer la decizia menionat la alineatul (1) din prezentul articol i
precizeaz faptul c decizia menionat la respectivul alineat va fi publicat pe site-ul al
comitetului, n conformitate cu alineatul (5). La decizia final se anexeaz decizia menionat
la alineatul (1) din prezentul articol.
Art. 66: Procedura de urgen
(1)n circumstane excepionale, atunci cnd o autoritate de supraveghere vizat consider
c exist o necesitate urgent de a aciona n scopul protejrii drepturilor i libertilor
persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea
coerenei menionat la articolele 63, 64 i 65 sau de la procedura menionat la articolul 60,
s adopte de ndat msuri provizorii menite s produc efecte juridice pe propriul su
teritoriu, cu o perioad de valabilitate determinat, care s nu depeasc trei luni.
Autoritatea de supraveghere comunic fr ntrziere aceste msuri i motivele adoptrii lor
celorlalte autoriti de supraveghere vizate, comitetului i Comisiei.
(2)n cazul n care o autoritate de supraveghere a adoptat o msur n temeiul alineatului (1)
i consider c este necesar adoptarea de urgen a unor msuri definitive, aceasta poate
solicita un aviz de urgen sau o decizie obligatorie urgent din partea comitetului, indicnd
motivele pentru aceast solicitare.
(3)Orice autoritate de supraveghere poate solicita un aviz de urgen sau o decizie
obligatorie urgent, dup caz, din partea comitetului n cazul n care o autoritate de
supraveghere competent nu a luat o msur adecvat ntr-o situaie n care exist o
necesitate urgent de a aciona pentru a proteja drepturile i libertile persoanelor vizate,
indicnd motivele pentru solicitarea unui astfel de aviz sau a unei astfel de decizii, inclusiv
pentru necesitatea urgent de a aciona.
(4)Prin derogare de la articolul 64 alineatul (3) i de la articolul 65 alineatul (2), un aviz de
urgen sau o decizie obligatorie urgent menionat() la alineatele (2) i (3) de la prezentul
articol este adoptat() n termen de dou sptmni cu majoritate simpl a membrilor
comitetului.
Art. 67: Schimb de informaii
Comisia poate adopta acte de punere n aplicare cu un domeniu de aplicare general pentru a
defini modalitile de realizare a schimbului electronic de informaii ntre autoritile de
supraveghere, precum i ntre autoritile de supraveghere i comitet, n special formularul
standard menionat la articolul 64.
Actele de punere n aplicare respective sunt adoptate n conformitate cu procedura de
examinare menionat la articolul 93 alineatul (2).
Seciunea 3: Comitetul european pentru protecia datelor
Art. 68: Comitetul european pentru protecia datelor
(1)Comitetul european pentru protecia datelor ("comitetul") este instituit ca organ al Uniunii
i are personalitate juridic.
(2)Comitetul este reprezentat de preedintele su.
(3)Comitetul este alctuit din eful unei autoriti de supraveghere din fiecare stat membru i
din Autoritatea European pentru Protecia Datelor sau reprezentanii respectivi ai acestora.
(4)n cazul n care ntr-un stat membru mai multe autoriti de supraveghere sunt
responsabile de monitorizarea aplicrii dispoziiilor adoptate n temeiul prezentului
regulament, se numete un reprezentant comun n conformitate cu dreptul intern al statului
membru respectiv.
(5)Comisia are dreptul de a participa la activitile i reuniunile comitetului fr a avea drept
de vot. Comisia numete un reprezentant. Preedintele comitetului comunic Comisiei
activitile comitetului.
(6)n cazurile menionate la articolul 65, Autoritatea European pentru Protecia Datelor
deine drept de vot numai cu privire la deciziile care privesc principiile i normele aplicabile n
ceea ce privete instituiile, organismele, oficiile i ageniile Uniunii care corespund pe fond cu
cele din prezentul regulament.
Art. 69: Independen
(1)Comitetul acioneaz independent n ndeplinirea sarcinilor sale sau n exercitarea
competenelor sale n conformitate cu articolele 70 i 71.
(2)Fr a aduce atingere solicitrilor din partea Comisiei menionate la articolul 70 alineatul
(1) litera (b) i la articolul 70 alineatul (2), comitetul, n ndeplinirea sarcinilor sale sau n
exercitarea competenelor sale, nu solicit i nu accept instruciuni de la nicio parte extern.
Art. 70: Sarcinile comitetului
(1)Comitetul asigur aplicarea coerent a prezentului regulament. n acest scop, din proprie
iniiativ sau, dup caz, la solicitarea Comisiei, comitetul are, n special, urmtoarele sarcini:
a)s monitorizeze i s asigure aplicarea corect a prezentului regulament, n cazurile
prevzute la articolele 64 i 65, fr a aduce atingere sarcinilor autoritilor naionale de
supraveghere;
b)s ofere consiliere Comisiei cu privire la orice aspect legat de protecia datelor cu caracter
personal n cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului
regulament;
c)s ofere consiliere Comisiei cu privire la formatul i procedurile pentru schimbul de
informaii ntre operatori, persoanele mputernicite de operatori i autoritile de
supraveghere pentru regulile corporatiste obligatorii;
d)s emit orientri, recomandri i bune practici privind procedurile de tergere a linkurilor
ctre datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun
serviciile de comunicaii accesibile publicului, astfel cum se menioneaz la articolul 17
alineatul (2);
e)s examineze, din proprie iniiativ, la cererea unuia dintre membrii si sau la cererea
Comisiei, orice chestiune referitoare la aplicarea prezentului regulament i s emit orientri,
recomandri i bune practici pentru a ncuraja aplicarea coerent a prezentului regulament;
f)s emit orientri, recomandri i bune practici n conformitate cu prezentul alineat litera
(e) n vederea detalierii criteriilor i condiiilor pentru deciziile bazate pe crearea de profiluri
menionate la articolul 22 alineatul (2);
g)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul
alineat pentru stabilirea nclcrii securitii datelor cu caracter personal i stabilirii
ntrzierilor nejustificate menionate la articolul 33 alineatele (1) i (2), precum i pentru
circumstanele speciale n care un operator sau o persoan mputernicit de ctre operator
are obligaia de a notifica nclcarea securitii datelor cu caracter personal;
h)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul
alineat n ceea ce privete circumstanele n care o nclcare a securitii datelor cu caracter
personal este susceptibil s genereze un risc ridicat pentru drepturile i libertile
persoanelor fizice, menionate la articolul 34 alineatul (1);
i)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul
alineat n scopul detalierii criteriilor i cerinelor aplicabile transferurilor de date cu caracter
personal bazate pe regulile corporatiste obligatorii care trebuie respectate de operatori i cele
care trebuie respectate de persoanele mputernicite de operatori, precum i cu privire la
cerine suplimentare necesare pentru a asigura protecia datelor cu caracter personal ale
persoanelor vizate menionate la articolul 47;
j)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul
alineat n vederea detalierii criteriilor i cerinelor pentru transferurile de date cu caracter
personal menionate la articolul 49 alineatul (1);
k)s elaboreze orientri destinate autoritilor de supraveghere, referitoare la aplicarea
msurilor menionate la articolul 58 alineatele (1), (2) i (3) i s stabileasc amenzile
administrative n conformitate cu articolul 83;
l)s revizuiasc aplicarea practic a orientrilor, recomandrilor i bunelor practici menionate
la literele (e) i (f);
m)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul
alineat n vederea stabilirii procedurilor comune de raportare de ctre persoanele fizice a
nclcrilor prezentului regulament n conformitate cu articolul 54 alineatul (2);
n)s ncurajeze elaborarea de coduri de conduit i stabilirea unor mecanisme de certificare,
precum i a unor sigilii i mrci n domeniul proteciei datelor, n conformitate cu articolele 40
i 42;
o)s efectueze acreditarea organismelor de certificare i revizuirea periodic a acreditrii n
conformitate cu articolul 43 i s in un registru public al organismelor acreditate, n
conformitate cu articolul 43 alineatul (6), i al operatorilor acreditai sau al persoanelor
mputernicite de operator acreditate, stabilii (stabilite) n ri tere, n conformitate cu
articolul 42 alineatul (7);
p)s precizeze cerinele menionate la articolul 43 alineatul (3), n vederea acreditrii
organismelor de certificare prevzute la articolul 42;
q)s prezinte Comisiei un aviz privind cerinele de certificare menionate la articolul 43
alineatul (8);
r)s prezinte Comisiei un aviz privind pictogramele menionate la articolul 12 alineatul (7);
s)s prezinte Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protecie
ntr-o ar ter sau o organizaie internaional, inclusiv pentru a determina dac o ar
ter, un teritoriu, sau unul sau mai multe sectoare specificate din acea ar ter, sau o
organizaie internaional nu mai asigur un nivel de protecie adecvat. n acest scop,
Comisia pune la dispoziia comitetului toat documentaia necesar, inclusiv corespondena
purtat cu autoritile publice ale rii tere, n ceea ce privete acea ar ter, acel teritoriu
sau acel sector, sau cu organizaia internaional;
t)s emit avize privind proiectele de decizii ale autoritilor de supraveghere n conformitate
cu mecanismul pentru asigurarea coerenei menionat la articolul 64 alineatul (1) privind
chestiunile prezentate n conformitate cu articolul 64 alineatul (2) i s emit decizii obligatorii
n temeiul articolului 65, inclusiv n cazurile menionate la articolul 66;
u)s promoveze cooperarea i schimbul eficient bilateral i multilateral de informaii i bune
practici ntre autoritile de supraveghere;
v)s promoveze programe comune de formare i s faciliteze schimburile de personal ntre
autoritile de supraveghere, precum i, dup caz, cu autoritile de supraveghere ale rilor
tere sau organizaiilor internaionale;
w)s promoveze schimbul de cunotine i de documente privind legislaia i practicile n
materie de protecie a datelor cu autoritile de supraveghere a proteciei datelor la nivel
mondial;
x)s emit avize privind codurile de conduit elaborate la nivelul Uniunii n temeiul articolului
40 alineatul (9); i
y)s in un registru electronic accesibil publicului cu deciziile luate de autoritile de
supraveghere i de instane cu privire la chestiuni tratate n cadrul mecanismului pentru
asigurarea coerenei.
(2)n cazul n care Comisia consult comitetul, aceasta poate indica un termen limit, innd
seama de caracterul urgent al chestiunii.
(3)Comitetul i transmite avizele, orientrile, recomandrile i bunele practici Comisiei i
comitetului menionat la articolul 93 i le face publice.
(4)Dac este cazul, comitetul consult prile interesate i le ofer posibilitatea de a face
observaii ntr-un termen rezonabil. Fr a aduce atingere dispoziiilor articolului 76, comitetul
public rezultatele procedurii de consultare.
Art. 71: Rapoarte
(1)Comitetul ntocmete un raport anual privind protecia persoanelor fizice cu privire la
prelucrare n Uniune i, dac este relevant, n ri tere i organizaii internaionale. Raportul
este pus la dispoziia publicului i transmis Parlamentului European, Consiliului i Comisiei.
(2)Raportul anual include o revizuire a aplicrii practice a orientrilor, recomandrilor i
bunelor practici menionate la articolul 70 alineatul (1) litera (l), precum i a deciziilor
obligatorii menionate la articolul 65.
Art. 72: Procedura
(1)Comitetul adopt decizii prin majoritate simpl a membrilor si, cu excepia cazului cnd
se prevede altfel n prezentul regulament.
(2)Comitetul i adopt propriul regulament de procedur cu o majoritate de dou treimi a
membrilor si i i organizeaz propriile mecanisme de funcionare.
Art. 73: Preedintele
(1)Comitetul alege un preedinte i doi vicepreedini din rndul membrilor si, cu majoritate
simpl.
(2)Mandatul preedintelui i al vicepreedinilor este de cinci ani i poate fi rennoit o singur
dat.
Art. 74: Sarcinile preedintelui
(1)Preedintele are urmtoarele sarcini:
a)s convoace reuniunile comitetului i s stabileasc ordinea de zi;
b)s notifice deciziile adoptate de comitet, n conformitate cu articolul 65, autoritii de
supraveghere principale i autoritilor de supraveghere vizate;
c)s asigure ndeplinirea la timp a sarcinilor comitetului, n special n ceea ce privete
mecanismul pentru asigurarea coerenei menionat la articolul 63.
(2)Comitetul stabilete n regulamentul su de procedur repartizarea sarcinilor ntre
preedinte i vicepreedini.
Art. 75: Secretariatul
(1)Comitetul dispune de un secretariat, care este asigurat de Autoritatea European pentru
Protecia Datelor.
(2)Secretariatul i ndeplinete sarcinile exclusiv pe baza instruciunilor preedintelui
comitetului.
(3)Personalul Autoritii Europene pentru Protecia Datelor implicat n ndeplinirea sarcinilor
conferite comitetului n temeiul prezentului regulament face obiectul unor linii de raportare
separate n raport cu personalul implicat n ndeplinirea sarcinilor conferite Autoritii
Europene pentru Protecia Datelor.
(4)Dac este oportun, comitetul i Autoritatea European pentru Protecia Datelor elaboreaz
i public un memorandum de nelegere pentru punerea n aplicare a prezentului articol, care
s stabileasc condiiile cooperrii i s se aplice personalului Autoritii Europene pentru
Protecia Datelor implicat n ndeplinirea sarcinilor conferite comitetului n temeiul prezentului
regulament.
(5)Secretariatul ofer sprijin analitic, administrativ i logistic comitetului.
(6)Secretariatul este responsabil n special de urmtoarele:
a)gestionarea curent a activitii comitetului;
b)comunicarea dintre membrii comitetului, preedintele acestuia i Comisie;
c)comunicarea cu alte instituii i cu publicul;
d)utilizarea mijloacelor electronice pentru comunicarea intern i extern;
e)traducerea informaiilor relevante;
f)pregtirea i monitorizarea aciunilor ulterioare reuniunilor comitetului;
g)pregtirea, redactarea i publicarea avizelor, deciziilor privind soluionarea litigiilor dintre
autoritile de supraveghere i a altor texte adoptate de comitet.
Art. 76: Confidenialitate
(1)Discuiile din cadrul comitetului sunt confideniale n cazul n care comitetul consider c
acest lucru este necesar n conformitate cu regulamentul su de procedur.
(2)Accesul la documentele prezentate membrilor comitetului, experilor i reprezentanilor
prilor tere este reglementat prin Regulamentul (CE) nr. 1049/2001 al Parlamentului
European i al Consiliului (1).
(1)Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului din 30 mai
2001 privind accesul public la documentele Parlamentului European, ale Consiliului i ale
Comisiei (JO L 145, 31.5.2001, p. 43).
CAPITOLUL VIII: Ci de atac, rspundere i sanciuni
Art. 77: Dreptul de a depune o plngere la o autoritate de supraveghere
(1)Fr a aduce atingere oricror alte ci de atac administrative sau judiciare, orice persoan
vizat are dreptul de a depune o plngere la o autoritate de supraveghere, n special n statul
membru n care i are reedina obinuit, n care se afl locul su de munc sau n care a
avut loc presupusa nclcare, n cazul n care consider c prelucrarea datelor cu caracter
personal care o vizeaz ncalc prezentul regulament.
(2)Autoritatea de supraveghere la care s-a depus plngerea informeaz reclamantul cu
privire la evoluia i rezultatul plngerii, inclusiv posibilitatea de a exercita o cale de atac
judiciar n temeiul articolului 78.
Art. 78: Dreptul la o cale de atac judiciar eficient mpotriva unei autoriti de
supraveghere
(1)Fr a aduce atingere oricror alte ci de atac administrative sau nejudiciare, fiecare
persoan fizic sau juridic are dreptul de a exercita o cale de atac judiciar eficient
mpotriva unei decizii obligatorii din punct de vedere juridic a unei autoriti de supraveghere
care o vizeaz.
(2)Fr a aduce atingere oricror alte ci de atac administrative sau nejudiciare, fiecare
persoan vizat are dreptul de a exercita o cale de atac judiciar eficient n cazul n care
autoritatea de supraveghere care este competent n temeiul articolelor 55 i 56 nu trateaz
o plngere sau nu informeaz persoana vizat n termen de trei luni cu privire la progresele
sau la soluionarea plngerii depuse n temeiul articolului 77.
(3)Aciunile introduse mpotriva unei autoriti de supraveghere sunt aduse n faa instanelor
din statul membru n care este stabilit autoritatea de supraveghere.
(4)n cazul n care aciunile sunt introduse mpotriva unei decizii a unei autoriti de
supraveghere care a fost precedat de un aviz sau o decizie a comitetului n cadrul
mecanismului pentru asigurarea coerenei, autoritatea de supraveghere transmite curii avizul
respectiv sau decizia respectiv.
Art. 79: Dreptul la o cale de atac judiciar eficient mpotriva unui operator sau
unei persoane mputernicite de operator
(1)Fr a aduce atingere vreunei ci de atac administrative sau nejudiciare disponibile,
inclusiv dreptului de a depune o plngere la o autoritate de supraveghere n temeiul
articolului 77, fiecare persoan vizat are dreptul de a exercita o cale de atac judiciar
eficient n cazul n care consider c drepturile de care beneficiaz n temeiul prezentului
regulament au fost nclcate ca urmare a prelucrrii datelor sale cu caracter personal fr a
se respecta prezentul regulament.
(2)Aciunile introduse mpotriva unui operator sau unei persoane mputernicite de operator
sunt prezentate n faa instanelor din statul membru unde operatorul sau persoana
mputernicit de operator i are un sediu. Alternativ, o astfel de aciune poate fi prezentat n
faa instanelor din statul membru n care persoana vizat i are reedina obinuit, cu
excepia cazului n care operatorul sau persoana mputernicit de operator este o autoritate
public a unui stat membru ce acioneaz n exercitarea competenelor sale publice.
Art. 80: Reprezentarea persoanelor vizate
(1)Persoana vizat are dreptul de a mandata un organism, o organizaie sau o asociaie fr
scop lucrativ, care au fost constituite n mod corespunztor n conformitate cu dreptul intern,
ale cror obiective statutare sunt de interes public, care sunt active n domeniul proteciei
drepturilor i libertilor persoanelor vizate n ceea ce privete protecia datelor lor cu caracter
personal, s depun plngerea n numele su, s exercite n numele su drepturile
menionate la articolele 77, 78 i 79, precum i s exercite dreptul de a primi despgubiri
menionat la articolul 82 n numele persoanei vizate, dac acest lucru este prevzut n dreptul
intern.
(2)Statele membre pot prevedea c orice organism, organizaie sau asociaie menionat la
alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul
de a depune n statul membru respectiv o plngere la autoritatea de supraveghere care este
competent n temeiul articolului 77 i de a exercita drepturile menionate la articolele 78 i
79, n cazul n care consider c drepturile unei persoane vizate n temeiul prezentului
regulament au fost nclcate ca urmare a prelucrrii.
Art. 81: Suspendarea procedurilor
(1)n cazul n care o instan competent a unui stat membru are informaii c pe rolul unei
instane dintr-un alt stat membru se afl o aciune avnd acelai obiect n ceea ce privete
activitile de prelucrare ale aceluiai operator sau ale aceleai persoane mputernicite de
operator, instana respectiv contacteaz instana din cellalt stat membru pentru a confirma
existena unor astfel de aciuni.
(2)Atunci cnd pe rolul unei instane dintr-un alt stat membru se afl o aciune avnd acelai
obiect n ceea ce privete activitile de prelucrare ale aceluiai operator sau ale aceleai
persoane mputernicite de operator, orice alt instan competent dect instana sesizat
iniial poate suspenda aciunea aflat la ea pe rol.
(3)n cazul n care o astfel de aciune se judec n prim instan, orice instan sesizat
ulterior poate, de asemenea, la cererea uneia dintre pri, s-i decline competena, cu
condiia ca respectiva aciune s fie de competena primei instane sesizate i ca dreptul
aplicabil acesteia s permit conexarea aciunilor.
Art. 82: Dreptul la despgubiri i rspunderea
(1)Orice persoan care a suferit un prejudiciu materiale sau moral ca urmare a unei nclcri
a prezentului regulament are dreptul s obin despgubiri de la operator sau de la persoana
mputernicit de operator pentru prejudiciul suferit.
(2)Orice operator implicat n operaiunile de prelucrare este rspunztor pentru prejudiciul
cauzat de operaiunile sale de prelucrare care ncalc prezentul regulament. Persoana
mputernicit de operator este rspunztoare pentru prejudiciul cauzat de prelucrare numai n
cazul n care nu a respectat obligaiile din prezentul regulament care revin n mod specific
persoanelor mputernicite de operator sau a acionat n afara sau n contradicie cu
instruciunile legale ale operatorului.
(3)Operatorul sau persoana mputernicit de operator este exonerat() de rspundere n
temeiul alineatului (2) dac dovedete c nu este rspunztor (rspunztoare) n niciun fel
pentru evenimentul care a cauzat prejudiciul.
(4)n cazul n care mai muli operatori sau mai multe persoane mputernicite de operator, sau
un operator i o persoan mputernicit de operator sunt implicai (implicate) n aceeai
operaiune de prelucrare i rspund, n temeiul alineatelor (2) i (3), pentru orice prejudiciu
cauzat de prelucrare, fiecare operator sau persoan mputernicit de operator este
rspunztor (rspunztoare) pentru ntregul prejudiciu pentru a asigura despgubirea efectiv
a persoanei vizate.
(5)n cazul n care un operator sau o persoan mputernicit de operator a pltit, n
conformitate cu alineatul (4), n totalitate despgubirile pentru prejudiciul ocazionat,
respectivul operator sau respectiva persoan mputernicit de operator are dreptul s solicite
de la ceilali operatori sau celelalte persoane mputernicite de operator implicate n aceeai
operaiune de prelucrare recuperarea acelei pri din despgubiri care corespunde prii lor
de rspundere pentru prejudiciu, n conformitate cu condiiile stabilite la alineatul (2).
(6)Aciunile n exercitarea dreptului de recuperare a despgubirilor pltite se introduc la
instanele competente n temeiul dreptului statului membru menionat la articolul 79 alineatul
(2).
Art. 83: Condiii generale pentru impunerea amenzilor administrative
(1)Fiecare autoritate de supraveghere asigur faptul c impunerea unor amenzi
administrative n conformitate cu prezentul articol pentru nclcrile prezentului regulament
menionate la alineatele (4), (5) i, (6) este, n fiecare caz, eficace, proporional i disuasiv.
(2)n funcie de circumstanele fiecrui caz n parte, amenzile administrative sunt impuse n
completarea sau n locul msurilor menionate la articolul 58 alineatul (2) literele (a)-(h) i (j).
Atunci cnd se ia decizia dac s se impun o amend administrativ i decizia cu privire la
valoarea amenzii administrative n fiecare caz n parte, se acord atenia cuvenit
urmtoarelor aspecte:
a)natura, gravitatea i durata nclcrii, inndu-se seama de natura, domeniul de aplicare
sau scopul prelucrrii n cauz, precum i de numrul persoanelor vizate afectate i de nivelul
prejudiciilor suferite de acestea;
b)dac nclcarea a fost comis intenionat sau din neglijen;
c)orice aciuni ntreprinse de operator sau de persoana mputernicit de operator pentru a
reduce prejudiciul suferit de persoana vizat;
d)gradul de responsabilitate al operatorului sau al persoanei mputernicite de operator
inndu-se seama de msurile tehnice i organizatorice implementate de acetia n temeiul
articolelor 25 i 32;
e)eventualele nclcri anterioare relevante comise de operator sau de persoana
mputernicit de operator;
f)gradul de cooperare cu autoritatea de supraveghere pentru a remedia nclcarea i a
atenua posibilele efecte negative ale nclcrii;
g)categoriile de date cu caracter personal afectate de nclcare;
h)modul n care nclcarea a fost adus la cunotina autoritii de supraveghere, n special
dac i n ce msur operatorul sau persoana mputernicit de operator a notificat nclcarea;
i)n cazul n care msurile menionate la articolul 58 alineatul (2) au fost dispuse anterior
mpotriva operatorului sau persoanei mputernicite de operator n cauz cu privire la acelai
obiect, respectarea respectivelor msuri;
j)aderarea la coduri de conduit aprobate, n conformitate cu articolul 40, sau la mecanisme
de certificare aprobate, n conformitate cu articolul 42; i
k)orice alt factor agravant sau atenuant aplicabil circumstanelor cazului, cum ar fi beneficiile
financiare dobndite sau pierderile evitate n mod direct sau indirect de pe urma nclcrii.
(3)n cazul n care un operator sau o persoan mputernicit de operator ncalc n mod
intenionat sau din neglijen, pentru aceeai operaiune de prelucrare sau pentru operaiuni
de prelucrare conexe, mai multe dispoziii din prezentul regulament, cuantumul total al
amenzii administrative nu poate depi suma prevzut pentru cea mai grav nclcare.
(4)Pentru nclcrile dispoziiilor urmtoare, n conformitate cu alineatul (2), se aplic amenzi
administrative de pn la 10 000 000 EUR sau, n cazul unei ntreprinderi, de pn la 2 % din
cifra de afaceri mondial total anual corespunztoare exerciiului financiar anterior, lundu-
se n calcul cea mai mare valoare:
a)obligaiile operatorului i ale persoanei mputernicite de operator n conformitate cu
articolele 8, 11, 25-39, 42 i 43;
b)obligaiile organismului de certificare n conformitate cu articolele 42 i 43;
c)obligaiile organismului de monitorizare n conformitate cu articolul 41 alineatul (4).
(5)Pentru nclcrile dispoziiilor urmtoare, n conformitate cu alineatul (2), se aplic amenzi
administrative de pn la 20 000 000 EUR sau, n cazul unei ntreprinderi, de pn la 4 % din
cifra de afaceri mondial total anual corespunztoare exerciiului financiar anterior, lundu-
se n calcul cea mai mare valoare:
a)principiile de baz pentru prelucrare, inclusiv condiiile privind consimmntul, n
conformitate cu articolele 5, 6, 7 i 9;
b)drepturile persoanelor vizate n conformitate cu articolele 12-22;
c)transferurile de date cu caracter personal ctre un destinatar dintr-o ar ter sau o
organizaie internaional, n conformitate cu articolele 44-49;
d)orice obligaii n temeiul legislaiei naionale adoptate n temeiul capitolului IX;
e)nerespectarea unui ordin sau a unei limitri temporare sau definitive asupra prelucrrii, sau
a suspendrii fluxurilor de date, emis de ctre autoritatea de supraveghere n temeiul
articolului 58 alineatul (2), sau neacordarea accesului, nclcnd articolul 58 alineatul (1).
(6)Pentru nclcarea unui ordin emis de autoritatea de supraveghere n conformitate cu
articolul 58 alineatul (2) se aplic, n conformitate cu alineatul (2) din prezentul articol,
amenzi administrative de pn la 20 000 000 EUR sau, n cazul unei ntreprinderi, de pn la
4 % din cifra de afaceri mondial total anual corespunztoare exerciiului financiar anterior,
lundu-se n calcul cea mai mare valoare.
(7)Fr a aduce atingere competenelor corective ale autoritilor de supraveghere
menionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care
s se stabileasc dac i n ce msur pot fi impuse amenzi administrative autoritilor
publice i organismelor publice stabilite n statul membru respectiv.
(8)Exercitarea de ctre autoritatea de supraveghere a competenelor sale n temeiul
prezentului articol are loc cu condiia existenei unor garanii procedurale adecvate n
conformitate cu dreptul Uniunii i cu dreptul intern, inclusiv ci de atac judiciare eficiente i
dreptul la un proces echitabil.
(9)n cazul n care sistemul juridic al statului membru nu prevede amenzi administrative,
prezentul articol poate fi aplicat astfel nct amenda s fie iniiat de autoritatea de
supraveghere competent i impus de instanele naionale competente, garantndu-se, n
acelai timp, faptul c aceste ci de atac sunt eficiente i au un efect echivalent cu cel al
amenzilor administrative impuse de autoritile de supraveghere. n orice caz, amenzile
impuse trebuie s fie eficace, proporionale i disuasive. Respectivele state membre
informeaz Comisia cu privire la dispoziiile de drept intern pe care le adopt n temeiul
prezentului alineat pn la 25 mai 2018, precum i, fr ntrziere, cu privire la orice act
legislativ de modificare sau orice modificare ulterioar a acestora.
Art. 84: Sanciuni
(1)Statele membre stabilesc normele privind alte sanciunile aplicabile n caz de nclcare a
prezentului regulament, n special pentru nclcri care nu fac obiectul unor amenzi
administrative n temeiul articolului 83, i iau toate msurile necesare pentru a garanta faptul
c acestea sunt puse n aplicare. Sanciunile respective sunt eficace, proporionale i
disuasive.
(2)Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le
adopt n temeiul alineatului (1) pn la 25 mai 2018, precum i, fr ntrziere, cu privire la
orice modificare ulterioar a acestora.
CAPITOLUL IX: Dispoziii referitoare la situaii specifice de prelucrare
Art. 85: Prelucrarea i libertatea de exprimare i de informare
(1)Prin intermediul dreptului intern, statele membre asigur un echilibru ntre dreptul la
protecia datelor cu caracter personal n temeiul prezentului regulament i dreptul la
libertatea de exprimare i de informare, inclusiv prelucrarea n scopuri jurnalistice sau n
scopul exprimrii academice, artistice sau literare.
(2)Pentru prelucrarea efectuat n scopuri jurnalistice sau n scopul exprimrii academice,
artistice sau literare, statele membre prevd exonerri sau derogri de la dispoziiile
capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV
(operatorul i persoana mputernicit de operator), ale capitolului V (transferul datelor cu
caracter personal ctre ri tere sau organizaii internaionale), ale capitolului VI (autoriti
de supraveghere independente), ale capitolului VII (cooperare i coeren) i ale capitolului
IX (situaii specifice de prelucrare a datelor) n cazul n care acestea sunt necesare pentru a
asigura un echilibru ntre dreptul la protecia datelor cu caracter personal i libertatea de
exprimare i de informare.
(3)Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care
le-a adoptat n temeiul alineatului (2) precum i, fr ntrziere, cu privire la orice act
legislativ de modificare sau orice modificare ulterioar a acestora.
Art. 86: Prelucrarea i accesul public la documente oficiale
Datele cu caracter personal din documentele oficiale deinute de o autoritate public sau de
un organism public sau privat pentru ndeplinirea unei sarcini care servete interesului public
pot fi divulgate de autoritatea sau organismul respectiv n conformitate cu dreptul Uniunii sau
cu dreptul intern sub incidena cruia intr autoritatea sau organismul, pentru a stabili un
echilibru ntre accesul public la documente oficiale i dreptul la protecia datelor cu caracter
personal n temeiul prezentului regulament.
Art. 87: Prelucrarea unui numr de identificare naional
Statele membre pot detalia n continuare condiiile specifice de prelucrare a unui numr de
identificare naional sau a oricrui alt identificator cu aplicabilitate general. n acest caz,
numrul de identificare naional sau orice alt identificator cu aplicabilitate general este folosit
numai n temeiul unor garanii corespunztoare pentru drepturile i libertile persoanei vizate
n temeiul prezentului regulament.
Art. 88: Prelucrarea n contextul ocuprii unui loc de munc
(1)Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate
pentru a asigura protecia drepturilor i a libertilor cu privire la prelucrarea datelor cu
caracter personal ale angajailor n contextul ocuprii unui loc de munc, n special n scopul
recrutrii, al ndeplinirii clauzelor contractului de munc, inclusiv descrcarea de obligaiile
stabilite prin lege sau prin acorduri colective, al gestionrii, planificrii i organizrii muncii, al
egalitii i diversitii la locul de munc, al asigurrii sntii i securitii la locul de munc,
al protejrii proprietii angajatorului sau a clientului, precum i n scopul exercitrii i
beneficierii, n mod individual sau colectiv, de drepturile i beneficiile legate de ocuparea unui
loc de munc, precum i pentru ncetarea raporturilor de munc.
(2)Aceste norme includ msuri corespunztoare i specifice pentru garantarea demnitii
umane, a intereselor legitime i a drepturilor fundamentale ale persoanelor vizate, n special
n ceea ce privete transparena prelucrrii, transferul de date cu caracter personal n cadrul
unui grup de ntreprinderi sau al unui grup de ntreprinderi implicate ntr-o activitate
economic comun i sistemele de monitorizare la locul de munc.
(3)Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le
adopt n temeiul alineatului (1) pn la 25 mai 2018, precum i, fr ntrziere, cu privire la
orice modificare ulterioar a acestora.
Art. 89: Garanii i derogri privind prelucrarea n scopuri de arhivare n interes
public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice
(1)Prelucrarea n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau
istoric ori n scopuri statistice are loc cu condiia existenei unor garanii corespunztoare, n
conformitate cu prezentul regulament, pentru drepturile i libertile persoanelor vizate.
Respectivele garanii asigur faptul c au fost instituite msuri tehnice i organizatorice
necesare pentru a se asigura, n special, respectarea principiului reducerii la minimum a
datelor. Respectivele msuri pot include pseudonimizarea, cu condiia ca respectivele scopuri
s fie ndeplinite n acest mod. Atunci cnd respectivele scopuri pot fi ndeplinite printr-o
prelucrare ulterioar care nu permite sau nu mai permite identificarea persoanelor vizate,
scopurile respective sunt ndeplinite n acest mod.
(2)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare
tiinific sau istoric ori n scopuri statistice, dreptul Uniunii sau dreptul intern poate s
prevad derogri de la drepturile menionate la articolele 15, 16, 18 i 21, sub rezerva
condiiilor i a garaniilor prevzute la alineatul (1) din prezentul articol, n msura n care
drepturile respective sunt de natur s fac imposibil sau s afecteze n mod grav realizarea
scopurilor specifice, iar derogrile respective sunt necesare pentru ndeplinirea acestor
scopuri.
(3)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de arhivare n
interes public, dreptul Uniunii sau dreptul intern poate s prevad derogri de la drepturile
menionate la articolele 15, 16, 18, 19, 20 i 21, sub rezerva condiiilor i a garaniilor
prevzute la alineatul (1) din prezentul articol, n msura n care drepturile respective sunt de
natur s fac imposibil sau s afecteze n mod grav realizarea scopurilor specifice, iar
derogrile respective sunt necesare pentru ndeplinirea acestor scopuri.
(4)n cazul n care prelucrarea menionat la alineatele (2) i (3) servete n acelai timp i
altui scop, derogrile se aplic numai prelucrrii n scopurile menionate la alineatele
respective.
Art. 90: Obligaii privind pstrarea confidenialitii
(1)Statele membre pot adopta norme specifice pentru a stabili competenele autoritilor de
supraveghere, prevzute la articolul 58 alineatul (1) literele (e) i (f), n legtur cu operatori
sau cu persoane mputernicite de operatori care, n temeiul dreptului Uniunii sau al dreptului
intern sau n temeiul normelor stabilite de organismele naionale competente, au obligaia de
a pstra secretul profesional sau alte obligaii echivalente de confidenialitate, n cazul n care
acest lucru este necesar i proporional pentru a stabili un echilibru ntre dreptul la protecia
datelor cu caracter personal i obligaia pstrrii confidenialitii. Respectivele norme se
aplic doar n ceea ce privete datele cu caracter personal pe care operatorul sau persoana
mputernicit de operator le-a primit n urma sau n contextul unei activiti care intr sub
incidena acestei obligaii de pstrare a confidenialitii.
(2)Fiecare stat membru notific Comisiei normele adoptate n temeiul alineatului (1) pn la
25 mai 2018, precum i, fr ntrziere, orice modificare ulterioar a acestora.
Art. 91: Normele existente n domeniul proteciei datelor pentru biserici i
asociaii religioase
(1)n cazul n care, ntr-un stat membru, bisericile i asociaiile sau comunitile religioase
aplic, la data intrrii n vigoare a prezentului regulament, un set cuprinztor de norme de
protecie a persoanelor fizice cu privire la prelucrare, aceste norme pot continua s se aplice,
cu condiia s fie aliniate la prezentul regulament.
(2)Bisericile i asociaiile religioase care aplic un set cuprinztor de norme n conformitate
cu alineatul (1) din prezentul articol sunt supuse supravegherii unei autoriti de
supraveghere independente care poate fi specific, cu condiia s ndeplineasc condiiile
stabilite n capitolul VI din prezentul regulament.
CAPITOLUL X: Acte delegate i acte de punere n aplicare
Art. 92: Exercitarea delegrii
(1)Competena de a adopta acte delegate este conferit Comisiei n condiiile prevzute de
prezentul articol.
(2)Delegarea de competene prevzut la articolul 12 alineatul (8) i la articolul 43 alineatul
(8) se confer Comisiei pe o perioad nedeterminat de la 24 mai 2016.
(3)Delegarea de competene menionat la articolul 12 alineatul (8) i la articolul 43 alineatul
(8) poate fi revocat n orice moment de Parlamentul European sau de Consiliu. O decizie de
revocare pune capt delegrii de competene specificat n decizia respectiv. Decizia
produce efecte din ziua urmtoare datei publicrii acesteia n Jurnalul Oficial al Uniunii
Europene sau de la o dat ulterioar menionat n decizie. Decizia nu aduce atingere
validitii actelor delegate care sunt deja n vigoare.
(4)De ndat ce adopt un act delegat, Comisia l notific simultan Parlamentului European i
Consiliului.
(5)Un act delegat adoptat n conformitate cu articolul 12 alineatul (8) i cu articolul 43
alineatul (8) intr n vigoare numai n cazul n care nici Parlamentul European i nici Consiliul
nu au formulat obieciuni n termen de trei luni de la notificarea acestuia Parlamentului
European i Consiliului, sau n cazul n care, nainte de expirarea termenului respectiv,
Parlamentul European i Consiliul au informat Comisia c nu vor formula obieciuni.
Respectivul termen se prelungete cu trei luni la iniiativa Parlamentului European sau a
Consiliului.
Art. 93: Procedura comitetului
(1)Comisia este asistat de un comitet. Comitetul respectiv este un comitet n nelesul
Regulamentului (UE) nr. 182/2011.
(2)n cazul n care se face trimitere la prezentul alineat, se aplic articolul 5 din
Regulamentul (UE) nr. 182/2011.
(3)n cazul n care se face trimitere la prezentul alineat, se aplic articolul 8 din
Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din respectivul regulament.
CAPITOLUL XI: Dispoziii finale
Art. 94: Abrogarea Directivei 95/46/CE
(1)Decizia 95/46/CE se abrog cu efect de la 25 mai 2018.
(2)Trimiterile la directiva abrogat se interpreteaz ca trimiteri la prezentul regulament.
Trimiterile la Grupul de lucru pentru protecia persoanelor n ceea ce privete prelucrarea
datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se
interpreteaz ca trimiteri la Comitetul european pentru protecia datelor instituit prin
prezentul regulament.
Art. 95: Relaia cu Directiva 2002/58/CE
Prezentul regulament nu impune obligaii suplimentare pentru persoanele fizice sau juridice n
ceea ce privete prelucrarea n legtur cu furnizarea de servicii de comunicaii electronice
destinate publicului n reelele de comunicaii publice din Uniune, cu privire la aspectele
pentru care acestora le revin obligaii specifice cu acelai obiectiv prevzut n Directiva
2002/58/CE.
Art. 96: Relaia cu acordurile ncheiate anterior
Acordurile internaionale care implic transferul de date cu caracter personal ctre ri tere
sau organizaii internaionale, care au fost ncheiate de statele membre nainte de 24 mai
2016 i care sunt n conformitate cu dreptul Uniunii aplicabil nainte de data respectiv,
rmn n vigoare pn cnd vor fi modificate, nlocuite sau revocate.
Art. 97: Rapoartele Comisiei
(1)Pn la 25 mai 2020 i, ulterior, la fiecare patru ani, Comisia transmite Parlamentului
European i Consiliului un raport privind evaluarea i revizuirea prezentului regulament.
Rapoartele sunt fcute publice.
(2)n contextul evalurilor i revizuirilor menionate la alineatul (1), Comisia examineaz n
special aplicarea i funcionarea:
a)capitolului V privind transferul datelor cu caracter personal ctre ri tere sau organizaii
internaionale, avnd n vedere n special deciziile adoptate n temeiul articolului 45 alineatul
(3) din prezentul regulament i deciziile adoptate n temeiul articolului 25 alineatul (6) din
Directiva 95/46/CE;
b)capitolul VII privind cooperarea i coerena.
(3)n scopul alineatului (1), Comisia poate solicita informaii de la statele membre i de la
autoritile de supraveghere.
(4)La efectuarea evalurilor i a revizuirilor menionate la alineatele (1) i (2), Comisia ia n
considerare poziiile i constatrile Parlamentului European, ale Consiliului, precum i ale altor
organisme sau surse relevante.
(5)Comisia transmite, dac este necesar, propuneri corespunztoare de modificare a
prezentului regulament, n special innd seama de evoluiile din domeniul tehnologiei
informaiei i avnd n vedere progresele societii informaionale.
Art. 98: Revizuirea altor acte juridice ale Uniunii n materie de protecie a datelor
Dac este cazul, Comisia prezint propuneri legislative n vederea modificrii altor acte
juridice ale Uniunii privind protecia datelor cu caracter personal, n vederea asigurrii unei
protecii uniforme i consecvente a persoanelor fizice n ceea ce privete prelucrarea. Acest
lucru privete n special normele referitoare la protecia persoanelor fizice n ceea ce privete
prelucrarea de ctre instituiile, organismele, oficiile i ageniile Uniunii, precum i normele
referitoare la libera circulaie a acestor date.
Art. 99: Intrare n vigoare i aplicare
(1)Prezentul regulament intr n vigoare n a douzecea zi de la data publicrii n Jurnalul
Oficial al Uniunii Europene.
(2)Prezentul regulament se aplic de la 25 mai 2018.
Prezentul regulament este obligatoriu n toate elementele sale i se aplic direct n toate
statele membre.
-****-
Adoptat la Bruxelles, 27 aprilie 2016.

Pentru Parlamentul European

Preedintele
M. SCHULZ
Pentru Consiliu
Preedintele
J.A. HENNIS-PLASSCHAERT
Publicat n Jurnalul Oficial cu numrul 119L din data de 4 mai 2016