679 din 27 aprilie 2016 privind protecia persoanelor fizice n
ceea ce privete prelucrarea datelor cu caracter personal i privind libera circulaie a acestor date i de abrogare a Directivei 95/46/CE (Regulamentul general privind protecia datelor) (Text cu relevan pentru SEE) PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE, avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 16, avnd n vedere propunerea Comisiei Europene, dup transmiterea proiectului de act legislativ ctre parlamentele naionale, avnd n vedere avizul Comitetului Economic i Social European (1), (1)JO C 229, 31.7.2012, p. 90. avnd n vedere avizul Comitetului Regiunilor (2), (2)JO C 391, 18.12.2012, p. 127. hotrnd n conformitate cu procedura legislativ ordinar (3), (3)Poziia Parlamentului European din 12 martie 2014 (nepublicat nc n Jurnalul Oficial) i Poziia n prim lectur a Consiliului din 8 aprilie 2016 (nepublicat nc n Jurnalul Oficial). Poziia Parlamentului European din 14 aprilie 2016. ntruct: (1)Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene ("carta") i articolul 16 alineatul (1) din Tratatul privind funcionarea Uniunii Europene (TFUE) prevd dreptul oricrei persoane la protecia datelor cu caracter personal care o privesc. (2)Principiile i normele referitoare la protecia persoanelor fizice n ceea ce privete prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetenia sau de locul de reedin al persoanelor fizice, s respecte drepturile i libertile fundamentale ale acestora, n special dreptul la protecia datelor cu caracter personal. Prezentul regulament urmrete s contribuie la realizarea unui spaiu de libertate, securitate i justiie i a unei uniuni economice, la progresul economic i social, la consolidarea i convergena economiilor n cadrul pieei interne i la bunstarea persoanelor fizice. (3)Directiva 95/46/CE a Parlamentului European i a Consiliului (4) vizeaz armonizarea nivelului de protecie a drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete activitile de prelucrare i asigurarea liberei circulaii a datelor cu caracter personal ntre statele membre. (4)Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date (JO L 281, 23.11.1995, p. 31). (4)Prelucrarea datelor cu caracter personal ar trebui s fie n serviciul cetenilor. Dreptul la protecia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat n considerare n raport cu funcia pe care o ndeplinete n societate i echilibrat cu alte drepturi fundamentale, n conformitate cu principiul proporionalitii. Prezentul regulament respect toate drepturile fundamentale i libertile i principiile recunoscute n cart astfel cum sunt consacrate n tratate, n special respectarea vieii private i de familie, a reedinei i a comunicaiilor, a proteciei datelor cu caracter personal, a libertii de gndire, de contiin i de religie, a libertii de exprimare i de informare, a libertii de a desfura o activitate comercial, dreptul la o cale de atac eficient i la un proces echitabil, precum i diversitatea cultural, religioas i lingvistic. (5)Integrarea economic i social care rezult din funcionarea pieei interne a condus la o cretere substanial a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal ntre actori publici i privai, inclusiv persoane fizice, asociaii i ntreprinderi, s-a intensificat n ntreaga Uniune. Conform dreptului Uniunii, autoritile naionale din statele membre sunt chemate s coopereze i s fac schimb de date cu caracter personal pentru a putea s i ndeplineasc atribuiile sau s execute sarcini n numele unei autoriti dintr-un alt stat membru. (6)Evoluiile tehnologice rapide i globalizarea au generat noi provocri pentru protecia datelor cu caracter personal. Amploarea colectrii i a schimbului de date cu caracter personal a crescut n mod semnificativ. Tehnologia permite att societilor private, ct i autoritilor publice s utilizeze date cu caracter personal la un nivel fr precedent n cadrul activitilor lor. Din ce n ce mai mult, persoanele fizice fac publice la nivel mondial informaii cu caracter personal. Tehnologia a transformat deopotriv economia i viaa social i ar trebui s faciliteze n continuare libera circulaie a datelor cu caracter personal n cadrul Uniunii i transferul ctre ri tere i organizaii internaionale, asigurnd, totodat, un nivel ridicat de protecie a datelor cu caracter personal. (7)Aceste evoluii impun un cadru solid i mai coerent n materie de protecie a datelor n Uniune, nsoit de o aplicare riguroas a normelor, lund n considerare importana crerii unui climat de ncredere care va permite economiei digitale s se dezvolte pe piaa intern. Persoanele fizice ar trebui s aib control asupra propriilor date cu caracter personal, iar securitatea juridic i practic pentru persoane fizice, operatori economici i autoriti publice ar trebui s fie consolidat. (8)n cazul n care prezentul regulament prevede specificri sau restricionri ale normelor sale de ctre dreptul intern, statele membre pot, n msura n care acest lucru este necesar pentru coeren i pentru a asigura nelegerea dispoziiilor naionale de ctre persoanele crora li se aplic acestea, s ncorporeze elemente din prezentul regulament n dreptul lor intern. (9)Obiectivele i principiile Directivei 95/46/CE rmn solide, dar aceasta nu a prevenit fragmentarea modului n care protecia datelor este pus n aplicare n Uniune, insecuritatea juridic sau percepia public larg rspndit conform creia exist riscuri semnificative pentru protecia persoanelor fizice, n special n legtur cu activitatea online. Diferenele dintre nivelurile de protecie a drepturilor i libertilor persoanelor fizice, n special a dreptului la protecia datelor cu caracter personal, n ceea ce privete prelucrarea datelor cu caracter personal din statele membre pot mpiedica libera circulaie a datelor cu caracter personal n ntreaga Uniune. Aceste diferene pot constitui, prin urmare, un obstacol n desfurarea de activiti economice la nivelul Uniunii, pot denatura concurena i pot mpiedica autoritile s ndeplineasc responsabilitile care le revin n temeiul dreptului Uniunii. Aceast diferen ntre nivelurile de protecie este cauzat de existena unor deosebiri n ceea ce privete transpunerea i aplicarea Directivei 95/46/CE. (10)Pentru a se asigura un nivel consecvent i ridicat de protecie a persoanelor fizice i pentru a se ndeprta obstacolele din calea circulaiei datelor cu caracter personal n cadrul Uniunii, nivelul proteciei drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea unor astfel de date ar trebui s fie echivalent n toate statele membre. Aplicarea consecvent i omogen a normelor n materie de protecie a drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal ar trebui s fie asigurat n ntreaga Uniune. n ceea ce privete prelucrarea datelor cu caracter personal n vederea respectrii unei obligaii legale, a ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, statelor membre ar trebui s li se permit s menin sau s introduc dispoziii de drept intern care s clarifice ntr-o mai mare msur aplicarea normelor prezentului regulament. n coroborare cu legislaia general i orizontal privind protecia datelor, prin care este pus n aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice n domenii care necesit dispoziii mai precise. Prezentul regulament ofer, de asemenea, statelor membre o marj de manevr n specificarea normelor sale, inclusiv n ceea ce privete prelucrarea categoriilor speciale de date cu caracter personal ("date sensibile"). n acest sens, prezentul regulament nu exclude dreptul statelor membre care stabilete circumstanele aferente unor situaii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiiilor n care prelucrarea datelor cu caracter personal este legal. (11)Protecia efectiv a datelor cu caracter personal n ntreaga Uniune necesit nu numai consolidarea i stabilirea n detaliu a drepturilor persoanelor vizate i a obligaiilor celor care prelucreaz i decid prelucrarea datelor cu caracter personal, ci i competene echivalente pentru monitorizarea i asigurarea conformitii cu normele de protecie a datelor cu caracter personal i sanciuni echivalente pentru infraciuni n statele membre. (12)Articolul 16 alineatul (2) din TFUE mandateaz Parlamentul European i Consiliul s stabileasc normele privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum i normele privind libera circulaie a acestor date. (13)n vederea asigurrii unui nivel uniform de protecie pentru persoanele fizice n ntreaga Uniune i a prentmpinrii discrepanelor care mpiedic libera circulaie a datelor n cadrul pieei interne, este necesar un regulament n scopul de a furniza securitate juridic i transparen pentru operatorii economici, inclusiv microntreprinderi i ntreprinderi mici i mijlocii, precum i de a oferi persoanelor fizice n toate statele membre acelai nivel de drepturi, obligaii i responsabiliti opozabile din punct de vedere juridic pentru operatori i persoanele mputernicite de acetia, pentru a se asigura o monitorizare coerent a prelucrrii datelor cu caracter personal, sanciuni echivalente n toate statele membre, precum i cooperarea eficace a autoritilor de supraveghere ale diferitelor state membre. Pentru buna funcionare a pieei interne este necesar ca libera circulaie a datelor cu caracter personal n cadrul Uniunii s nu fie restricionat sau interzis din motive legate de protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal. Pentru a se lua n considerare situaia specific a microntreprinderilor i a ntreprinderilor mici i mijlocii, prezentul regulament include o derogare pentru organizaiile cu mai puin de 250 de angajai n ceea ce privete pstrarea evidenelor. n plus, instituiile i organele Uniunii i statele membre i autoritile lor de supraveghere sunt ncurajate s ia n considerare necesitile specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii n aplicarea prezentului regulament. Noiunea de microntreprinderi i de ntreprinderi mici i mijlocii ar trebui s se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1). (1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microntreprinderilor i a ntreprinderilor mici i mijlocii [C(2003) 1422] (JO L 124, 20.5.2003, p. 36). (14)Protecia conferit de prezentul regulament ar trebui s vizeze persoanele fizice, indiferent de cetenia sau de locul de reedin al acestora, n ceea ce privete prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal care privesc persoane juridice i, n special, ntreprinderi cu personalitate juridic, inclusiv numele i tipul de persoan juridic i datele de contact ale persoanei juridice. (15)Pentru a preveni apariia unui risc major de eludare, protecia persoanelor fizice ar trebui s fie neutr din punct de vedere tehnologic i s nu depind de tehnologiile utilizate. Protecia persoanelor fizice ar trebui s se aplice prelucrrii datelor cu caracter personal prin mijloace automatizate, precum i prelucrrii manuale, n cazul n care datele cu caracter personal sunt cuprinse sau destinate s fie cuprinse ntr-un sistem de eviden. Dosarele sau seturile de dosare, precum i copertele acestora, care nu sunt structurate n conformitate cu criterii specifice nu ar trebui s intre n domeniul de aplicare al prezentului regulament. (16)Prezentul regulament nu se aplic chestiunilor de protecie a drepturilor i libertilor fundamentale sau la libera circulaie a datelor cu caracter personal referitoare la activiti care nu intr n domeniul de aplicare al dreptului Uniunii, de exemplu activitile privind securitatea naional. Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal de ctre statele membre atunci cnd acestea desfoar activiti legate de politica extern i de securitatea comun a Uniunii. (17)Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului (2) se aplic prelucrrii de date cu caracter personal de ctre instituiile, organele, oficiile i ageniile Uniunii. Regulamentul (CE) nr. 45/2001 i alte acte juridice ale Uniunii aplicabile unei asemenea prelucrri a datelor cu caracter personal ar trebui adaptate la principiile i normele stabilite n prezentul regulament i aplicate n conformitate cu prezentul regulament. n vederea asigurrii unui cadru solid i coerent n materie de protecie a datelor n Uniune, ar trebui ca dup adoptarea prezentului regulament s se aduc Regulamentului (CE) nr. 45/2001 adaptrile necesare, astfel nct acestea s poat fi aplicate odat cu prezentul regulament. (2)Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie 2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a acestor date (JO L 8, 12.1.2001, p. 1). (18)Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal de ctre o persoan fizic n cadrul unei activiti exclusiv personale sau domestice i care, prin urmare, nu are legtur cu o activitate profesional sau comercial. Activitile personale sau domestice ar putea include corespondena i repertoriul de adrese sau activitile din cadrul reelelor sociale i activitile online desfurate n contextul respectivelor activiti. Cu toate acestea, prezentul regulament se aplic operatorilor sau persoanelor mputernicite de operatori care furnizeaz mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activiti personale sau domestice. (19)Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii pedepselor, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora, precum i libera circulaie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui s se aplice activitilor de prelucrare n aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de ctre autoritile publice n temeiul prezentului regulament, atunci cnd sunt utilizate n aceste scopuri, ar trebui s fie reglementate printr-un act juridic mai specific al Uniunii, i anume Directiva (UE) 2016/680 a Parlamentului European i a Consiliului (1). Statele membre pot ncredina autoritilor competente n sensul Directivei (UE) 2016/680 sarcini care nu sunt neaprat ndeplinite n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii pedepselor, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora, astfel nct prelucrarea datelor cu caracter personal pentru alte scopuri, n msura n care se ncadreaz n domeniul de aplicare al dreptului Uniunii, s intre n domeniul de aplicare al prezentului regulament. (1)Directiva (UE) 2016/680 a Parlamentului European i a Consiliului din 27 aprilie 2016 privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, depistrii, investigrii sau urmririi penale a infraciunilor sau al executrii pedepselor i privind libera circulaie a acestor date i de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial). n ceea ce privete prelucrarea datelor cu caracter personal de ctre aceste autoriti competente n scopuri care intr n domeniul de aplicare al prezentului regulament, statele membre ar trebui s poat menine sau introduce dispoziii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziii pot stabili mai precis cerine specifice pentru prelucrarea datelor cu caracter personal de ctre respectivele autoriti competente n aceste alte scopuri, innd seama de structura constituional, organizatoric i administrativ a statului membru n cauz. Atunci cnd prelucrarea de date cu caracter personal de ctre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui s prevad posibilitatea ca statele membre, n anumite condiii, s impun prin lege restricii asupra anumitor obligaii i drepturi, n cazul n care asemenea restricii constituie o msur necesar i proporional ntr-o societate democratic n scopul garantrii unor interese specifice importante, printre care se numr sigurana public i prevenirea, investigarea, depistarea i urmrirea penal a infraciunilor sau executarea pedepselor, inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice i prevenirea acestora. Acest lucru este relevant, de exemplu, n cadrul combaterii splrii de bani sau al activitilor laboratoarelor criminalistice. (20)Dei prezentul regulament se aplic, inter alia, activitilor instanelor i ale altor autoriti judiciare, dreptul Uniunii sau al statelor membre ar putea s precizeze operaiunile i procedurile de prelucrare n ceea ce privete prelucrarea datelor cu caracter personal de ctre instane i alte autoriti judiciare. Prelucrarea datelor cu caracter personal nu ar trebui s fie de competena autoritilor de supraveghere n cazul n care instanele i exercit atribuiile judiciare, n scopul garantrii independenei sistemului judiciar n ndeplinirea sarcinilor sale judiciare, inclusiv n luarea deciziilor. Supravegherea unor astfel de operaiuni de prelucrare a datelor ar trebui s poat fi ncredinat unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui s asigure n special respectarea normelor prevzute de prezentul regulament, s sensibilizeze membrii sistemului judiciar cu privire la obligaiile care le revin n temeiul prezentului regulament i s trateze plngerile n legtur cu astfel de operaiuni de prelucrare a datelor. (21)Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE a Parlamentului European i a Consiliului (2), n special normelor privind rspunderea furnizorilor intermediari de servicii prevzute la articolele 12-15 din directiva menionat. Respectiva directiv i propune s contribuie la buna funcionare a pieei interne, prin asigurarea liberei circulaii a serviciilor societii informaionale ntre statele membre. (2)Directiva 2000/31/CE a Parlamentului European i a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic, pe piaa intern (directiva privind comerul electronic) (JO L 178, 17.7.2000, p. 1). (22)Orice prelucrare a datelor cu caracter personal n cadrul activitilor unui sediu al unui operator sau al unei persoane mputernicite de operator din Uniune ar trebui efectuat n conformitate cu prezentul regulament, indiferent dac procesul de prelucrare n sine are loc sau nu n cadrul Uniunii. Sediul implic exercitarea efectiv i real a unei activiti n cadrul unor nelegeri stabile. Forma juridic a unor astfel de nelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridic, nu este factorul determinant n aceast privin. (23)Pentru a se asigura c persoanele fizice nu sunt lipsite de protecia la care au dreptul n temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de ctre un operator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui s fac obiectul prezentului regulament n cazul n care activitile de prelucrare au legtur cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dac acestea sunt sau nu legate de o plat. Pentru a determina dac un astfel de operator sau o astfel de persoan mputernicit de operator ofer bunuri sau servicii unor persoane vizate care se afl pe teritoriul Uniunii, ar trebui s se stabileasc dac reiese c operatorul sau persoana mputernicit de operator intenioneaz s furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. ntruct simplul fapt c exist acces la un site al operatorului, al persoanei mputernicite de operator sau al unui intermediar n Uniune, c este disponibil o adres de e-mail i alte date de contact sau c este utilizat o limb folosit n general n ara ter n care operatorul i are sediul este insuficient pentru a confirma o astfel de intenie, factori precum utilizarea unei limbi sau a unei monede utilizate n general n unul sau mai multe state membre cu posibilitatea de a comanda bunuri i servicii n respectiva limb sau menionarea unor clieni sau utilizatori care se afl pe teritoriul Uniunii pot conduce la concluzia c operatorul intenioneaz s ofere bunuri sau servicii unor persoane vizate n Uniune. (24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de ctre un operator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui, de asemenea, s fac obiectul prezentului regulament n cazul n care este legat de monitorizarea comportamentului unor astfel de persoane vizate, n msura n care acest comportament se manifest pe teritoriul Uniunii. Pentru a se determina dac o activitate de prelucrare poate fi considerat ca "monitorizare a comportamentului" persoanelor vizate, ar trebui s se stabileasc dac persoanele fizice sunt urmrite pe internet, inclusiv posibila utilizare ulterioar a unor tehnici de prelucrare a datelor cu caracter personal care constau n crearea unui profil al unei persoane fizice, n special n scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinele personale, comportamentele i atitudinile acesteia. (25)n cazul n care dreptul unui stat membru se aplic n temeiul dreptului internaional public, prezentul regulament ar trebui s se aplice, de asemenea, unui operator care nu este stabilit n Uniune, ci, de exemplu, ntr-o misiune diplomatic sau ntr-un oficiu consular al unui stat membru. (26)Principiile proteciei datelor ar trebui s se aplice oricrei informaii referitoare la o persoan fizic identificat sau identificabil. Datele cu caracter personal care au fost supuse pseudonimizrii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaii suplimentare, ar trebui considerate informaii referitoare la o persoan fizic identificabil. Pentru a se determina dac o persoan fizic este identificabil, ar trebui s se ia n considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, n mod rezonabil, s le utilizeze fie operatorul, fie o alt persoan, n scopul identificrii, n mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dac este probabil, n mod rezonabil, s fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luai n considerare toi factorii obiectivi, precum costurile i intervalul de timp necesare pentru identificare, inndu-se seama att de tehnologia disponibil la momentul prelucrrii, ct i de dezvoltarea tehnologic. Principiile proteciei datelor ar trebui, prin urmare, s nu se aplice informaiilor anonime, adic informaiilor care nu sunt legate de o persoan fizic identificat sau identificabil sau datelor cu caracter personal care sunt anonimizate astfel nct persoana vizat nu este sau nu mai este identificabil. Prin urmare, prezentul regulament nu se aplic prelucrrii unor astfel de informaii anonime, inclusiv n cazul n care acestea sunt utilizate n scopuri statistice sau de cercetare. (27)Prezentul regulament nu se aplic datelor cu caracter personal referitoare la persoane decedate. Statele membre pot s prevad norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate. (28)Aplicarea pseudonimizrii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate i poate ajuta operatorii i persoanele mputernicite de acetia s i ndeplineasc obligaiile de protecie a datelor. Introducerea explicit a conceptului de "pseudonimizare" n prezentul regulament nu este destinat s mpiedice alte eventuale msuri de protecie a datelor. (29)Pentru a crea stimulente pentru aplicarea pseudonimizrii atunci cnd sunt prelucrate date cu caracter personal, ar trebui s fie posibile msuri de pseudonimizare, permind n acelai timp analiza general, n cadrul aceluiai operator atunci cnd operatorul a luat msurile tehnice i organizatorice necesare pentru a se asigura c prezentul regulament este pus n aplicare n ceea ce privete respectiva prelucrare a datelor i c informaiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pstrate separat. Operatorul care prelucreaz datele cu caracter personal ar trebui s indice persoanele autorizate din cadrul aceluiai operator. (30)Persoanele fizice pot fi asociate cu identificatorii online furnizai de dispozitivele, aplicaiile, instrumentele i protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau ali identificatori precum etichetele de identificare prin frecvene radio. Acetia pot lsa urme care, n special atunci cnd sunt combinate cu identificatori unici i alte informaii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice i pentru identificarea lor. (31)Autoritile publice crora le sunt divulgate date cu caracter personal n conformitate cu o obligaie legal n vederea exercitrii funciei lor oficiale, cum ar fi autoritile fiscale i vamale, unitile de investigare financiar, autoritile administrative independente sau autoritile pieelor financiare responsabile de reglementarea i supravegherea pieelor titlurilor de valoare, nu ar trebui s fie considerate destinatari n cazul n care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, n conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritile publice ar trebui s fie ntotdeauna prezentate n scris, motivate i ocazionale i nu ar trebui s se refere la un sistem de eviden n totalitate sau s conduc la interconectarea sistemelor de eviden. Prelucrarea datelor cu caracter personal de ctre autoritile publice respective ar trebui s respecte normele aplicabile n materie de protecie a datelor n conformitate cu scopurile prelucrrii. (32)Consimmntul ar trebui acordat printr-o aciune neechivoc care s constituie o manifestare liber exprimat, specific, n cunotin de cauz i clar a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraie fcut n scris, inclusiv n format electronic, sau verbal. Acesta ar putea include bifarea unei csue atunci cnd persoana viziteaz un site, alegerea parametrilor tehnici pentru serviciile societii informaionale sau orice alt declaraie sau aciune care indic n mod clar n acest context acceptarea de ctre persoana vizat a prelucrrii propuse a datelor sale cu caracter personal. Prin urmare, absena unui rspuns, csuele bifate n prealabil sau absena unei aciuni nu ar trebui s constituie un consimmnt. Consimmntul ar trebui s vizeze toate activitile de prelucrare efectuate n acelai scop sau n aceleai scopuri. Dac prelucrarea datelor se face n mai multe scopuri, consimmntul ar trebui dat pentru toate scopurile prelucrrii. n cazul n care consimmntul persoanei vizate trebuie acordat n urma unei cereri transmise pe cale electronic, cererea respectiv trebuie s fie clar i concis i s nu perturbe n mod inutil utilizarea serviciului pentru care se acord consimmntul. (33)Adesea nu este posibil, n momentul colectrii datelor cu caracter personal, s se identifice pe deplin scopul prelucrrii datelor n scopuri de cercetare tiinific. Din acest motiv, persoanelor vizate ar trebui s li se permit s i exprime consimmntul pentru anumite domenii ale cercetrii tiinifice atunci cnd sunt respectate standardele etice recunoscute pentru cercetarea tiinific. Persoanele vizate ar trebui s aib posibilitatea de a-i exprima consimmntul doar pentru anumite domenii de cercetare sau pri ale proiectelor de cercetare n msura permis de scopul preconizat. (34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice motenite sau dobndite ale unei persoane fizice, care rezult n urma unei analize a unei mostre de material biologic al persoanei fizice n cauz, n special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricrui alt element ce permite obinerea unor informaii echivalente. (35)Datele cu caracter personal privind sntatea ar trebui s includ toate datele avnd legtur cu starea de sntate a persoanei vizate care dezvluie informaii despre starea de sntate fizic sau mental trecut, prezent sau viitoare a persoanei vizate. Acestea includ informaii despre persoana fizic colectate n cadrul nscrierii acesteia la serviciile de asisten medical sau n cadrul acordrii serviciilor respective persoanei fizice n cauz, astfel cum sunt menionate n Directiva 2011/24/UE a Parlamentului European i a Consiliului (1); un numr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singular a acesteia n scopuri medicale; informaii rezultate din testarea sau examinarea unei pri a corpului sau a unei substane corporale, inclusiv din date genetice i eantioane de material biologic; precum i orice informaii privind, de exemplu, o boal, un handicap, un risc de mbolnvire, istoricul medical, tratamentul clinic sau starea fiziologic sau biomedical a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. (1)Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienilor n cadrul asistenei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45). (36)Sediul principal al unui operator n Uniune ar trebui s fie locul n care se afl administraia central a acestuia n Uniune, cu excepia cazului n care deciziile privind scopurile i mijloacele de prelucrare a datelor cu caracter personal se iau ntr-un alt sediu al operatorului n Uniune. n acest caz, acesta din urm ar trebui considerat drept sediul principal. Sediul principal al unui operator n Uniune ar trebui s fie determinat conform unor criterii obiective i ar trebui s implice exercitarea efectiv i real a unor activiti de gestionare care s determine principalele decizii cu privire la scopurile i mijloacele de prelucrare n cadrul unor nelegeri stabile. Acest criteriu nu ar trebui s depind de realizarea prelucrrii datelor cu caracter personal n locul respectiv. Prezena i utilizarea mijloacelor tehnice i a tehnologiilor de prelucrare a datelor cu caracter personal sau activitile de prelucrare nu constituie un sediu principal i, prin urmare, nu sunt criteriul determinant n acest sens. Sediul principal al persoanei mputernicite de operator ar trebui s fie locul n care se afl administraia central a acestuia n Uniune sau, n cazul n care nu are o administraie central n Uniune, locul n care se desfoar principalele activiti de prelucrare n Uniune. n cazurile care implic att operatorul, ct i persoana mputernicit de operator, autoritatea de supraveghere principal competent ar trebui s rmn autoritatea de supraveghere a statului membru n care operatorul i are sediul principal, dar autoritatea de supraveghere a persoanei mputernicite de operator ar trebui considerat ca fiind o autoritate de supraveghere vizat i acea autoritate de supraveghere ar trebui s participe la procedura de cooperare prevzut de prezentul regulament. n orice caz, autoritile de supraveghere ale statului membru sau ale statelor membre n care persoana mputernicit de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoriti de supraveghere vizate n cazul n care proiectul de decizie nu se refer dect la operator. n cazul n care prelucrarea este efectuat de un grup de ntreprinderi, sediul principal al ntreprinderii care exercit controlul ar trebui considerat drept sediul principal al grupului de ntreprinderi, cu excepia cazului n care scopurile i mijloacele aferente prelucrrii sunt stabilite de o alt ntreprindere. (37)Un grup de ntreprinderi ar trebui s cuprind o ntreprindere care exercit controlul i ntreprinderile controlate de aceasta, n cadrul cruia ntreprinderea care exercit controlul ar trebui s fie ntreprinderea care poate exercita o influen dominant asupra celorlalte ntreprinderi, de exemplu n temeiul proprietii, al participrii financiare sau al regulilor care o reglementeaz sau al competenei de a pune n aplicare norme n materie de protecie a datelor cu caracter personal. O ntreprindere care controleaz prelucrarea datelor cu caracter personal n ntreprinderile sale afiliate ar trebui considerat, mpreun cu acestea din urm, drept "grup de ntreprinderi". (38)Copiii au nevoie de o protecie specific a datelor lor cu caracter personal, ntruct pot fi mai puin contieni de riscurile, consecinele, garaniile n cauz i drepturile lor n ceea ce privete prelucrarea datelor cu caracter personal. Aceast protecie specific ar trebui s se aplice n special utilizrii datelor cu caracter personal ale copiilor n scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator i la colectarea datelor cu caracter personal privind copiii n momentul utilizrii serviciilor oferite direct copiilor. Consimmntul titularului rspunderii printeti nu ar trebui s fie necesar n contextul serviciilor de prevenire sau consiliere oferite direct copiilor. (39)Orice prelucrare de date cu caracter personal ar trebui s fie legal i echitabil. Ar trebui s fie transparent pentru persoanele fizice c sunt colectate, utilizate, consultate sau prelucrate n alt mod datele cu caracter personal care le privesc i n ce msur datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenei prevede c orice informaii i comunicri referitoare la prelucrarea respectivelor date cu caracter personal sunt uor accesibile i uor de neles i c se utilizeaz un limbaj simplu i clar. Acest principiu se refer n special la informarea persoanelor vizate privind identitatea operatorului i scopurile prelucrrii, precum i la oferirea de informaii suplimentare, pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoanele fizice vizate i dreptul acestora de a li se confirma i comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garaniile i drepturile n materie de prelucrare a datelor cu caracter personal i cu privire la modul n care s i exercite drepturile n legtur cu prelucrarea. n special, scopurile specifice n care datele cu caracter personal sunt prelucrate ar trebui s fie explicite i legitime i s fie determinate la momentul colectrii datelor respective. Datele cu caracter personal ar trebui s fie adecvate, relevante i limitate la ceea ce este necesar pentru scopurile n care sunt prelucrate. Aceasta necesit, n special, asigurarea faptului c perioada pentru care datele cu caracter personal sunt stocate este limitat strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dac scopul prelucrrii nu poate fi ndeplinit n mod rezonabil prin alte mijloace. n vederea asigurrii faptului c datele cu caracter personal nu sunt pstrate mai mult timp dect este necesar, ar trebui s se stabileasc de ctre operator termene pentru tergere sau revizuirea periodic. Ar trebui s fie luate toate msurile rezonabile pentru a se asigura c datele cu caracter personal care sunt inexacte sunt rectificate sau terse. Datele cu caracter personal ar trebui prelucrate ntr-un mod care s asigure n mod adecvat securitatea i confidenialitatea acestora, inclusiv n scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizat a datelor cu caracter personal i a echipamentului utilizat pentru prelucrare. (40)Pentru ca prelucrarea datelor cu caracter personal s fie legal, aceasta ar trebui efectuat pe baza consimmntului persoanei vizate sau n temeiul unui alt motiv legitim, prevzut de lege, fie n prezentul regulament, fie n alt act din dreptul Uniunii sau din dreptul intern, dup cum se prevede n prezentul regulament, inclusiv necesitatea respectrii obligaiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizat este parte sau pentru a parcurge etapele premergtoare ncheierii unui contract, la solicitarea persoanei vizate. (41)Ori de cte ori prezentul regulament face trimitere la un temei juridic sau la o msur legislativ, aceasta nu necesit neaprat un act legislativ adoptat de ctre un parlament, fr a aduce atingere cerinelor care decurg din ordinea constituional a statului membru n cauz. Cu toate acestea, un astfel de temei juridic sau o astfel de msur legislativ ar trebui s fie clar i precis, iar aplicarea acesteia ar trebui s fie previzibil pentru persoanele vizate de aceasta, n conformitate cu jurisprudena Curii de Justiie a Uniunii Europene ("Curtea de Justiie") i a Curii Europene a Drepturilor Omului. (42)n cazul n care prelucrarea se bazeaz pe consimmntul persoanei vizate, operatorul ar trebui s fie n msur s demonstreze faptul c persoana vizat i-a dat consimmntul pentru operaiunea de prelucrare. n special, n contextul unei declaraii scrise cu privire la un alt aspect, garaniile ar trebui s asigure c persoana vizat este contient de faptul c i-a dat consimmntul i n ce msur a fcut acest lucru. n conformitate cu Directiva 93/13/CEE a Consiliului (1), ar trebui furnizat o declaraie de consimmnt formulat n prealabil de ctre operator, ntr-o form inteligibil i uor accesibil, utiliznd un limbaj clar i simplu, iar aceast declaraie nu ar trebui s conin clauze abuzive. Pentru ca acordarea consimmntului s fie n cunotin de cauz, persoana vizat ar trebui s fie la curent cel puin cu identitatea operatorului i cu scopurile prelucrrii pentru care sunt destinate datele cu caracter personal. Consimmntul nu ar trebui considerat ca fiind acordat n mod liber dac persoana vizat nu dispune cu adevrat de libertatea de alegere sau nu este n msur s refuze sau s i retrag consimmntul fr a fi prejudiciat. (1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive n contractele ncheiate cu consumatorii (JO L 95, 21.4.1993, p. 29). (43)Pentru a garanta faptul c a fost acordat n mod liber, consimmntul nu ar trebui s constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal n cazul particular n care exist un dezechilibru evident ntre persoana vizat i operator, n special n cazul n care operatorul este o autoritate public, iar acest lucru face improbabil acordarea consimmntului n mod liber n toate circumstanele aferente respectivei situaii particulare. Consimmntul este considerat a nu fi acordat n mod liber n cazul n care aceasta nu permite s se acorde consimmntul separat pentru diferitele operaiuni de prelucrare a datelor cu caracter personal, dei acest lucru este adecvat n cazul particular, sau dac executarea unui contract, inclusiv furnizarea unui serviciu, este condiionat de consimmnt, n ciuda faptului c consimmntul n cauz nu este necesar pentru executarea contractului. (44)Prelucrarea ar trebui s fie considerat legal n cazul n care este necesar n cadrul unui contract sau n vederea ncheierii unui contract. (45)n cazul n care prelucrarea este efectuat n conformitate cu o obligaie legal a operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care face parte din exercitarea autoritii publice, prelucrarea ar trebui s aib un temei n dreptul Uniunii sau n dreptul intern. Prezentul regulament nu impune existena unei legi specifice pentru fiecare prelucrare n parte. Poate fi suficient o singur lege drept temei pentru mai multe operaiuni de prelucrare efectuate n conformitate cu o obligaie legal a operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care face parte din exercitarea autoritii publice. De asemenea, ar trebui ca scopul prelucrrii s fie stabilit n dreptul Uniunii sau n dreptul intern. Mai mult dect att, dreptul respectiv ar putea s specifice condiiile generale ale prezentului regulament care reglementeaz legalitatea prelucrrii datelor cu caracter personal, s determine specificaiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrrii, a persoanelor vizate, a entitilor crora le pot fi divulgate datele cu caracter personal, a limitrilor n funcie de scop, a perioadei de stocare i a altor msuri pentru a garanta o prelucrare legal i echitabil. De asemenea, ar trebui s se stabileasc n dreptul Uniunii sau n dreptul intern dac operatorul care ndeplinete o sarcin care servete unui interes public sau care face parte din exercitarea autoritii publice ar trebui s fie o autoritate public sau o alt persoan fizic sau juridic guvernat de dreptul public sau, atunci cnd motive de interes public justific acest lucru, inclusiv n scopuri medicale, precum sntatea public i protecia social, precum i gestionarea serviciilor de asisten medical, de dreptul privat, cum ar fi o asociaie profesional. (46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s fie considerat legal n cazul n care este necesar n scopul asigurrii proteciei unui interes care este esenial pentru viaa persoanei vizate sau pentru viaa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuat numai n cazul n care prelucrarea nu se poate baza n mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi att unor motive importante de interes public, ct i intereselor vitale ale persoanei vizate, de exemplu n cazul n care prelucrarea este necesar n scopuri umanitare, inclusiv n vederea monitorizrii unei epidemii i a rspndirii acesteia sau n situaii de urgene umanitare, n special n situaii de dezastre naturale sau provocate de om. (47)Interesele legitime ale unui operator, inclusiv cele ale unui operator cruia i pot fi divulgate datele cu caracter personal sau ale unei tere pri, pot constitui un temei juridic pentru prelucrare, cu condiia s nu prevaleze interesele sau drepturile i libertile fundamentale ale persoanei vizate, lund n considerare ateptrile rezonabile ale persoanelor vizate bazate pe relaia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci cnd exist o relaie relevant i adecvat ntre persoana vizat i operator, cum ar fi cazul n care persoana vizat este un client al operatorului sau se afl n serviciul acestuia. n orice caz, existena unui interes legitim ar necesita o evaluare atent, care s stabileasc inclusiv dac o persoan vizat poate preconiza n mod rezonabil, n momentul i n contextul colectrii datelor cu caracter personal, posibilitatea prelucrrii n acest scop. Interesele i drepturile fundamentale ale persoanei vizate ar putea prevala n special n raport cu interesul operatorului de date atunci cnd datele cu caracter personal sunt prelucrate n circumstane n care persoanele vizate nu preconizeaz n mod rezonabil o prelucrare ulterioar. ntruct legiuitorul trebuie s furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de ctre autoritile publice, temeiul juridic respectiv nu ar trebui s se aplice prelucrrii de ctre autoritile publice n ndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesar n scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date n cauz. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerat ca fiind desfurat pentru un interes legitim. (48)Operatorii care fac parte dintr-un grup de ntreprinderi sau instituii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal n cadrul grupului de ntreprinderi n scopuri administrative interne, inclusiv n scopul prelucrrii datelor cu caracter personal ale clienilor sau angajailor. Principiile generale ale transferului de date cu caracter personal, n cadrul unui grup de ntreprinderi, ctre o ntreprindere situat ntr-o ar ter rmn neschimbate. (49)Prelucrarea datelor cu caracter personal n msura strict necesar i proporional n scopul asigurrii securitii reelelor i a informaiilor, i anume capacitatea unei reele sau a unui sistem de informaii de a face fa, la un anumit nivel de ncredere, evenimentelor accidentale sau aciunilor ilegale sau ru intenionate care compromit disponibilitatea, autenticitatea, integritatea i confidenialitatea datelor cu caracter personal stocate sau transmise, precum i securitatea serviciilor conexe oferite de aceste reele i sisteme, sau accesibile prin intermediul acestora, de ctre autoritile publice, echipele de intervenie n caz de urgen informatic, echipele de intervenie n cazul producerii unor incidente care afecteaz securitatea informatic, furnizorii de reele i servicii de comunicaii electronice, precum i de ctre furnizorii de servicii i tehnologii de securitate, constituie un interes legitim al operatorului de date n cauz. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la reelele de comunicaii electronice i a difuzrii de coduri duntoare i oprirea atacurilor de "blocare a serviciului", precum i prevenirea daunelor aduse calculatoarelor i sistemelor de comunicaii electronice. (50)Prelucrarea datelor cu caracter personal n alte scopuri dect scopurile pentru care datele cu caracter personal au fost iniial colectate ar trebui s fie permis doar atunci cnd prelucrarea este compatibil cu scopurile respective pentru care datele cu caracter personal au fost iniial colectate. n acest caz nu este necesar un temei juridic separat de cel pe baza cruia a fost permis colectarea datelor cu caracter personal. n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, dreptul Uniunii sau dreptul intern poate stabili i specifica sarcinile i scopurile pentru care prelucrarea ulterioar ar trebui considerat a fi compatibil i legal. Prelucrarea ulterioar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice ar trebui considerat ca reprezentnd operaiuni de prelucrare legale compatibile. Temeiul juridic prevzut n dreptul Uniunii sau n dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioar. Pentru a stabili dac scopul prelucrrii ulterioare este compatibil cu scopul pentru care au fost colectate iniial datele cu caracter personal, operatorul, dup ce a ndeplinit toate cerinele privind legalitatea prelucrrii iniiale, ar trebui s in seama, printre altele, de orice legtur ntre respectivele scopuri i scopurile prelucrrii ulterioare preconizate, de contextul n care au fost colectate datele cu caracter personal, n special de ateptrile rezonabile ale persoanelor vizate, bazate pe relaia lor cu operatorul, n ceea ce privete utilizarea ulterioar a datelor, de natura datelor cu caracter personal, de consecinele prelucrrii ulterioare preconizate asupra persoanelor vizate, precum i de existena garaniilor corespunztoare att n cadrul operaiunilor de prelucrare iniiale, ct i n cadrul operaiunilor de prelucrare ulterioare preconizate. n cazul n care persoana vizat i-a dat consimmntul sau prelucrarea se bazeaz pe dreptul Uniunii sau pe dreptul intern, care constituie o msur necesar i proporional ntr-o societate democratic pentru a proteja, n special, obiective importante de interes public general, operatorul ar trebui s aib posibilitatea de a prelucra n continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. n orice caz, aplicarea principiilor stabilite de prezentul regulament i, n special, informarea persoanei vizate cu privire la aceste alte scopuri i la drepturile sale, inclusiv dreptul la opoziie, ar trebui s fie garantate. Indicarea unor posibile infraciuni sau ameninri la adresa siguranei publice de ctre operator i transmiterea ctre o autoritate competent a datelor cu caracter personal relevante n cazuri individuale sau n mai multe cazuri legate de aceeai infraciune sau de aceleai ameninri la adresa siguranei publice ar trebui considerat ca fiind n interesul legitim urmrit de operator. Cu toate acestea, o astfel de transmitere n interesul legitim al operatorului sau prelucrarea ulterioar a datelor cu caracter personal ar trebui interzis n cazul n care prelucrarea nu este compatibil cu o obligaie legal, profesional sau cu o alt obligaie de pstrare a confidenialitii. (51)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile n ceea ce privete drepturile i libertile fundamentale necesit o protecie specific, deoarece contextul prelucrrii acestora ar putea genera riscuri considerabile la adresa drepturilor i libertilor fundamentale. Aceste date cu caracter personal ar trebui s includ datele cu caracter personal care dezvluie originea rasial sau etnic, utilizarea termenului "origine rasial" n prezentul regulament neimplicnd o acceptare de ctre Uniune a teoriilor care urmresc s stabileasc existena unor rase umane separate. Prelucrarea fotografiilor nu ar trebui s fie considerat n mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, ntruct fotografiile intr sub incidena definiiei datelor biometrice doar n cazurile n care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unic sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepia cazului n care prelucrarea este permis n cazuri specifice prevzute de prezentul regulament, innd seama de faptul c dreptul statelor membre poate prevedea dispoziii specifice cu privire la protecia datelor n scopul adaptrii aplicrii normelor din prezentul regulament n vederea respectrii unei obligaii legale sau a ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul. Pe lng cerinele specifice pentru o astfel de prelucrare, ar trebui s se aplice principiile generale i alte norme prevzute de prezentul regulament, n special n ceea ce privete condiiile pentru prelucrarea legal. Ar trebui prevzute n mod explicit derogri de la interdicia general de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci cnd persoana vizat i d consimmntul explicit sau n ceea ce privete nevoile specifice n special atunci cnd prelucrarea este efectuat n cadrul unor activiti legitime de ctre anumite asociaii sau fundaii al cror scop este de a permite exercitarea libertilor fundamentale. (52)Derogarea de la interdicia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui s fie permis, de asemenea, n cazul n care dreptul Uniunii sau dreptul intern prevede acest lucru i ar trebui s fac obiectul unor garanii adecvate, astfel nct s fie protejate datele cu caracter personal i alte drepturi fundamentale, atunci cnd acest lucru se justific din motive de interes public, n special n cazul prelucrrii datelor cu caracter personal n domeniul legislaiei privind ocuparea forei de munc, protecia social, inclusiv pensiile, precum i n scopuri de securitate, supraveghere i alert n materie de sntate, pentru prevenirea sau controlul bolilor transmisibile i a altor ameninri grave la adresa sntii. Aceast derogare poate fi acordat n scopuri medicale, inclusiv sntatea public i gestionarea serviciilor de asisten medical, n special n vederea asigurrii calitii i eficienei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluionarea cererilor de prestaii i servicii n cadrul sistemului de asigurri de sntate, sau n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permis, printr- o derogare, atunci cnd este necesar pentru constatarea, exercitarea sau aprarea unui drept n justiie, indiferent dac are loc n cadrul unei proceduri n faa unei instane sau n cadrul unei proceduri administrative sau a unei proceduri extrajudiciare. (53)Categoriile speciale de date cu caracter personal care necesit un nivel mai ridicat de protecie ar trebui prelucrate doar n scopuri legate de sntate atunci cnd este necesar pentru realizarea acestor scopuri n beneficiul persoanelor fizice i al societii n general, n special n contextul gestionrii serviciilor i sistemelor de sntate sau de asisten social, inclusiv prelucrarea acestor date de ctre autoritile de management i de ctre autoritile centrale naionale din domeniul sntii n scopul controlului calitii, furnizrii de informaii de gestiune i al supravegherii generale a sistemului de sntate sau de asisten social la nivel naional i local, precum i n contextul asigurrii continuitii asistenei medicale sau sociale i a asistenei medicale transfrontaliere ori n scopuri de securitate, supraveghere i alert n materie de sntate ori n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice n temeiul dreptului Uniunii sau al dreptului intern, care trebuie s urmreasc un obiectiv de interes public, precum i n cazul studiilor realizate n interes public n domeniul sntii publice. Prin urmare, prezentul regulament ar trebui s prevad condiii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sntatea, n ceea ce privete nevoile specifice, n special atunci cnd prelucrarea acestor date este efectuat n anumite scopuri legate de sntate de ctre persoane care fac obiectul unei obligaii legale de a pstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui s prevad msuri specifice i adecvate pentru a proteja drepturile fundamentale i datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui s aib posibilitatea de a menine sau de a introduce condiii suplimentare, inclusiv restricii, n ceea ce privete prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sntatea. Totui, acest lucru nu ar trebui s mpiedice libera circulaie a datelor cu caracter personal n cadrul Uniunii atunci cnd aceste condiii se aplic prelucrrii transfrontaliere a unor astfel de date. (54)Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesar din motive de interes public n domeniile sntii publice, fr consimmntul persoanei vizate. O astfel de prelucrare ar trebui condiionat de msuri adecvate i specifice destinate s protejeze drepturile i libertile persoanelor fizice. n acest context, conceptul de "sntate public" ar trebui interpretat astfel cum este definit n Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al Consiliului (1), i anume toate elementele referitoare la sntate i anume starea de sntate, inclusiv morbiditatea sau handicapul, factorii determinani care au efect asupra strii de sntate, necesitile n domeniul asistenei medicale, resursele alocate asistenei medicale, furnizarea asistenei medicale i asigurarea accesului universal la aceasta, precum i cheltuielile i sursele de finanare n domeniul sntii i cauzele mortalitii. Aceast prelucrare a datelor privind sntatea din motive de interes public nu ar trebui s duc la prelucrarea acestor date n alte scopuri de ctre pri tere, cum ar fi angajatorii sau societile de asigurri i bncile. (1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sntatea public, precum i la sntatea i sigurana la locul de munc (JO L 354, 31.12.2008, p. 70). (55)n plus, prelucrarea datelor cu caracter personal de ctre autoritile publice n vederea realizrii obiectivelor prevzute de dreptul constituional sau de dreptul internaional public, ale asociaiilor religioase recunoscute oficial se efectueaz din motive de interes public. (56)n cazul n care, n cadrul activitilor electorale, funcionarea sistemului democratic necesit, ntr-un stat membru, ca partidele politice s colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permis din motive de interes public, cu condiia s se prevad garaniile corespunztoare. (57)Dac datele cu caracter personal prelucrate de un operator nu i permit acestuia s identifice o persoan fizic, operatorul de date nu ar trebui s aib obligaia de a obine informaii suplimentare n vederea identificrii persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui s refuze s preia informaiile suplimentare furnizate de persoana vizat cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui s includ identificarea digital a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleai acreditri utilizate de ctre persoana vizat pentru a accesa serviciile online oferite de operatorul de date. (58)Principiul transparenei prevede c orice informaii care se adreseaz publicului sau persoanei vizate s fie concise, uor accesibile i uor de neles i s se utilizeze un limbaj simplu i clar, precum i vizualizare acolo unde este cazul. Aceste informaii ar putea fi furnizate n format electronic, de exemplu atunci cnd sunt adresate publicului, prin intermediul unui site. Acest lucru este important n special n situaii n care datorit multitudinii actorilor i a complexitii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizat s tie i s neleag dac datele cu caracter personal care o privesc sunt colectate, de ctre cine i n ce scop, cum este cazul publicitii online. ntruct copii necesit o protecie specific, orice informaii i orice comunicare, n cazul n care prelucrarea vizeaz un copil, ar trebui s fie exprimate ntr-un limbaj simplu i clar, astfel nct copilul s l poat nelege cu uurin. (59)Ar trebui s fie prevzute modaliti de facilitare a exercitrii de ctre persoana vizat a drepturilor care i sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita i, dac este cazul, obine, n mod gratuit, n special, acces la datele cu caracter personal, precum i rectificarea sau tergerea acestora, i exercitarea dreptului la opoziie. Operatorul ar trebui s ofere, de asemenea, modaliti de introducere a cererilor pe cale electronic, mai ales n cazul n care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui s aib obligaia de a rspunde cererilor persoanelor vizate fr ntrzieri nejustificate i cel trziu n termen de o lun i, n cazul n care nu intenioneaz s se conformeze respectivele cereri, s motiveze acest refuz. (60)Conform principiilor prelucrrii echitabile i transparente, persoana vizat este informat cu privire la existena unei operaiuni de prelucrare i la scopurile acesteia. Operatorul ar trebui s furnizeze persoanei vizate orice informaii suplimentare necesare pentru a asigura o prelucrare echitabil i transparent, innd seama de circumstanele specifice i de contextul n care sunt prelucrate datele cu caracter personal. n plus, persoana vizat ar trebui informat cu privire la crearea de profiluri, precum i la consecinele acesteia. Atunci cnd datele cu caracter personal sunt colectate de la persoana vizat, aceasta ar trebui informat, de asemenea, dac are obligaia de a furniza datele cu caracter personal i care sunt consecinele n cazul unui refuz. Aceste informaii pot fi furnizate n combinaie cu pictograme standardizate pentru a oferi ntr-un mod uor vizibil, inteligibil i clar lizibil o imagine de ansamblu semnificativ asupra prelucrrii avute n vedere. n cazul n care pictogramele sunt prezentate n format electronic, acestea ar trebui s poat fi citite automat. (61)Informaiile n legtur cu prelucrarea datelor cu caracter personal referitoare la persoana vizat ar trebui furnizate acesteia la momentul colectrii de la persoana vizat sau, n cazul n care datele cu caracter personal sunt obinute din alt surs, ntr-o perioad rezonabil, n funcie de circumstanele cazului. n cazul n care datele cu caracter personal pot fi divulgate n mod legitim unui alt destinatar, persoana vizat ar trebui informat atunci cnd datele cu caracter personal sunt divulgate pentru prima dat destinatarului. n cazul n care operatorul intenioneaz s prelucreze datele cu caracter personal ntr-un alt scop dect cel pentru care acestea au fost colectate, operatorul ar trebui s furnizeze persoanei vizate, nainte de aceast prelucrare ulterioar, informaii privind scopul secundar respectiv i alte informaii necesare. n cazul n care originea datelor cu caracter personal nu a putut fi comunicat persoanei vizate din cauz c au fost utilizate surse diverse, informaiile generale ar trebui furnizate. (62)Cu toate acestea, nu este necesar impunerea obligaiei de a furniza informaii n cazul n care persoana vizat deine deja informaiile, n cazul n care nregistrarea sau divulgarea datelor cu caracter personal este prevzut n mod expres de lege sau n cazul n care informarea persoanei vizate se dovedete imposibil sau ar implica eforturi disproporionate. Acesta din urm ar putea fi cazul n special atunci cnd prelucrarea se efectueaz n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. n aceast privin, ar trebui luate n considerare numrul persoanelor vizate, vechimea datelor i orice garanii adecvate adoptate. (63)O persoan vizat ar trebui s aib drept de acces la datele cu caracter personal colectate care o privesc i ar trebui s i exercite acest drept cu uurin i la intervale de timp rezonabile, pentru a fi informat cu privire la prelucrare i pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sntatea, de exemplu datele din registrele lor medicale coninnd informaii precum diagnostice, rezultate ale examinrilor, evaluri ale medicilor curani i orice tratament sau intervenie efectuat. Orice persoan vizat ar trebui, prin urmare, s aib dreptul de a cunoate i de a i se comunica n special scopurile n care sunt prelucrate datele, dac este posibil perioada pentru care se prelucreaz datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automat a datelor cu caracter personal i, cel puin n cazul n care se bazeaz pe crearea de profiluri, consecinele unei astfel de prelucrri. Dac acest lucru este posibil, operatorul de date ar trebui s poat furniza acces de la distan la un sistem sigur, care s ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui s aduc atingere drepturilor sau libertilor altora, inclusiv secretului comercial sau proprietii intelectuale i, n special, drepturilor de autor care asigur protecia programelor software. Cu toate acestea, consideraiile de mai sus nu ar trebui s aib drept rezultat refuzul de a furniza toate informaiile persoanei vizate. Atunci cnd operatorul prelucreaz un volum mare de informaii privind persoana vizat, operatorul ar trebui s poat solicita ca, nainte de a i fi furnizate informaiile, persoana vizat s precizeze informaiile sau activitile de prelucrare la care se refer cererea sa. (64)Operatorul ar trebui s ia toate msurile rezonabile pentru a verifica identitatea unei persoane vizate care solicit acces la date, n special n contextul serviciilor online i al identificatorilor online. Un operator nu ar trebui s rein datele cu caracter personal n scopul exclusiv de a fi n msur s reacioneze la cereri poteniale. (65)O persoan vizat ar trebui s aib dreptul la rectificarea datelor cu caracter personal care o privesc i "dreptul de a fi uitat", n cazul n care pstrarea acestor date ncalc prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidena cruia intr operatorul. n special, persoanele vizate ar trebui s aib dreptul ca datele lor cu caracter personal s fie terse i s nu mai fie prelucrate, n cazul n care datele cu caracter personal nu mai sunt necesare pentru scopurile n care sunt colectate sau sunt prelucrate, n cazul n care persoanele vizate i-au retras consimmntul pentru prelucrare sau n cazul n care acestea se opun prelucrrii datelor cu caracter personal care le privesc sau n cazul n care prelucrarea datelor cu caracter personal ale acestora nu este conform cu prezentul regulament. Acest drept este relevant n special n cazul n care persoana vizat i-a dat consimmntul cnd era copil i nu cunotea pe deplin riscurile pe care le implic prelucrarea, iar ulterior dorete s elimine astfel de date cu caracter personal, n special de pe internet. Persoana vizat ar trebui s aib posibilitatea de a-i exercita acest drept n pofida faptului c nu mai este copil. Cu toate acestea, pstrarea n continuare a datelor cu caracter personal ar trebui s fie legal n cazul n care este necesar pentru exercitarea dreptului la libertatea de exprimare i de informare, pentru respectarea unei obligaii legale, pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, din motive de interes public n domeniul sntii publice, n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice sau pentru constatarea, exercitarea sau aprarea unui drept n instan. (66)Pentru a se consolida "dreptul de a fi uitat" n mediul online, dreptul de tergere ar trebui s fie extins astfel nct un operator care a fcut publice date cu caracter personal ar trebui s aib obligaia de a informa operatorii care prelucreaz respectivele date cu caracter personal s tearg orice linkuri ctre datele respective sau copii sau reproduceri ale acestora. n acest scop, operatorul n cauz ar trebui s ia msuri rezonabile, innd seama de tehnologia disponibil i de mijloacele aflate la dispoziia lui, inclusiv msuri tehnice, pentru a informa operatorii care prelucreaz datele cu caracter personal n ceea ce privete cererea persoanei vizate. (67)Metodele de restricionare a prelucrrii de date cu caracter personal ar putea include, printre altele, mutarea temporar a datelor cu caracter personal selectate ntr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau nlturarea temporar a datelor publicate de pe un site. n ceea ce privete sistemele automatizate de eviden a datelor, restricionarea prelucrrii ar trebui, n principiu, asigurat prin mijloace tehnice n aa fel nct datele cu caracter personal s nu fac obiectul unor operaiuni de prelucrare ulterioar i s nu mai poat fi schimbate. Faptul c prelucrarea datelor cu caracter personal este restricionat ar trebui indicat n mod clar n sistem. (68)Pentru a spori suplimentar controlul asupra propriilor date, persoana vizat ar trebui, n cazul n care datele cu caracter personal sunt prelucrate prin mijloace automate, s poat primi datele cu caracter personal care o privesc i pe care le-a furnizat unui operator, ntr-un format structurat, utilizat n mod curent, prelucrabil automat i interoperabil i s le poat transmite unui alt operator. Operatorii de date ar trebui s fie ncurajai s dezvolte formate interoperabile care s permit portabilitatea datelor. Acest drept ar trebui s se aplice n cazul n care persoana vizat a furnizat datele cu caracter personal pe baza propriului consimmnt sau n cazul n care prelucrarea datelor este necesar pentru executarea unui contract. Acest drept nu ar trebui s se aplice n cazul n care prelucrarea se bazeaz pe un alt temei juridic dect consimmntul sau contractul. Prin nsi natura sa, acest drept nu ar trebui exercitat mpotriva operatorilor care prelucreaz date cu caracter personal n cadrul exercitrii funciilor lor publice. Acesta nu ar trebui s se aplice n special n cazul n care prelucrarea de date cu caracter personal este necesar n vederea respectrii unei obligaii legale creia i este supus operatorul sau n cazul ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea unei autoriti publice cu care este nvestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui s creeze pentru operatori obligaia de a adopta sau de a menine sisteme de prelucrare care s fie compatibile din punct de vedere tehnic. n cazul n care, ntr-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui s aduc atingere drepturilor i libertilor altor persoane vizate, n conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui s aduc atingere dreptului persoanei vizate de a obine tergerea datelor cu caracter personal i limitrilor dreptului respectiv, astfel cum sunt prevzute n prezentul regulament, i nu ar trebui, n special, s implice tergerea acelor date cu caracter personal referitoare la persoana vizat care au fost furnizate de ctre aceasta n vederea executrii unui contract, n msura n care i att timp ct datele respective sunt necesare pentru executarea contractului. Persoana vizat ar trebui s aib dreptul ca datele cu caracter personal s fie transmise direct de la un operator la altul, dac acest lucru este fezabil din punct de vedere tehnic. (69)n cazurile n care datele cu caracter personal ar putea fi prelucrate n mod legal deoarece prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei pri tere, o persoan vizat ar trebui s aib totui dreptul de a se opune prelucrrii oricror date cu caracter personal care se refer la situaia sa particular. Ar trebui s revin operatorului sarcina de a demonstra c interesele sale legitime i imperioase prevaleaz asupra intereselor sau a drepturilor i libertilor fundamentale ale persoanei vizate. (70)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de marketing direct, persoana vizat ar trebui s aib dreptul de a se opune unei astfel de prelucrri, inclusiv crerii de profiluri n msura n care aceasta are legtur cu marketingul direct, indiferent dac prelucrarea n cauz este cea iniial sau una ulterioar, n orice moment i n mod gratuit. Acest drept ar trebui adus n mod explicit n atenia persoanei vizate i prezentat n mod clar i separat de orice alte informaii. (71)Persoana vizat ar trebui s aib dreptul de a nu face obiectul unei decizii, care poate include o msur, care evalueaz aspecte personale referitoare la persoana vizat, care se bazeaz exclusiv pe prelucrarea automat i care produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronic, fr intervenie uman. O astfel de prelucrare include "crearea de profiluri", care const n orice form de prelucrare automat a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoan fizic, n special n vederea analizrii sau preconizrii anumitor aspecte privind randamentul la locul de munc al persoanei vizate, situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau comportamentul, locaia sau deplasrile, atunci cnd aceasta produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrri, inclusiv crearea de profiluri, ar trebui permis n cazul n care este autorizat n mod expres n dreptul Uniunii sau n dreptul intern care se aplic operatorului, inclusiv n scopul monitorizrii i prevenirii fraudei i a evaziunii fiscale, desfurate n conformitate cu reglementrile, standardele i recomandrile instituiilor Uniunii sau ale organismelor naionale de supraveghere, i n scopul asigurrii securitii i fiabilitii unui serviciu oferit de operator sau n cazul n care este necesar pentru ncheierea sau executarea unui contract ntre persoana vizat i un operator sau n cazul n care persoana vizat i-a dat n mod explicit consimmntul. n orice caz, o astfel de prelucrare ar trebui s fac obiectul unor garanii corespunztoare, care ar trebui s includ o informare specific a persoanei vizate i dreptul acesteia de a obine intervenie uman, de a- i exprima punctul de vedere, de a primi o explicaie privind decizia luat n urma unei astfel de evaluri, precum i dreptul de a contesta decizia. O astfel de msur nu ar trebui s se refere la un copil. Pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoana vizat, avnd n vedere circumstanele specifice i contextul n care sunt prelucrate datele cu caracter personal, operatorul ar trebui s utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, s implementeze msuri tehnice i organizatorice adecvate pentru a asigura n special faptul c factorii care duc la inexactiti ale datelor cu caracter personal sunt corectai i c riscul de erori este redus la minimum, precum i s securizeze datele cu caracter personal ntr-un mod care s in seama de pericolele poteniale la adresa intereselor i drepturilor persoanei vizate i care s previn, printre altele, efectele discriminatorii mpotriva persoanelor pe motiv de ras sau origine etnic, opinii politice, religie sau convingeri, apartenen sindical, caracteristici genetice, stare de sntate sau orientare sexual sau care s duc la msuri care s aib astfel de efecte. Procesul decizional automatizat i crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai n condiii specifice. (72)Crearea de profiluri este supus normelor prezentului regulament care reglementeaz prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrrii sau principiile de protecie a datelor. Comitetul european pentru protecia datelor instituit prin prezentul regulament ("comitetul") ar trebui s poat emite orientri n acest context. (73)Dreptul Uniunii sau dreptul intern poate impune restricii n privina unor principii specifice, n privina dreptului de informare, a dreptului de acces la datele cu caracter personal i de rectificare sau tergere a acestora, n privina dreptului la portabilitatea datelor, a dreptului la opoziie, a deciziilor bazate pe crearea de profiluri, precum i n privina comunicrii unei nclcri a securitii datelor cu caracter personal persoanei vizate i a anumitor obligaii conexe ale operatorilor, n msura n care acest lucru este necesar i proporional ntr-o societate democratic pentru a se garanta sigurana public, inclusiv protecia vieii oamenilor, n special ca rspuns la dezastre naturale sau provocate de om, prevenirea, investigarea i urmrirea penal a infraciunilor sau executarea pedepselor, inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice sau mpotriva nclcrii eticii n cazul profesiilor reglementate i prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, n special un interes economic sau financiar important al Uniunii sau al unui stat membru, meninerea de registre publice din motive de interes public general, prelucrarea ulterioar a datelor cu caracter personal arhivate pentru a transmite informaii specifice legate de comportamentul politic n perioada regimurilor fostelor state totalitare, protecia persoanei vizate sau a drepturilor i libertilor unor teri, inclusiv protecia social, sntatea public i scopurile umanitare. Aceste restricii ar trebui s fie conforme cu cerinele prevzute de cart i de Convenia european pentru aprarea drepturilor omului i a libertilor fundamentale. (74)Ar trebui s se stabileasc responsabilitatea i rspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuat de ctre acesta sau n numele su. n special, operatorul ar trebui s fie obligat s implementeze msuri adecvate i eficace i s fie n msur s demonstreze conformitatea activitilor de prelucrare cu prezentul regulament, inclusiv eficacitatea msurilor. Aceste msuri ar trebui s in seama de natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i de riscul pentru drepturile i libertile persoanelor fizice. (75)Riscul pentru drepturile i libertile persoanelor fizice, prezentnd grade diferite de probabilitate de materializare i de gravitate, poate fi rezultatul unei prelucrri a datelor cu caracter personal care ar putea genera prejudicii de natur fizic, material sau moral, n special n cazurile n care: prelucrarea poate conduce la discriminare, furt sau fraud a identitii, pierdere financiar, compromiterea reputaiei, pierderea confidenialitii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizat a pseudonimizrii sau la orice alt dezavantaj semnificativ de natur economic sau social; persoanele vizate ar putea fi private de drepturile i libertile lor sau mpiedicate s-i exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvluie originea rasial sau etnic, opiniile politice, religia sau convingerile filozofice, apartenena sindical; sunt prelucrate date genetice, date privind sntatea sau date privind viaa sexual sau privind condamnrile penale i infraciunile sau msurile de securitate conexe; sunt evaluate aspecte de natur personal, n special analizarea sau previzionarea unor aspecte privind randamentul la locul de munc, situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau comportamentul, locaia sau deplasrile, n scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, n special ale unor copii; sau prelucrarea implic un volum mare de date cu caracter personal i afecteaz un numr larg de persoane vizate. (76)Probabilitatea de a se materializa i gravitatea riscului pentru drepturile i libertile persoanei vizate ar trebui s fie determinate n funcie de natura, domeniul de aplicare, contextul i scopurile prelucrrii datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluri obiective prin care se stabilete dac operaiunile de prelucrare a datelor prezint un risc sau un risc ridicat. (77)Orientri pentru implementarea unor msuri adecvate i pentru demonstrarea conformitii de ctre operator sau persoana mputernicit de operator, mai ales n ceea ce privete identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilitii de a se materializa i al gravitii, precum i identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite n special prin coduri de conduit aprobate, certificri aprobate, orientri ale comitetului sau prin indicaii furnizate de un responsabil cu protecia datelor. Comitetul poate, de asemenea, s emit orientri cu privire la operaiunile de prelucrare care sunt considerate puin susceptibile de a genera un risc ridicat pentru drepturile i libertile persoanelor fizice i s indice msurile care se pot dovedi suficiente n asemenea cazuri pentru a aborda un astfel de risc. (78)Protecia drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal necesit adoptarea de msuri tehnice i organizatorice corespunztoare pentru a se asigura ndeplinirea cerinelor din prezentul regulament. Pentru a fi n msur s demonstreze conformitatea cu prezentul regulament, operatorul ar trebui s adopte politici interne i s pun n aplicare msuri care s respecte n special principiul proteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor. Astfel de msuri ar putea consta, printre altele, n reducerea la minimum a prelucrrii datelor cu caracter personal, pseudonimizarea acestor date ct mai curnd posibil, transparena n ceea ce privete funciile i prelucrarea datelor cu caracter personal, abilitarea persoanei vizate s monitorizeze prelucrarea datelor, abilitarea operatorului s creeze elemente de siguran i s le mbunteasc. Atunci cnd elaboreaz, proiecteaz, selecteaz i utilizeaz aplicaii, servicii i produse care se bazeaz pe prelucrarea datelor cu caracter personal sau care prelucreaz date cu caracter personal pentru a-i ndeplini rolul, productorii acestor produse i furnizorii acestor servicii i aplicaii ar trebui s fie ncurajai s aib n vedere dreptul la protecia datelor la momentul elaborrii i proiectrii unor astfel de produse, servicii i aplicaii i, innd cont de stadiul actual al dezvoltrii, s se asigure c operatorii i persoanele mputernicite de operatori sunt n msur s i ndeplineasc obligaiile referitoare la protecia datelor. Principiul proteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor ar trebui s fie luate n considerare i n contextul licitaiilor publice. (79)Protecia drepturilor i libertilor persoanelor vizate, precum i responsabilitatea i rspunderea operatorilor i a persoanelor mputernicite de operator, inclusiv n ceea ce privete monitorizarea de ctre autoritile de supraveghere i msurile adoptate de acestea, necesit o atribuire clar a responsabilitilor n temeiul prezentului regulament, inclusiv n cazul n care un operator stabilete scopurile i mijloacele prelucrrii mpreun cu ali operatori sau n cazul n care o operaiune de prelucrare este efectuat n numele unui operator. (80)Atunci cnd un operator sau o persoan mputernicit de operator care nu este stabilit n Uniune prelucreaz date cu caracter personal ale unor persoane vizate care se afl pe teritoriul Uniunii, iar activitile sale de prelucrare au legtur cu oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac se solicit sau nu efectuarea unei pli de ctre persoana vizat, sau cu monitorizarea comportamentului unor persoane vizate dac acesta se manifest n cadrul Uniunii, operatorul sau persoana mputernicit de operator ar trebui s desemneze un reprezentant, cu excepia cazului n care prelucrarea are caracter ocazional, nu include prelucrarea pe scar larg a unor categorii speciale de date cu caracter personal i nici prelucrarea de date referitoare la condamnri penale i la infraciuni, i este puin susceptibil s genereze un risc pentru drepturile i libertile persoanelor fizice, avnd n vedere natura, contextul, domeniul de aplicare i scopurile prelucrrii, precum i a cazului n care operatorul este o autoritate public sau un organism public. Reprezentantul ar trebui s acioneze n numele operatorului sau al persoanei mputernicite de operator, putnd fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat n mod explicit, printr-un mandat scris al operatorului sau al persoanei mputernicite de operator, s acioneze n numele acestuia (acesteia) n ceea ce privete obligaiile lor n temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere responsabilitii sau rspunderii operatorului sau a persoanei mputernicite de operator n temeiul prezentului regulament. Un astfel de reprezentant ar trebui s i ndeplineasc sarcinile n conformitate cu mandatul primit de la operator sau de la persoana mputernicit de operator, inclusiv s coopereze cu autoritile de supraveghere competente n ceea ce privete orice aciune ntreprins pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui s fie supus unor proceduri de asigurare a respectrii legii n cazul nerespectrii prezentului regulament de ctre operator sau de ctre persoana mputernicit de operator. (81)Pentru a asigura respectarea cerinelor impuse de prezentul regulament n ceea ce privete prelucrarea care trebuie efectuat n numele operatorului de ctre persoana mputernicit de operator, atunci cnd atribuie activiti de prelucrare unei persoane mputernicite de operator, acesta din urm ar trebui s utilizeze numai persoane mputernicite care ofer garanii suficiente, n special n ceea ce privete cunotinele de specialitate, fiabilitatea i resursele, pentru a implementa msuri tehnice i organizatorice care ndeplinesc cerinele impuse de prezentul regulament, inclusiv pentru securitatea prelucrrii. Aderarea de ctre persoana mputernicit de operator la un cod de conduit aprobat sau la un mecanism de certificare aprobat poate fi utilizat drept element care s demonstreze respectarea obligaiilor de ctre operator. Efectuarea prelucrrii de ctre o persoan mputernicit de un operator ar trebui s fie reglementat printr-un contract sau un alt tip de act juridic, n temeiul dreptului Uniunii sau al dreptului intern, care creeaz obligaii pentru persoana mputernicit de operator n raport cu operatorul i care stabilete obiectul i durata prelucrrii, natura i scopurile prelucrrii, tipul de date cu caracter personal i categoriile de persoane vizate, i ar trebui s in seama de sarcinile i responsabilitile specifice ale persoanei mputernicite de operator n contextul prelucrrii care trebuie efectuat, precum i de riscul pentru drepturile i libertile persoanei vizate. Operatorul i persoana mputernicit de operator pot alege s utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere n conformitate cu mecanismul de asigurare a coerenei i apoi adoptate de Comisie. Dup finalizarea prelucrrii n numele operatorului, persoana mputernicit de operator ar trebui s returneze sau s tearg, n funcie de opiunea operatorului, datele cu caracter personal, cu excepia cazului n care exist o cerin de stocare a datelor cu caracter personal n temeiul dreptului Uniunii sau al dreptului intern care instituie obligaii pentru persoana mputernicit de operator. (82)n vederea demonstrrii conformitii cu prezentul regulament, operatorul sau persoana mputernicit de operator ar trebui s pstreze evidene ale activitilor de prelucrare aflate n responsabilitatea sa. Fiecare operator i fiecare persoan mputernicit de operator ar trebui s aib obligaia de a coopera cu autoritatea de supraveghere i de a pune la dispoziia acesteia, la cerere, aceste evidene, pentru a putea fi utilizate n scopul monitorizrii operaiunilor de prelucrare respective. (83)n vederea meninerii securitii i a prevenirii prelucrrilor care ncalc prezentul regulament, operatorul sau persoana mputernicit de operator ar trebui s evalueze riscurile inerente prelucrrii i s implementeze msuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Msurile respective ar trebui s asigure un nivel corespunztor de securitate, inclusiv confidenialitatea, lund n considerare stadiul actual al dezvoltrii i costurile implementrii n raport cu riscurile i cu natura datelor cu caracter personal a cror protecie trebuie asigurat. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui s se acorde atenie riscurilor pe care le prezint prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizat sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate n alt mod, n mod accidental sau ilegal, care pot duce n special la prejudicii fizice, materiale sau morale. (84)Pentru a favoriza respectarea dispoziiilor prezentului regulament n cazurile n care operaiunile de prelucrare sunt susceptibile s genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, operatorul ar trebui s fie responsabil de efectuarea unei evaluri a impactului asupra proteciei datelor, care s estimeze, n special, originea, natura, specificitatea i gravitatea acestui risc. Rezultatul evalurii ar trebui luat n considerare la stabilirea msurilor adecvate care trebuie luate pentru a demonstra c prelucrarea datelor cu caracter personal respect prezentul regulament. n cazul n care o evaluare a impactului asupra proteciei datelor arat c operaiunile de prelucrare implic un risc ridicat, pe care operatorul nu l poate atenua prin msuri adecvate sub aspectul tehnologiei disponibile i al costurilor implementrii, ar trebui s aib loc o consultare a autoritii de supraveghere nainte de prelucrare. (85)Dac nu este soluionat la timp i ntr-un mod adecvat, o nclcare a securitii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraud de identitate, pierdere financiar, inversarea neautorizat a pseudonimizrii, compromiterea reputaiei, pierderea confidenialitii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natur economic sau social adus persoanei fizice n cauz. Prin urmare, de ndat ce a luat cunotin de producerea unei nclcri a securitii datelor cu caracter personal, operatorul ar trebui s notifice aceast nclcare autoritii de supraveghere, fr ntrziere nejustificat i, dac este posibil, n cel mult 72 de ore dup ce a luat la cunotin de existena acesteia, cu excepia cazului n care operatorul este n msur s demonstreze, n conformitate cu principiul responsabilitii, c nclcarea securitii datelor cu caracter personal nu este susceptibil s genereze un risc pentru drepturile i libertile persoanelor fizice. Atunci cnd notificarea nu se poate realiza n termen de 72 de ore, aceasta ar trebui s cuprind motivele ntrzierii, iar informaiile pot fi furnizate treptat, fr alt ntrziere. (86)Operatorul ar trebui s comunice persoanei vizate o nclcare a securitii datelor cu caracter personal, fr ntrzieri nejustificate, atunci cnd nclcarea este susceptibil s genereze un risc ridicat pentru drepturile i libertile persoanei fizice, pentru a-i permite s ia msurile de precauie necesare. Comunicarea ar trebui s descrie natura nclcrii securitii datelor cu caracter personal i s cuprind recomandri pentru persoana fizic n cauz n scopul atenurii eventualelor efecte negative. Comunicrile ctre persoanele vizate ar trebui efectuate n cel mai scurt timp posibil n mod rezonabil i n strns cooperare cu autoritatea de supraveghere, respectndu-se orientrile furnizate de aceasta sau de alte autoriti competente, cum ar fi autoritile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine ctre persoanele vizate, n timp ce necesitatea de a implementa msuri corespunztoare mpotriva nclcrii n continuare a securitii datelor cu caracter personal sau mpotriva unor nclcri similare ale securitii datelor cu caracter personal ar putea justifica un termen mai ndelungat pentru comunicare. (87)Ar trebui s se stabileasc dac au fost implementate toate msurile tehnologice de protecie i organizatorice corespunztoare n scopul de a se stabili imediat dac s-a produs o nclcare a securitii datelor cu caracter personal i de a se informa cu promptitudine autoritatea de supraveghere i persoana vizat. Faptul c notificarea a fost efectuat fr ntrziere nejustificat ar trebui stabilit lundu-se n considerare, n special, natura i gravitatea nclcrii securitii datelor cu caracter personal, precum i consecinele i efectele negative ale acesteia asupra persoanei vizate. Aceast notificare poate conduce la o intervenie a autoritii de supraveghere, n conformitate cu sarcinile i competenele specificate n prezentul regulament. (88)La stabilirea de norme detaliate privind formatul i procedurile aplicabile notificrii referitoare la nclcrile securitii datelor cu caracter personal, ar trebui s se acorde atenia cuvenit circumstanelor n care a avut loc nclcarea, stabilindu-se inclusiv dac protecia datelor cu caracter personal a fost sau nu a fost asigurat prin msuri tehnice de protecie corespunztoare, care s limiteze efectiv probabilitatea fraudrii identitii sau a altor forme de utilizare abuziv. n plus, astfel de norme i proceduri ar trebui s in cont de interesele legitime ale autoritilor de aplicare a legii n cazurile n care divulgarea timpurie ar putea ngreuna n mod inutil investigarea circumstanelor n care a avut loc o nclcare a datelor cu caracter personal. (89)Directiva 95/46/CE a prevzut o obligaie general de a notifica prelucrarea datelor cu caracter personal autoritilor de supraveghere. Cu toate c obligaia respectiv genereaz sarcini administrative i financiare, aceasta nu a contribuit ntotdeauna la mbuntirea proteciei datelor cu caracter personal. Prin urmare, astfel de obligaii de notificare general nedifereniat ar trebui s fie abrogate i nlocuite cu proceduri i mecanisme eficace care s pun accentul, n schimb, pe acele tipuri de operaiuni de prelucrare susceptibile s genereze un risc ridicat pentru drepturile i libertile persoanelor fizice prin nsi natura lor, prin domeniul lor de aplicare, prin contextul i prin scopurile lor. Astfel de tipuri de operaiuni de prelucrare pot fi cele care presupun, n special, utilizarea unor noi tehnologii sau care reprezint un nou tip de operaiuni, pentru care nicio evaluare a impactului asupra proteciei datelor nu a fost efectuat anterior de ctre operator ori care devin necesare dat fiind perioada de timp care s-a scurs de la prelucrarea iniial. (90)n astfel de cazuri, operatorul ar trebui s efectueze, nainte de prelucrare, o evaluare a impactului asupra proteciei datelor, n scopul evalurii gradului specific de probabilitate a materializrii riscului ridicat i gravitatea acestuia, avnd n vedere natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i sursele riscului. Respectiva evaluare a impactului ar trebui s includ, n special, msurile, garaniile i mecanismele avute n vedere pentru atenuarea riscului respectiv, pentru asigurarea proteciei datelor cu caracter personal i pentru demonstrarea conformitii cu prezentul regulament. (91)Aceasta ar trebui s se aplice, n special, operaiunilor de prelucrare la scar larg, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, naional sau supranaional, care ar putea afecta un numr mare de persoane vizate i care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitii lor, n cazul n care, n conformitate cu nivelul atins al cunotinelor tehnologice, se folosete la scar larg o tehnologie nou, precum i altor operaiuni de prelucrare care genereaz un risc ridicat pentru drepturile i libertile persoanelor vizate, n special n cazul n care operaiunile respective limiteaz capacitatea persoanelor vizate de a-i exercita drepturile. Ar trebui efectuat o evaluare a impactului asupra proteciei datelor i n situaiile n care datele cu caracter personal sunt prelucrate n scopul lurii de decizii care vizeaz anumite persoane fizice n urma unei evaluri sistematice i cuprinztoare a aspectelor personale referitoare la persoane fizice, pe baza crerii de profiluri pentru datele respective, sau n urma prelucrrii unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnrile penale i infraciunile sau msurile de securitate conexe. Este la fel de necesar o evaluare a impactului asupra proteciei datelor pentru monitorizarea la scar larg a zonelor accesibile publicului, mai ales n cazul utilizrii dispozitivelor optoelectronice sau pentru orice alte operaiuni n cazul n care autoritatea de supraveghere competent consider c prelucrarea este susceptibil de a genera un risc ridicat pentru drepturile i libertile persoanelor vizate, n special deoarece acestea mpiedic persoanele vizate s exercite un drept sau s utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate n mod sistematic la scar larg. Prelucrarea datelor cu caracter personal nu ar trebui considerat a fi la scar larg n cazul n care prelucrarea se refer la date cu caracter personal de la pacieni sau clieni de ctre un anumit medic, un alt profesionist n domeniul sntii sau un avocat. n aceste cazuri, o evaluare a impactului asupra proteciei datelor nu ar trebui s fie obligatorie. (92)n unele circumstane ar putea fi rezonabil i util din punct de vedere economic ca o evaluare a impactului asupra proteciei datelor s aib o perspectiv mai extins dect cea a unui singur proiect, de exemplu n cazul n care autoriti sau organisme publice intenioneaz s instituie o aplicaie sau o platform de prelucrare comun sau n cazul n care mai muli operatori preconizeaz s introduc o aplicaie comun sau un mediu de prelucrare comun n cadrul unui sector sau segment industrial sau pentru o activitate orizontal utilizat la scar larg. (93)n contextul adoptrii legislaiei naionale pe care se bazeaz ndeplinirea sarcinilor autoritii publice sau ale organismului public i care reglementeaz operaiunea sau seria de operaiuni de prelucrare n cauz, statele membre pot considera c este necesar efectuarea unei astfel de evaluri naintea desfurrii activitilor de prelucrare. (94)n cazul n care o evaluare a impactului asupra proteciei datelor arat c prelucrarea ar genera, n absena garaniilor, msurilor de securitate i mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile i libertile persoanelor fizice, iar operatorul consider c riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile i al costurilor implementrii, autoritatea de supraveghere ar trebui s fie consultat nainte de nceperea activitilor de prelucrare. Un astfel de risc ridicat este susceptibil s fie generat de anumite tipuri de prelucrare, precum i de amploarea i frecvena prelucrrii, care pot duce i la producerea unor prejudicii sau pot atinge drepturile i libertile persoanelor fizice. Autoritatea de supraveghere ar trebui s rspund cererii de consultare ntr-un anumit termen. Cu toate acestea, lipsa unei reacii din partea autoritii de supraveghere n termenul respectiv ar trebui s nu aduc atingere niciunei intervenii a autoritii de supraveghere n conformitate cu sarcinile i competenele sale prevzute n prezentul regulament, inclusiv competena de a interzice operaiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluri a impactului asupra proteciei datelor efectuate cu privire la prelucrarea n cauz poate fi transmis autoritii de supraveghere, n special msurile avute n vedere pentru a atenua riscul pentru drepturile i libertile persoanelor fizice. (95)Persoana mputernicit de operator ar trebui s acorde asisten operatorului, dac este necesar i la cerere, la asigurarea respectrii obligaiilor care decurg din realizarea de evaluri ale impactului asupra proteciei datelor i din consultarea prealabil a autoritii de supraveghere. (96)n timpul elaborrii unei msuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter personal ar trebui, de asemenea, s aib loc o consultare a autoritii de supraveghere, pentru a garanta conformitatea prelucrrii avute n vedere cu prezentul regulament i, n special, pentru a atenua riscul la care este expus persoana vizat. (97)n cazul n care prelucrarea este efectuat de o autoritate public, cu excepia instanelor sau a autoritilor judiciare independente atunci cnd acioneaz n calitatea lor judiciar, n cazul n care, n sectorul privat, prelucrarea este efectuat de un operator a crui activitate principal const n operaiuni de prelucrare care necesit o monitorizare regulat i sistematic a persoanelor vizate pe scar larg, sau n cazul n care activitatea principal a operatorului sau a persoanei mputernicite de operator const n prelucrarea pe scar larg de categorii speciale de date cu caracter personal i de date privind condamnrile penale i infraciunile, o persoan care deine cunotine de specialitate n materie de legislaie i practici privind protecia datelor ar trebui s acorde asisten operatorului sau persoanei mputernicite de operator pentru monitorizarea conformitii, la nivel intern, cu prezentul regulament. n sectorul privat, activitile principale ale unui operator se refer la activitile sale de baz, i nu la prelucrarea datelor cu caracter personal drept activiti auxiliare. Nivelul necesar al cunotinelor de specialitate ar trebui s fie stabilit n special n funcie de operaiunile de prelucrare a datelor efectuate i de nivelul de protecie impus pentru datele cu caracter personal prelucrate de operator sau de persoana mputernicit de operator. Aceti responsabili cu protecia datelor, indiferent dac sunt sau nu angajai ai operatorului, ar trebui s fie n msur s i ndeplineasc atribuiile i sarcinile n mod independent. (98)Asociaiile sau alte organisme care reprezint categorii de operatori sau de persoane mputernicite de operatori ar trebui ncurajate s elaboreze coduri de conduit, n limitele prezentului regulament, astfel nct s se faciliteze aplicarea efectiv a prezentului regulament, lundu-se n considerare caracteristicile specifice ale prelucrrii efectuate n anumite sectoare i necesitile specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii. n special, astfel de coduri de conduit ar putea s ajusteze obligaiile operatorilor i ale persoanelor mputernicite de operatori, innd seama de riscul aferent prelucrrii care este susceptibil de a fi generat pentru drepturile i libertile persoanelor fizice. (99)Atunci cnd elaboreaz un cod de conduit sau cnd modific sau extind un astfel de cod, asociaiile i alte organisme care reprezint categorii de operatori sau persoane mputernicite de operatori ar trebui s consulte prile implicate relevante, inclusiv persoanele vizate, dac este fezabil, i s ia n considerare contribuiile transmise i opiniile exprimate n cadrul unor astfel de consultri. (100)Pentru a se mbunti transparena i conformitatea cu prezentul regulament, ar trebui s se ncurajeze instituirea de mecanisme de certificare, precum i de sigilii i mrci n materie de protecie a datelor, care s permit persoanelor vizate s evalueze rapid nivelul de protecie a datelor aferent produselor i serviciilor relevante. (101)Fluxurile de date cu caracter personal ctre i dinspre ri situate n afara Uniunii i organizaii internaionale sunt necesare pentru dezvoltarea comerului internaional i a cooperrii internaionale. Creterea acestor fluxuri a generat noi provocri i preocupri cu privire la protecia datelor cu caracter personal. Cu toate acestea, n cazul n care se transfer date cu caracter personal din Uniune ctre operatori, persoane mputernicite de operatori sau ali destinatari din ri tere sau organizaii internaionale, nivelul de protecie a persoanelor fizice asigurat n Uniune prin prezentul regulament nu ar trebui s fie diminuat, inclusiv n cazurile de transferuri ulterioare de date cu caracter personal dinspre ara ter sau organizaia internaional ctre operatori, persoane mputernicite de operatori din aceeai sau dintr-o alt ar ter sau organizaie internaional. n orice caz, transferurile ctre ri tere i organizaii internaionale pot fi desfurate numai n conformitate deplin cu prezentul regulament. Un transfer ar putea avea loc numai dac, sub rezerva respectrii celorlalte dispoziii ale prezentului regulament, operatorul sau persoana mputernicit de operator ndeplinete condiiile prevzute de dispoziiile prezentului regulament privind transferul de date cu caracter personal ctre ri tere sau organizaii internaionale. (102)Prezentul regulament nu aduce atingere acordurilor internaionale ncheiate ntre Uniune i ri tere n vederea reglementrii transferului de date cu caracter personal, inclusiv garanii adecvate pentru persoanele vizate. Statele membre pot ncheia acorduri internaionale care implic transferul de date cu caracter personal ctre ri tere sau organizaii internaionale, n msura n care astfel de acorduri nu afecteaz prezentul regulament i nici alte dispoziii din dreptul Uniunii i includ un nivel corespunztor de protecie a drepturilor fundamentale ale persoanelor vizate. (103)Comisia poate decide, cu efect n ntreaga Uniune, c o ar ter, un teritoriu sau un anumit sector dintr-o ar ter sau o organizaie internaional ofer un nivel adecvat de protecie a datelor, asigurnd astfel securitate juridic i uniformitate n Uniune n ceea ce privete ara ter sau organizaia internaional care este considerat a furniza un astfel de nivel de protecie. n aceste cazuri, transferurile de date cu caracter personal ctre ara ter sau organizaia internaional respectiv pot avea loc fr a fi necesar s se obin autorizri suplimentare. De asemenea, Comisia poate s decid, dup trimiterea unei notificri i a unei justificri complete rii tere sau organizaiei internaionale, s anuleze o astfel de decizie. (104)n conformitate cu valorile fundamentale pe care se ntemeiaz Uniunea, n special protecia drepturilor omului, Comisia ar trebui, n evaluarea sa referitoare la ara ter sau la un teritoriu sau la un sector specificat dintr-o ar ter, s ia n considerare modul n care aceasta respect statul de drept, accesul la justiie, precum i normele i standardele internaionale n materie de drepturi ale omului i legislaia sa general i sectorial, inclusiv legislaia privind securitatea public, aprarea i securitatea naional, precum i ordinea public i dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecie pentru un teritoriu sau un sector specificat dintr-o ar ter ar trebui s in seama de criterii clare i obiective, cum ar fi activitile specifice de prelucrare i domeniul de aplicare al standardelor legale aplicabile i legislaia n vigoare n ara ter respectiv. ara ter ar trebui s ofere garanii care s asigure un nivel adecvat de protecie, echivalent n esen cu cel asigurat n cadrul Uniunii, n special atunci cnd datele cu caracter personal sunt prelucrate n unul sau mai multe sectoare specifice. n special, ara ter ar trebui s asigure o supraveghere efectiv independent n materie de protecie a datelor i s prevad mecanisme de cooperare cu autoritile statelor membre de protecie a datelor, iar persoanele vizate ar trebui s beneficieze de drepturi efective i opozabile i de reparaii efective pe cale administrativ i judiciar. (105)Pe lng angajamentele internaionale asumate de ara ter sau de organizaia internaional, Comisia ar trebui s in seama de obligaiile care decurg din participarea rii tere sau a organizaiei internaionale la sistemele multilaterale sau regionale, n special n ceea ce privete protecia datelor cu caracter personal, precum i de punerea n aplicare a unor astfel de obligaii. n special, ar trebui s fie luat n considerare aderarea rii tere la Convenia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor fa de prelucrarea automatizat a datelor cu caracter personal i protocolul adiional la aceasta. Comisia ar trebui s consulte comitetul atunci cnd evalueaz nivelul de protecie din rile tere sau din organizaiile internaionale. (106)Comisia ar trebui s monitorizeze funcionarea deciziilor privind nivelul de protecie dintr-o ar ter sau un teritoriu sau un anumit sector dintr-o ar ter sau dintr-o organizaie internaional i s monitorizeze funcionarea deciziilor adoptate n temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. n deciziile sale privind caracterul adecvat al nivelului de protecie, Comisia ar trebui s prevad un mecanism de revizuire periodic a modului lor de funcionare. Aceast revizuire periodic ar trebui s fie efectuat n consultare cu ara ter sau organizaia internaional n cauz i ar trebui s ia n considerare toate evoluiile relevante din ara ter sau organizaia internaional. n scopul monitorizrii i al efecturii revizuirilor periodice, Comisia ar trebui s ia n considerare opiniile i constatrile Parlamentului European i ale Consiliului, precum i ale altor organisme i surse relevante. Comisia ar trebui s evalueze, ntr-un termen rezonabil, funcionarea deciziilor din urm i s raporteze toate constatrile relevante comitetului, n sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European i al Consiliului (1), dup cum s-a stabilit n temeiul prezentului regulament, Parlamentului European i Consiliului. (1)Regulamentul (UE) nr. 182/2011 al Parlamentului European i al Consiliului din 16 februarie 2011 de stabilire a normelor i principiilor generale privind mecanismele de control de ctre statele membre al exercitrii competenelor de executare de ctre Comisie (JO L 55, 28.2.2011, p. 13). (107)Comisia poate s recunoasc faptul c o ar ter,un teritoriu sau un sector specificat dintr-o ar ter sau o organizaie internaional nu mai asigur un nivel adecvat de protecie a datelor. n consecin, transferul de date cu caracter personal ctre ara ter sau organizaia internaional respectiv ar trebui s fie interzis, cu excepia cazului n care sunt ndeplinite cerinele prevzute n prezentul regulament privind transferurile n baza unor garanii adecvate, inclusiv regulile corporatiste obligatorii i derogrile de la situaiile specifice. n acest caz, ar trebui s se prevad dispoziii pentru consultri ntre Comisie i astfel de ri tere sau organizaii internaionale. Comisia ar trebui ca, n timp util, s informeze ara ter sau organizaia internaional cu privire la aceste motive i s iniieze consultri cu aceasta pentru remedierea situaiei. (108)n absena unei decizii privind caracterul adecvat al nivelului de protecie, operatorul sau persoana mputernicit de operator ar trebui s adopte msuri pentru a compensa lipsa proteciei datelor ntr-o ar ter prin intermediul unor garanii adecvate pentru persoana vizat. Astfel de garanii adecvate pot consta n utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecie a datelor adoptate de Comisie, a clauzelor standard de protecie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanii ar trebui s asigure respectarea cerinelor n materie de protecie a datelor i drepturi ale persoanelor vizate corespunztoare prelucrrii n interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate i a unor ci de atac eficiente, printre care dreptul de acces la reparaii efective pe cale administrativ sau judiciar i dreptul de a solicita despgubiri, n Uniune sau ntr-o ar ter. Acestea ar trebui s se refere n special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul proteciei datelor ncepnd cu momentul conceperii i principiul proteciei implicite a datelor. Transferurile pot fi efectuate i de ctre autoritile sau organismele publice cu autoriti sau organisme publice n ri tere sau cu organizaii internaionale cu atribuii i funcii corespunztoare, inclusiv pe baza dispoziiilor care prevd drepturi opozabile i efective pentru persoanele vizate, care trebuie introduse n acordurile administrative, cum ar fi un memorandum de nelegere. Autorizaia din partea autoritii de supraveghere competente ar trebui obinut atunci cnd garaniile sunt oferite n cadrul unor acorduri administrative fr caracter juridic obligatoriu. (109)Posibilitatea ca operatorul sau persoana mputernicit de operator s utilizeze clauze standard n materie de protecie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui s mpiedice operatorii sau persoanele mputernicite de acetia s includ clauzele standard n materie de protecie a datelor ntr-un contract mai amplu, precum un contract ntre persoana mputernicit de operator i o alt persoan mputernicit de operator, i nici s adauge alte clauze sau garanii suplimentare, att timp ct acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciaz drepturile sau libertile fundamentale ale persoanelor vizate. Operatorii i persoanele mputernicite de operatori ar trebui s fie ncurajai s ofere garanii suplimentare prin intermediul unor angajamente contractuale care s completeze clauzele standard n materie de protecie. (110)Un grup de ntreprinderi sau un grup de ntreprinderi implicat ntr-o activitate economic comun ar trebui s poat utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaionale dinspre Uniune ctre organizaii din cadrul aceluiai grup de ntreprinderi sau grup de ntreprinderi implicate ntr-o activitate economic comun, cu condiia ca astfel de reguli corporatiste s includ toate principiile eseniale i drepturile opozabile n scopul asigurrii unor garanii adecvate pentru transferurile sau categoriile de transferuri de date cu caracter personal. (111)Ar trebui s se prevad posibilitatea de a se efectua transferuri n anumite circumstane n care persoana vizat i-a dat consimmntul explicit, n care transferul este ocazional i necesar n legtur cu un contract sau cu o aciune n justiie, indiferent dac este n contextul unei proceduri judiciare sau n contextul unei proceduri administrative sau extrajudiciare, inclusiv n cadrul procedurilor naintate organismelor de reglementare. De asemenea, ar trebui s se prevad posibilitatea de a se efectua transferuri n cazul n care motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau n cazul n care transferul se efectueaz dintr-un registru instituit prin lege i destinat s fie consultat de ctre public sau de ctre persoane care au un interes legitim. n acest ultim caz, un astfel de transfer nu ar trebui s implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date coninute n registru, iar atunci cnd registrul este destinat s fie consultat de persoane care au un interes legitim, transferul ar trebui s fie efectuat doar la cererea persoanelor respective sau dac acestea sunt destinatarii, lund pe deplin n considerare interesele i drepturile fundamentale ale persoanei vizate. (112)Aceste derogri ar trebui s se aplice, n special, transferurilor de date solicitate i necesare din considerente importante de interes public, de exemplu n cazul schimbului internaional de date ntre autoritile din domeniul concurenei, administraiile fiscale sau vamale, ntre autoritile de supraveghere financiar, ntre serviciile competente n materie de securitate social sau de sntate public, de exemplu n cazul depistrii punctelor de contact pentru bolile contagioase sau pentru reducerea i/sau eliminarea dopajului n sport. Un transfer de date cu caracter personal ar trebui, de asemenea, s fie considerat legal n cazul n care este necesar n scopul protejrii unui interes care este esenial n interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizic sau pentru viaa acesteia, n cazul n care persona vizat nu are capacitatea s i dea consimmntul. n absena unei decizii privind caracterul adecvat al nivelului de protecie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, stabili n mod expres limite asupra transferului unor categorii specifice de date ctre o ar ter sau o organizaie internaional. Statele membre ar trebui s notifice Comisiei aceste dispoziii. Orice transfer ctre o organizaie umanitar internaional al datelor cu caracter personal ale unei persoane vizate care se afl n incapacitate fizic sau juridic de a i da consimmntul, n vederea ndeplinirii unei sarcini care decurge din Conveniile de la Geneva sau n vederea conformrii cu dreptul internaional umanitar aplicabil n conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru c este n interesul vital al persoanei vizate. (113)Transferurile care pot fi considerate ca nefiind repetitive i care se refer doar la un numr limitat de persoane vizate, ar putea, de asemenea, s fie efectuate n scopul realizrii intereselor legitime urmrite de operator, atunci cnd asupra respectivelor interese nu prevaleaz interesele sau drepturile i libertile persoanei vizate i atunci cnd operatorul a evaluat toate circumstanele aferente transferului de date. Operatorul ar trebui s acorde o atenie deosebit naturii datelor cu caracter personal, scopului i duratei operaiunii sau operaiunilor propuse de prelucrare, precum i situaiei din ara de origine, din ara ter i din ara de destinaie final i ar trebui s ofere garanii adecvate pentru protecia drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui s fie posibile numai n cazurile reziduale n care nu se poate aplica niciunul dintre celelalte motive de transfer. n ceea ce privete scopurile de cercetare tiinific sau istoric sau scopurile statistice, ar trebui s se ia n considerare ateptrile legitime ale societii cu privire la creterea nivelului de cunotine. Operatorul ar trebui s informeze autoritatea de supraveghere i persoana vizat cu privire la transfer. (114)n orice caz, atunci cnd Comisia nu a luat o decizie cu privire la nivelul adecvat de protecie a datelor dintr-o ar ter, operatorul sau persoana mputernicit de operator ar trebui s utilizeze soluii care s ofere persoanelor vizate drepturi opozabile i efective n ceea ce privete prelucrarea datelor lor n Uniune odat ce aceste date au fost transferate, astfel nct persoanele vizate s beneficieze n continuare de drepturi fundamentale i garanii. (115)Unele ri tere au adoptat legi, reglementri i alte acte juridice care au drept obiectiv s reglementeze n mod direct activitile de prelucrare a datelor ale persoanelor fizice i juridice aflate sub jurisdicia statelor membre. Aceasta poate include hotrri ale instanelor judectoreti sau decizii ale autoritilor administrative din ri tere care solicit unui operator sau unei persoane mputernicite de operator s transfere sau s divulge date cu caracter personal i care nu se bazeaz pe un acord internaional, cum ar fi un tratat de asisten juridic reciproc, n vigoare ntre ara ter solicitant i Uniune sau un stat membru. Aplicarea extrateritorial a acestor legi, reglementri i alte acte juridice poate nclca dreptul internaional i poate mpiedica asigurarea proteciei persoanelor fizice asigurat n Uniune prin prezentul regulament. Transferurile ar trebui s fie permise numai n cazul ndeplinirii condiiilor prevzute de prezentul regulament pentru un transfer ctre ri tere. Acesta ar putea fi cazul, inter alia, atunci cnd divulgarea este necesar dintr-un motiv important de interes public recunoscut n dreptul Uniunii sau n dreptul intern care se aplic operatorului. (116)Fluxul transfrontalier de date cu caracter personal n afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-i exercita drepturile n materie de protecie a datelor, n special pentru a-i asigura protecia mpotriva utilizrii sau a divulgrii ilegale a acestor informaii. n acelai timp, autoritile de supraveghere pot constata c se afl n imposibilitatea de a trata plngeri sau de a efectua investigaii referitoare la activitile desfurate n afara frontierelor lor. Eforturile acestora de a conlucra n context transfrontalier pot fi, de asemenea, ngreunate de insuficiena competenelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice i de existena unor obstacole de ordin practic, cum ar fi constrngerile n materie de resurse. Prin urmare, este necesar s se promoveze o cooperare mai strns ntre autoritile de supraveghere a proteciei datelor pentru a putea face schimb de informaii i a desfura investigaii mpreun cu omologii lor internaionali. n scopul elaborrii de mecanisme de cooperare internaional pentru a facilita i a oferi asisten internaional reciproc n asigurarea aplicrii legislaiei din domeniul proteciei datelor cu caracter personal, Comisia i autoritile de supraveghere ar trebui s fac schimb de informaii i s coopereze n cadrul activitilor legate de exercitarea competenelor lor cu autoritile competente din ri tere, pe baz de reciprocitate i n conformitate cu prezentul regulament. (117)Instituirea n statele membre a unor autoriti de supraveghere, mputernicite s i ndeplineasc sarcinile i s i exercite competenele n deplin independen, este un element esenial al proteciei persoanelor fizice n ceea ce privete prelucrarea datelor lor cu caracter personal. Statele membre ar trebui s poat institui mai multe autoriti de supraveghere, pentru a reflecta structura lor constituional, organizatoric i administrativ. (118)Independena autoritilor de supraveghere nu ar trebui s nsemne c autoritile de supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare n ceea ce privete cheltuielile acestora sau unui control jurisdicional. (119)n cazul n care un stat membru instituie mai multe autoriti de supraveghere, acesta ar trebui s stabileasc prin lege mecanisme care s asigure participarea efectiv a autoritilor de supraveghere respective la mecanismul pentru asigurarea coerenei. Statul membru respectiv ar trebui, n special, s desemneze autoritatea de supraveghere care ndeplinete funcia de punct unic de contact pentru participarea efectiv a acestor autoriti la mecanism, n scopul asigurrii unei cooperri rapide i armonioase cu alte autoriti de supraveghere, cu comitetul i cu Comisia. (120)Fiecare autoritate de supraveghere ar trebui s beneficieze de resurse financiare i umane, de spaiile i de infrastructura necesare pentru ndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistena reciproc i cooperarea cu alte autoriti de supraveghere n ntreaga Uniune. Fiecare autoritate de supraveghere ar trebui s aib un buget public anual separat, care poate face parte din bugetul general de stat sau naional. (121)Condiiile generale pentru membrul sau membrii autoritii de supraveghere ar trebui stabilite de lege n fiecare stat membru i ar trebui, n special, s prevad c respectivii membri sunt numii printr-o procedur transparent fie de parlamentul, de guvernul ori eful de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de ctre un organism independent mputernicit prin dreptul intern. n vederea asigurrii independenei autoritii de supraveghere, membrul sau membrii acesteia ar trebui s acioneze cu integritate, s nu ntreprind aciuni incompatibile cu ndatoririle lor, iar, pe durata mandatului, ar trebui s nu desfoare activiti incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui s aib personal propriu, ales de autoritatea de supraveghere sau de un organism independent nfiinat n temeiul dreptului intern, care ar trebui s fie subordonat exclusiv membrului sau membrilor autoritii de supraveghere. (122)Fiecare autoritate de supraveghere ar trebui s aib, pe teritoriul statului membru de care aparine, atribuia de a exercita competenele i de a ndeplini sarcinile cu care este nvestit n conformitate cu prezentul regulament. Aceasta ar trebui s includ n special prelucrarea n contextul activitilor unui sediu al operatorului sau al persoanei mputernicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuat de autoritile publice sau de organisme private care acioneaz n interes public, prelucrarea care afecteaz persoanele vizate de pe teritoriul su sau prelucrarea efectuat de ctre un operator sau o persoan mputernicit de operator care nu i are sediul n Uniune n cazul n care aceasta privete persoane vizate care i au reedina pe teritoriul su. Aceasta ar trebui s includ tratarea plngerilor depuse de o persoan vizat, efectuarea de investigaii privind aplicarea prezentului regulament i promovarea informrii publicului cu privire la riscurile, normele, garaniile i drepturile n materie de prelucrare a datelor cu caracter personal. (123)Autoritile de supraveghere ar trebui s monitorizeze aplicarea dispoziiilor prevzute de prezentul regulament i s contribuie la aplicarea coerent a acestuia n ntreaga Uniune, n scopul asigurrii proteciei persoanelor fizice n ceea ce privete prelucrarea datelor lor cu caracter personal i al facilitrii liberei circulaii a datelor cu caracter personal n interiorul pieei interne. n acest sens, autoritile de supraveghere ar trebui s coopereze reciproc, precum i cu Comisia, fr s fie necesar niciun acord ntre statele membre cu privire la acordarea de asisten reciproc sau cu privire la respectiva cooperare. (124)n cazul n care prelucrarea datelor cu caracter personal se desfoar n cadrul activitilor unui sediu al unui operator sau al unei persoane mputernicite de operator din Uniune, iar operatorul sau persoana mputernicit de operator are sedii n mai multe state membre, sau n cazul n care prelucrarea care se desfoar n contextul activitilor unui singur sediu al unui operator sau al unei persoane mputernicite de operator din Uniune afecteaz sau este susceptibil s afecteze semnificativ persoane vizate din mai multe state membre, autoritatea de supraveghere a sediului principal al operatorului sau al persoanei mputernicite de operator ori a sediului unic al operatorului sau al persoanei mputernicite de operator ar trebui s acioneze n calitate de autoritate principal. Aceasta ar trebui s coopereze cu celelalte autoriti vizate, pentru c operatorul sau persoana mputernicit de operator are un sediu pe teritoriul statului lor membru, pentru c persoanele vizate care i au reedina pe teritoriul lor sunt afectate n mod semnificativ sau pentru c le-a fost naintat o plngere. De asemenea, n cazul n care o persoan vizat care nu i are reedina n statul membru respectiv a depus o plngere, autoritatea de supraveghere la care a fost depus plngerea ar trebui, de asemenea, s fie o autoritate de supraveghere vizat. n cadrul sarcinilor sale de a emite orientri cu privire la orice chestiune referitoare la punerea n aplicare a prezentului regulament, comitetul ar trebui s poat emite orientri privind, n special, criteriile care trebuie luate n considerare pentru a se stabili dac prelucrarea n cauz afecteaz n mod semnificativ persoane vizate din mai multe state membre i privind coninutul unei obiecii relevante i motivate. (125)Autoritatea principal ar trebui s aib competena de a adopta decizii obligatorii privind msurile de aplicare a competenelor care i sunt conferite n conformitate cu prezentul regulament. n calitatea sa de autoritate principal, autoritatea de supraveghere ar trebui s implice ndeaproape i s coordoneze activitile autoritilor de supraveghere vizate n procesul decizional. n cazurile n care decizia este de respingere parial sau total a plngerii din partea persoanei vizate, o asemenea decizie ar trebui adoptat de ctre autoritatea de supraveghere la care s-a depus plngerea. (126)Decizia ar trebui convenit n comun de autoritatea de supraveghere principal i de autoritile de supraveghere vizate i ar trebui s vizeze sediul principal sau sediul unic al operatorului sau al persoanei mputernicite de operator i s fie obligatorie pentru operator i pentru persoana mputernicit de operator. Operatorul sau persoana mputernicit de operator ar trebui s ia msurile necesare pentru a asigura conformitatea cu prezentul regulament i punerea n aplicare a deciziei notificate de autoritatea de supraveghere principal sediului principal al operatorului sau al persoanei mputernicite de operator n ceea ce privete activitile de prelucrare n Uniune. (127)Fiecare autoritate de supraveghere care nu acioneaz ca autoritate de supraveghere principal ar trebui s aib competena de a trata cazuri locale, n care operatorul sau persoana mputernicit de operator are sedii n mai multe state membre, dar obiectul respectivei prelucrri privete doar prelucrarea efectuat ntr-un singur stat membru i implicnd doar persoane vizate din acel unic stat membru, de exemplu n cazul n care obiectul l constituie prelucrarea datelor cu caracter personal ale angajailor n contextul specific legat de fora de munc dintr-un stat membru. n astfel de cazuri, autoritatea de supraveghere ar trebui s informeze fr ntrziere autoritatea de supraveghere principal cu privire la aceast chestiune. Dup ce a fost informat, autoritatea de supraveghere principal ar trebui s decid dac va trata ea nsi cazul n temeiul dispoziiei privind cooperarea ntre autoritatea de supraveghere principal i alte autoriti de supraveghere vizate ("mecanismul ghieului unic"), sau dac autoritatea de supraveghere care a informat-o ar trebui s se ocupe de caz la nivel local. Atunci cnd decide dac va trata cazul, autoritatea de supraveghere principal ar trebui s ia n considerare dac exist un sediu al operatorului sau al persoanei mputernicite de operator n statul membru al autoritii de supraveghere care a informat-o, n vederea garantrii respectrii efective a unei decizii n ceea ce privete operatorul sau persoana mputernicit de operator. n cazul n care autoritatea de supraveghere principal decide s trateze cazul, autoritatea de supraveghere care a informat- o ar trebui s beneficieze de posibilitatea de a prezenta un proiect de decizie, de care autoritatea de supraveghere principal ar trebui s in seama n cea mai mare msur atunci cnd pregtete proiectul su de decizie n cadrul respectivului mecanism al ghieului unic. (128)Normele privind autoritatea de supraveghere principal i mecanismul ghieului unic nu ar trebui s se aplice n cazul n care prelucrarea este efectuat de autoriti publice sau organisme private n interes public. n asemenea cazuri, singura autoritate de supraveghere competent s i exercite competenele care i-au fost atribuite n conformitate cu prezentul regulament ar trebui s fie autoritatea de supraveghere a statului membru n care autoritatea public sau organismul privat i are sediul. (129)Pentru a se asigura consecvena monitorizrii i a aplicrii prezentului regulament n ntreaga Uniune, autoritile de supraveghere ar trebui s aib n fiecare stat membru aceleai sarcini i competene efective, inclusiv competene de investigare, competene corective i sanciuni, precum i competene de autorizare i de consiliere, n special n cazul plngerilor depuse de persoane fizice, precum i, fr a aduce atingere competenelor autoritilor de urmrire penal n temeiul dreptului intern, de a aduce n atenia autoritilor judiciare cazurile de nclcare a prezentului regulament i de a se implica n proceduri judiciare. Aceste competene ar trebui s includ i competena de a impune o limitare temporar sau definitiv, inclusiv o interdicie, asupra prelucrrii. Statele membre pot stabili alte sarcini legate de protecia datelor cu caracter personal n temeiul prezentului regulament. Competenele autoritilor de supraveghere ar trebui exercitate n conformitate cu garanii procedurale adecvate prevzute n dreptul Uniunii i n dreptul intern, n mod imparial, echitabil i ntr-un termen rezonabil. n special, fiecare msur ar trebui s fie adecvat, necesar i proporional n scopul de a asigura conformitatea cu dispoziiile prezentului regulament, lund n considerare circumstanele fiecrui caz n parte, s respecte dreptul oricrei persoane de a fi ascultat nainte de luarea oricrei msuri individuale care ar putea s i aduc atingere i s evite costurile inutile i inconvenientele excesive pentru persoanele n cauz. Competenele de investigare n ceea ce privete accesul n incinte ar trebui exercitate n conformitate cu cerinele specifice din dreptul procedural naional, cum ar fi obligaia de a obine n prealabil o autorizare judiciar. Fiecare msur obligatorie din punct de vedere juridic luat de autoritatea de supraveghere ar trebui s fie prezentat n scris, s fie clar i lipsit de ambiguitate, s indice autoritatea de supraveghere care a emis msura, data emiterii msurii, s poarte semntura efului sau a unui membru al autoritii de supraveghere autorizat de acesta, s furnizeze motivele pentru care s-a luat msura i s fac trimitere la dreptul la o cale de atac eficient. Acest lucru nu ar trebui s exclud cerine suplimentare n conformitate cu dreptul procedural naional. Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implic faptul c se poate da natere unui control jurisdicional n statul membru al autoritii de supraveghere care a adoptat decizia. (130)n cazul n care autoritatea de supraveghere la care s-a depus plngerea nu este autoritatea de supraveghere principal, autoritatea de supraveghere principal ar trebui s coopereze ndeaproape cu autoritatea de supraveghere la care s-a depus plngerea, n conformitate cu dispoziiile privind cooperarea i consecvena prevzute n prezentul regulament. n astfel de cazuri, autoritatea de supraveghere principal ar trebui, atunci cnd ia msuri destinate s produc efecte juridice, inclusiv impunerea de amenzi administrative, s in seama ct mai mult posibil de opinia autoritii de supraveghere la care a fost depus plngerea i care ar trebui s i menin competena de a desfura orice investigaie pe teritoriul propriului stat membru, n colaborare cu autoritatea de supraveghere principal. (131)n cazurile n care o alt autoritate de supraveghere ar trebui s acioneze n calitate de autoritate de supraveghere principal pentru activitile de prelucrare ale operatorului sau ale persoanei mputernicite de operator, dar obiectul concret al unei plngeri sau posibila nclcare vizeaz numai activitile de prelucrare ale operatorului sau ale persoanei mputernicite de operator n statul membru n care a fost depus plngerea sau a fost depistat posibila nclcare, iar chestiunea nu afecteaz n mod substanial sau nu este susceptibil s afecteze n mod substanial persoane vizate din alte state membre, autoritatea de supraveghere care a primit o plngere sau a depistat ori a fost informat n alt mod asupra unor situaii de posibile nclcri ale prezentului regulament ar trebui s ncerce o soluionare pe cale amiabil cu operatorul i, n cazul n care aceasta eueaz, s i exercite plenitudinea competenelor. Aceasta ar trebui s includ activiti specifice de prelucrare efectuate pe teritoriul statului membru al autoritii de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui stat membru, activiti de prelucrare care au loc n contextul unei oferte de bunuri sau servicii destinate n mod special persoanelor vizate pe teritoriul statului membru al autoritii de supraveghere sau activiti de prelucrare care trebuie evaluate innd seama de obligaiile juridice relevante n temeiul dreptului intern. (132)Activitile de cretere a gradului de contientizare organizate pentru public de autoritile de supraveghere ar trebui s includ msuri specifice care s vizeze operatorii i persoanele mputernicite de operatori, inclusiv microntreprinderile i ntreprinderile mici i mijlocii, precum i persoanele fizice, n special n context educaional. (133)Autoritile de supraveghere ar trebui s i acorde reciproc asisten n ndeplinirea sarcinilor care le revin, pentru a se asigura coerena aplicrii prezentului regulament pe piaa intern. O autoritate de supraveghere care solicit asisten reciproc poate adopta o msur provizorie n cazul n care nu primete un rspuns la o solicitare de asisten reciproc n termen de o lun de la primirea solicitrii de ctre cealalt autoritate de supraveghere. (134)Fiecare autoritate de supraveghere ar trebui s participe, dup caz, la operaiuni comune ntre autoritile de supraveghere. Autoritatea de supraveghere creia i s-a adresat solicitarea ar trebui s aib obligaia de a rspunde cererii ntr-un anumit termen. (135)Pentru a se asigura aplicarea coerent a prezentului regulament n ntreaga Uniune, ar trebui s se instituie un mecanism pentru asigurarea coerenei n cadrul cruia autoritile de supraveghere s coopereze. Acest mecanism ar trebui s se aplice, n special, n cazul n care o autoritate de supraveghere intenioneaz s adopte o msur prevzut a produce efecte juridice n ceea ce privete operaiunile de prelucrare care afecteaz n mod substanial un numr semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui s se aplice, de asemenea, n cazul n care o autoritate de supraveghere vizat sau Comisia solicit ca aspectul respectiv s fie tratat n cadrul mecanismului pentru asigurarea coerenei. Acest mecanism nu ar trebui s aduc atingere msurilor pe care Comisia le poate adopta n exercitarea competenelor care i revin n temeiul tratatelor. (136)n aplicarea mecanismului pentru asigurarea coerenei, comitetul ar trebui, ntr-un anumit termen, s emit un aviz n cazul n care o majoritate a membrilor si decide astfel sau n cazul n care orice autoritate de supraveghere vizat sau Comisia solicit acest lucru. Comitetul ar trebui, de asemenea, s fie mputernicit s adopte decizii obligatorii din punct de vedere juridic n cazul unor litigii ntre autoritile de supraveghere. n acest scop, acesta ar trebui s emit, n principiu cu o majoritate de dou treimi din membrii si, decizii obligatorii din punct de vedere juridic, n cazuri bine definite, n cazul n care exist opinii divergente ntre autoritile de supraveghere, n special n cadrul mecanismului de cooperare ntre autoritatea de supraveghere principal i autoritile de supraveghere vizate privind fondul cauzei, n special existena sau nu a unei nclcri a prezentului regulament. (137)Este posibil s existe o necesitate urgent de a se aciona pentru asigurarea proteciei drepturilor i libertilor persoanelor vizate, n special n cazul n care exist pericolul ca exercitarea unui drept al unei persoane vizate s fie mpiedicat n mod considerabil. Prin urmare, o autoritate de supraveghere ar trebui s poat adopta msuri provizorii pe teritoriul su, justificate n mod corespunztor, avnd o perioad de valabilitate determinat care nu ar trebui s depeasc trei luni. (138)Aplicarea unui astfel de mecanism ar trebui s constituie o condiie pentru legalitatea unei msuri destinate s produc efecte juridice, luate de o autoritate de supraveghere, n cazurile n care aplicarea acesteia este obligatorie. n alte cazuri cu relevan transfrontalier, ar trebui pus n aplicare mecanismul de cooperare ntre autoritatea de supraveghere principal i autoritile de supraveghere vizate, iar ntre autoritile de supraveghere vizate s-ar putea acorda asisten reciproc i s-ar putea desfura operaiuni comune pe baz bilateral sau multilateral, fr declanarea mecanismului pentru asigurarea coerenei. (139)Cu scopul de a promova aplicarea coerent a prezentului regulament, comitetul ar trebui instituit ca organ independent al Uniunii. Pentru a-i ndeplini obiectivele, comitetul ar trebui s aib personalitate juridic. Comitetul ar trebui s fie reprezentat de preedintele su. Acesta ar trebui s nlocuiasc Grupul de lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui s fie alctuit din efii autoritilor de supraveghere din fiecare stat membru i din Autoritatea European pentru Protecia Datelor sau reprezentanii acestora. Comisia ar trebui s participe la activitile comitetului fr a avea drept de vot, iar Autoritatea European pentru Protecia Datelor ar trebui s aib drepturi de vot speciale. Comitetul ar trebui s contribuie la aplicarea coerent a prezentului regulament n ntreaga Uniune, inclusiv prin oferirea de consiliere Comisiei, n special cu privire la nivelul de protecie n rile tere i n cadrul organizaiilor internaionale, i prin promovarea cooperrii autoritilor de supraveghere n ntreaga Uniune. Comitetul ar trebui s acioneze n mod independent n ndeplinirea sarcinilor sale. (140)Comitetul ar trebui s fie asistat de un secretariat asigurat de Autoritatea European pentru Protecia Datelor. Personalul Autoritii Europene pentru Protecia Datelor implicat n ndeplinirea sarcinilor conferite comitetului n temeiul prezentului regulament ar trebui s i ndeplineasc sarcinile exclusiv conform instruciunilor preedintelui comitetului i s raporteze acestuia. (141)Orice persoan vizat ar trebui s aib dreptul de a depune o plngere la o singur autoritate de supraveghere, n special n statul membru n care i are reedina obinuit, precum i dreptul la o cale de atac eficient n conformitate cu articolul 47 din cart, n cazul n care persoana vizat consider c drepturile sale n temeiul prezentului regulament sunt nclcate sau n cazul n care autoritatea de supraveghere nu reacioneaz la o plngere, respinge sau refuz parial sau total o plngere sau nu acioneaz atunci cnd o astfel de aciune este necesar pentru asigurarea proteciei drepturilor persoanei vizate. Investigaia n urma unei plngeri ar trebui s fie efectuat, sub control judiciar, n msura n care este necesar, n funcie de caz. Autoritatea de supraveghere ar trebui s informeze persoana vizat cu privire la evoluia i soluionarea plngerii ntr-un termen rezonabil. n eventualitatea n care cazul necesit o investigare suplimentar sau coordonarea cu o alt autoritate de supraveghere, ar trebui s se furnizeze informaii intermediare persoanei vizate. n vederea facilitrii depunerii plngerilor, fiecare autoritate de supraveghere ar trebui s ia msuri precum punerea la dispoziie a unui formular de depunere a plngerii, care s poat fi completat inclusiv n format electronic, fr a exclude alte mijloace de comunicare. (142)n cazul n care persoana vizat consider c drepturile sale n temeiul prezentului regulament sunt nclcate, aceasta ar trebui s aib dreptul de a mandata un organism, o organizaie sau o asociaie fr scop lucrativ care este nfiinat() n conformitate cu dreptul intern, ale crui (crei) obiective statutare sunt n interesul public i care i desfoar activitatea n domeniul asigurrii proteciei datelor cu caracter personal, s depun o plngere n numele su la o autoritate de supraveghere, s exercite dreptul la o cale de atac n numele persoanelor vizate sau, n cazul n care se prevede n dreptul intern, s exercite dreptul de a primi despgubiri n numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizaie sau asociaie s aib dreptul de a depune o plngere n statul membru respectiv, independent de mandatul acordat de o persoan vizat, i s aib dreptul la o cale de atac eficient n cazul n care are motive s considere c drepturile unei persoane vizate au fost nclcate ca rezultat al unei prelucrri a datelor cu caracter personal care ncalc prezentul regulament. Organismul, organizaia sau asociaia n cauza nu poate pretinde despgubiri n numele unei persoane vizate, independent de mandatul acordat de persoana vizat. (143)Orice persoan fizic sau juridic are dreptul de a introduce o aciune n anulare mpotriva deciziilor comitetului n faa Curii de Justiie, n conformitate cu condiiile prevzute la articolul 263 din TFUE. n calitate de destinatare ale acestor decizii, autoritile de supraveghere vizate care doresc s le conteste trebuie s introduc o aciune mpotriva deciziilor respective n termen de dou luni de la data la care le-au fost notificate, n conformitate cu articolul 263 din TFUE. n cazul n care deciziile comitetului vizeaz n mod direct i individual un operator, o persoan mputernicit de operator sau reclamantul, acetia din urm pot introduce o aciune n anularea respectivelor decizii n termen de dou luni de la publicarea acestora pe site-ul comitetului, n conformitate cu articolul 263 din TFUE. Fr a aduce atingere acestui drept n temeiul articolului 263 din TFUE, orice persoan fizic sau juridic ar trebui s aib dreptul la o cale de atac judiciar eficient n faa instanei naionale competente mpotriva unei decizii a unei autoriti de supraveghere care produce efecte juridice privind respectiva persoan. O astfel de decizie se refer n special la exercitarea competenelor de investigare, corective i de autorizare de ctre autoritatea de supraveghere sau la refuzul sau respingerea plngerilor. Cu toate acestea, dreptul la o cale de atac judiciar eficient nu include msuri ale autoritilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizat de aceasta. Aciunile mpotriva unei autoriti de supraveghere ar trebui s fie aduse n faa instanelor statului membru n care este stabilit autoritatea de supraveghere i ar trebui s se desfoare n conformitate cu dreptul procesual al statului membru respectiv. Respectivele instane ar trebui s i exercite competena judiciar deplin, care ar trebui s includ competena de a examina toate aspectele de fapt sau de drept care au relevan pentru litigiul cu care acestea sunt sesizate. n cazul n care o plngere a fost respins sau refuzat de o autoritate de supraveghere, reclamantul poate introduce o aciune la instanele din acelai stat membru. n contextul cilor de atac judiciare privind aplicarea prezentului regulament, instanele naionale care consider necesar o decizie privind chestiunea respectiv pentru a le permite s ia o hotrre pot sau, n cazul prevzut la articolul 267 din TFUE, trebuie s solicite Curii de Justiie s pronune o decizie preliminar privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. n plus, n cazul n care o decizie a unei autoriti de supraveghere care pune n aplicare o decizie a comitetului este contestat n faa unei instane naionale i este n discuie validitatea deciziei comitetului, respectiva instan naional nu are competena de a declara nul decizia comitetului, ci trebuie s aduc chestiunea validitii n faa Curii de Justiie, n conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea de Justiie, ori de cte ori instana naional consider decizia nul. Cu toate acestea, o instan naional nu poate s transmit o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane fizice sau juridice care a avut posibilitatea de a introduce o aciune n anulare mpotriva respectivei decizii, n special dac aceasta era vizat n mod direct i individual de decizia n cauz, dar nu a fcut acest lucru n termenul prevzut la articolul 263 din TFUE. (144)Atunci cnd o instan sesizat cu o procedur mpotriva unei decizii a unei autoriti de supraveghere are motive s cread c n faa unei instane competente dintr-un alt stat membru au fost introduse proceduri cu privire la aceeai prelucrare, cum ar fi acelai obiect al prelucrrii, de ctre acelai operator sau aceleai persoan mputernicit de operator, sau aceeai cauz, instana respectiv ar trebui s contacteze cea de a doua instan pentru a confirma existena unor astfel de proceduri conexe. n cazul n care aceste proceduri conexe se afl pe rolul unei instane dintr-un alt stat membru, orice instan, cu excepia celei sesizate iniial, poate s i suspende procedurile sau, la cererea uneia dintre pri, i poate declina competena n favoarea instanei sesizate iniial, cu condiia ca aceasta din urm s aib competena de a soluiona procedurile n cauz i ca dreptul care i se aplic s i permit consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci cnd sunt att de strns legate ntre ele nct este oportun instrumentarea i judecarea lor n acelai timp pentru a se evita riscul pronunrii unor hotrri ireconciliabile n cazul judecrii lor n mod separat. (145)n ceea ce privete aciunile iniiate mpotriva unui operator sau unei persoane mputernicite de operator, reclamantul ar trebui s aib posibilitatea de a introduce aciunea n faa instanelor din statele membre n care operatorul sau persoana mputernicit de operator are un sediu sau n care persoana vizat i are reedina, cu excepia cazului n care operatorul este o autoritate public dintr-un stat membru ce acioneaz n exercitarea competenelor sale publice. (146)Operatorul sau persoana mputernicit de operator ar trebui s plteasc despgubiri pentru orice prejudiciu pe care o persoan l poate suferi ca urmare a unei prelucrri care ncalc prezentul regulament. Operatorul sau persoana mputernicit de operator ar trebui s fie exonerai de rspundere dac dovedesc c nu sunt n niciun fel rspunztori pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat n sens larg, din perspectiva jurisprudenei Curii de Justiie, ntr-un mod care s reflecte pe deplin obiectivele prezentului regulament. Aceast dispoziie nu aduce atingere niciunei cereri de despgubire care rezult din nclcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care ncalc prezentul regulament include i prelucrarea care ncalc actele delegate i de punere n aplicare adoptate n conformitate cu prezentul regulament i cu dreptul intern care specific norme din prezentul regulament. Persoanele vizate ar trebui s primeasc despgubiri integrale i eficace pentru prejudiciul pe care le-au suferit. n cazul n care operatorii sau persoanele mputernicite de operatori sunt implicate n aceeai prelucrare, fiecare operator sau fiecare persoan mputernicit de operator ar trebui s fie considerat rspunztoare pentru ntregul prejudiciu. Cu toate acestea, atunci cnd procedurile juridice care le vizeaz sunt conexate, n conformitate cu dreptul intern, despgubirile pot fi mprite n funcie de rspunderea fiecrui operator sau a fiecrei persoane mputernicite de operator, cu condiia s se asigure despgubirea integral i efectiv a persoanei vizate care a suferit prejudiciul. Orice operator sau persoan mputernicit de operator care a pltit despgubiri integrale poate formula ulterior o aciune n regres mpotriva altor operatori sau persoane mputernicite de operatori implicate n aceeai prelucrare. (147)n cazul n care prezentul regulament cuprinde norme specifice privind competena judiciar, n special n ceea ce privete cile de atac judiciare, inclusiv aciunile n despgubiri, mpotriva unui operator sau a unei persoane mputernicite de operator, normele generale privind competena judiciar precum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului European i al Consiliului (1) nu ar trebui s aduc atingere aplicrii unor astfel de norme specifice. (1)Regulamentul (UE) nr. 1215/2012 al Parlamentului European i al Consiliului din 12 decembrie 2012 privind competena judiciar, recunoaterea i executarea hotrrilor n materie civil i comercial (JO L 351, 20.12.2012, p. 1). (148)Pentru a consolida respectarea aplicrii normelor prevzute n prezentul regulament, ar trebui impuse sanciuni, inclusiv amenzi administrative, pentru orice nclcare a prezentului regulament, pe lng sau n locul msurilor adecvate impuse de autoritatea de supraveghere n temeiul prezentului regulament. n cazul unei nclcri minore sau n cazul n care amenda susceptibil de a fi impus ar constitui o sarcin disproporionat pentru o persoan fizic, poate fi emis un avertisment n locul unei amenzi. Cu toate acestea, ar trebui s se ia n considerare n mod corespunztor natura, gravitatea i durata nclcrii, caracterul deliberat al nclcrii, aciunile ntreprinse pentru a reduce prejudiciul cauzat, gradul de rspundere sau orice nclcri anterioare relevante, modul n care nclcarea a fost adus la cunotina autoritii de supraveghere, conformitatea cu msurile adoptate mpotriva operatorului sau a persoanei mputernicite de operator, aderarea la un cod de conduit i orice alt factor agravant sau atenuant. Impunerea de sanciuni, inclusiv de amenzi administrative, ar trebui s fac obiectul unor garanii procedurale adecvate, n conformitate cu principiile generale ale dreptului Uniunii i cu carta, inclusiv o protecie judiciar eficient i un proces echitabil. (149)Statele membre ar trebui s poat stabili normele privind sanciunile penale pentru nclcrile prezentului regulament, inclusiv pentru nclcarea normelor de drept intern adoptate n temeiul i n limitele prezentului regulament. Respectivele sanciuni penale pot, de asemenea, permite privarea de profiturile obinute prin nclcarea prezentului regulament. Cu toate acestea, impunerea de sanciuni penale pentru nclcri ale unor asemenea norme de drept intern i de sanciuni administrative nu ar trebui s duc la nclcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justiie. (150)Pentru consolidarea i armonizarea sanciunilor administrative n cazul nclcrii prezentului regulament, fiecare autoritate de supraveghere ar trebui s aib competena de a impune amenzi administrative. Prezentul regulament ar trebui s indice nclcrile, i limita maxim i criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui s fie stabilite de autoritatea de supraveghere competent n fiecare caz n parte, innd seama de toate circumstanele relevante ale situaiei specifice, lundu-se n considerare n mod corespunztor, n special, natura, gravitatea i durata nclcrii, precum i consecinele acesteia i msurile luate pentru a se asigura respectarea obligaiilor n temeiul prezentului regulament i pentru a se preveni sau atenua consecinele nclcrii. n cazul n care amenzile administrative sunt impuse unei ntreprinderi, o ntreprindere ar trebui neleas ca fiind o ntreprindere n conformitate cu articolele 101 i 102 din TFUE n aceste scopuri. n cazul n care se impun amenzi administrative unor persoane care nu sunt ntreprinderi, autoritatea de supraveghere ar trebui s in seama de nivelul general al veniturilor din statul membru respectiv, precum i de situaia economic a persoanei atunci cnd estimeaz cuantumul adecvat al amenzii. Mecanismul pentru asigurarea coerenei poate fi, de asemenea, utilizat pentru a promova aplicarea consecvent a amenzilor administrative. Competena de a stabili dac i n ce msur autoritile publice ar trebui s fac obiectul unor amenzi administrative ar trebui s revin statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertizri nu afecteaz aplicarea altor competene ale autoritilor de supraveghere sau a altor sanciuni n temeiul prezentului regulament. (151)Sistemele juridice ale Danemarcei i Estoniei nu permit amenzi administrative astfel cum sunt prevzute n prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel nct, n Danemarca, amenda s fie impus de instanele naionale competente ca sanciune penal, iar n Estonia amenda s fie impus de autoritatea de supraveghere n cadrul unei proceduri privind delictele, cu condiia ca o astfel de aplicare a normelor n statele membre respective s aib un efect echivalent cu cel al amenzilor administrative impuse de autoritile de supraveghere. Prin urmare, instanele naionale competente ar trebui s in seama de recomandarea autoritii de supraveghere care a iniiat amenda. n orice caz, amenzile impuse ar trebui s fie eficace, proporionale i disuasive. (152)n cazul n care prezentul regulament nu armonizeaz sanciunile administrative sau n alte cazuri, acolo unde este necesar, de exemplu n cazul unor nclcri grave ale prezentului regulament, statele membre ar trebui s pun n aplicare un sistem care s prevad sanciuni eficace, proporionale i disuasive. Natura unor astfel de sanciuni, penale sau administrative, ar trebui stabilit n dreptul intern. (153)Dreptul statelor membre ar trebui s stabileasc un echilibru ntre normele care reglementeaz libertatea de exprimare i de informare, inclusiv exprimarea jurnalistic, academic, artistic i/sau literar, i dreptul la protecia datelor cu caracter personal n temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv n scopuri jurnalistice sau n scopul exprimrii academice, artistice sau literare ar trebui s fac obiectul unor derogri sau al unor excepii de la anumite dispoziii ale prezentului regulament n cazul n care este necesar stabilirea unui echilibru ntre dreptul la protecia datelor cu caracter personal i dreptul la libertatea de exprimare i de informare, astfel cum este prevzut n articolul 11 din cart. Acest lucru ar trebui s se aplice n special prelucrrii datelor cu caracter personal n domeniul audiovizualului, precum i n arhivele de tiri i n bibliotecile ziarelor. Prin urmare, statele membre ar trebui s adopte msuri legislative care s prevad excepiile i derogrile necesare n vederea asigurrii echilibrului ntre aceste drepturi fundamentale. Statele membre ar trebui s adopte astfel de excepii i derogri n ceea ce privete principiile generale, drepturile persoanelor vizate, operatorul i persoana mputernicit de operator, transferul de date cu caracter personal ctre ri tere sau organizaii internaionale, autoritile de supraveghere independente, cooperarea i coerena, precum i n ceea ce privete situaii specifice de prelucrare a datelor. n cazul n care aceste excepii sau derogri difer de la un stat membru la altul, ar trebui s se aplice dreptul statului membru sub incidena cruia intr operatorul. Pentru a ine seama de importana dreptului la libertatea de exprimare n fiecare societate democratic, este necesar ca noiunile legate de aceast libertate, cum ar fi jurnalismul, s fie interpretate n sens larg. (154)Prezentul regulament permite luarea n considerare a principiului accesului public la documente oficiale n aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi n interes public. Datele cu caracter personal din documentele deinute de o autoritate public sau de un organism public ar trebui s poat fi divulgate de autoritatea respectiv sau de organismul respectiv n cazul n care dreptul Uniunii sau dreptul intern sub incidena cruia intr autoritatea public sau organismul public prevede acest lucru. Dreptul Uniunii i dreptul intern ar trebui s asigure un echilibru ntre accesul public la documentele oficiale i reutilizarea informaiilor din sectorul public, pe de o parte, i dreptul la protecia datelor cu caracter personal, pe de alt parte, i ar putea prin urmare s prevad echilibrul necesar cu dreptul la protecia datelor cu caracter personal n temeiul prezentului regulament. Trimiterea la autoritile i organismele publice ar trebui, n acest context, s includ toate autoritile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva 2003/98/CE a Parlamentului European i a Consiliului (1) las intact i nu aduce atingere n niciun fel nivelului de protecie a persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal n conformitate cu dreptul Uniunii i cu cel intern i, n special, nu modific drepturile i obligaiile prevzute de prezentul regulament. n special, directiva sus-menionat nu se aplic documentelor la care accesul este exclus sau restrns n temeiul regimurilor de acces din motive legate de protecia datelor cu caracter personal i nici prilor din documente accesibile n temeiul respectivelor regimuri care conin date cu caracter personal a cror reutilizare a fost stabilit prin lege ca fiind incompatibil cu dreptul privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal. (1)Directiva 2003/98/CE a Parlamentului European i a Consiliului din 17 noiembrie 2003 privind reutilizarea informaiilor din sectorul public (JO L 345, 31.12.2003, p. 90). (155)Dreptul intern sau acordurile colective, inclusiv "acordurile de munc", pot prevedea norme specifice care s reglementeze prelucrarea datelor cu caracter personal ale angajailor n contextul ocuprii unui loc de munc, n special condiiile n care datele cu caracter personal n contextul ocuprii unui loc de munc pot fi prelucrate pe baza consimmntului angajatului, n scopul recrutrii, al respectrii clauzelor contractului de munc, inclusiv descrcarea de obligaiile stabilite prin lege sau prin acorduri colective, al gestionrii, planificrii i organizrii muncii, al egalitii i diversitii la locul de munc, al asigurrii sntii i securitii la locul de munc, precum i n scopul exercitrii i beneficierii, n mod individual sau colectiv, de drepturile i beneficiile legate de ocuparea unui loc de munc, precum i n scopul ncetrii raporturilor de munc. (156)Prelucrarea datelor cu caracter personal n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice ar trebui s fac obiectul unor garanii adecvate pentru drepturile i libertile persoanei vizate n temeiul prezentului regulament. Respectivele garanii ar trebui s asigure faptul c au fost instituite msuri tehnice i organizatorice necesare pentru a se asigura, n special, principiul reducerii la minimum a datelor. Prelucrarea ulterioar a datelor cu caracter personal n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice se efectueaz atunci cnd operatorul a evaluat fezabilitatea pentru ndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiia s existe garanii adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Statele membre ar trebui s prevad garanii adecvate pentru prelucrarea datelor cu caracter personal n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. Statele membre ar trebui s fie autorizate s ofere, n anumite condiii i sub rezerva unor garanii adecvate pentru persoanele vizate, precizri i derogri n ceea ce privete cererile de informaii i dreptul la rectificare, dreptul la tergere, dreptul de a fi uitat, dreptul la restricionarea prelucrrii,dreptul la portabilitatea datelor, precum i dreptul la opoziie n cazul prelucrrii datelor cu caracter personal n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. Condiiile i garaniile n cauz pot genera proceduri specifice astfel nct persoanele vizate s i exercite respectivele drepturi dac acest lucru este adecvat n contextul scopurilor vizate de prelucrarea specific, precum i msuri tehnice i organizaionale viznd reducerea la minimum a prelucrrii datelor cu caracter personal, n conformitate cu principiile proporionalitii i necesitii. Prelucrarea datelor cu caracter personal n scopuri tiinifice ar trebui s fie, de asemenea, conform cu alte acte legislative relevante, cum ar fi cele privind studiile clinice. (157)Prin combinarea informaiilor din registre, cercettorii pot obine noi cunotine de mare valoare n ceea ce privete bolile cu larg rspndire, cum ar fi bolile cardiovasculare, cancerul i depresia. Pe baza registrelor, rezultatele cercetrilor pot fi ntrite, ntruct acestea se bazeaz pe o populaie mai mare. n domeniul tiinelor sociale, cercetarea pe baza registrelor le permite cercettorilor s obin informaii eseniale despre corelarea pe termen lung a unei serii de condiii sociale, precum omajul sau educaia, cu alte condiii de via. Rezultatele cercetrilor obinute pe baza registrelor furnizeaz cunotine solide, de nalt calitate, care pot constitui baza pentru elaborarea i punerea n aplicare a unor politici bazate pe cunoatere i care pot mbunti calitatea vieii pentru un numr de persoane, eficiena serviciilor sociale. Pentru a facilita cercetarea tiinific, datele cu caracter personal pot fi prelucrate n scopuri de cercetare tiinific, sub rezerva condiiilor i a garaniilor corespunztoare stabilite n dreptul Uniunii sau n dreptul intern. (158)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de arhivare, prezentul regulament ar trebui s se aplice i prelucrrii respective, innd seama de faptul c prezentul regulament nu ar trebui s se aplice persoanelor decedate. Autoritile publice sau organismele publice sau private care dein evidene de interes public ar trebui, n temeiul dreptului Uniunii sau al dreptului naional, s aib o obligaie legal de a dobndi, a pstra, a evalua, a pregti, a descrie, a comunica, a promova, a disemina i a asigura accesul la evidene de valoare durabil de interes public general. Statele membre ar trebui, de asemenea, s poat s prevad prelucrarea ulterioar a datelor cu caracter personal n scopuri de arhivare, de exemplu cu scopul de a furniza informaii specifice referitoare la comportamentul politic n perioada fostelor regimuri de stat totalitare, la genociduri, la crime mpotriva umanitii, n special holocaustul, sau la crime de rzboi. (159)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare tiinific, prezentul regulament ar trebui s se aplice i prelucrrii respective. n sensul prezentului regulament, prelucrarea datelor cu caracter personal n scopuri de cercetare tiinific ar trebui s fie interpretat n sens larg, incluznd de exemplu dezvoltarea tehnologic i activitile demonstrative, cercetarea fundamental, cercetarea aplicat i cercetarea finanat din surse private. Ar trebui, n plus, luat n considerare obiectivul Uniunii de creare a unui Spaiu european de cercetare, astfel cum este menionat la articolul 179 alineatul (1) din TFUE. Scopurile de cercetare tiinific ar trebui s includ, de asemenea, studii efectuate n interes public n domeniul sntii publice. Pentru a ndeplini caracteristicile specifice ale prelucrrii datelor cu caracter personal n scopuri de cercetare tiinific, ar trebui s se aplice condiii specifice, n special n ceea ce privete publicarea sau divulgarea ntr-un alt mod a datelor cu caracter personal n contextul scopurilor de cercetare tiinific. n cazul n care rezultatul cercetrii tiinifice, n special n contextul sntii, constituie un motiv pentru msuri suplimentare n interesul persoanei vizate, normele generale ale prezentului regulament ar trebui s se aplice avnd n vedere aceste msuri. (160)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare istoric, prezentul regulament ar trebui s se aplice i prelucrrii respective. Acest lucru ar trebui s includ, de asemenea, cercetarea istoric i cercetarea n scopuri genealogice, innd seama de faptul c prezentul regulament nu ar trebui s se aplice persoanelor decedate. (161)n scopul acordrii consimmntului de a participa la activiti de cercetare tiinific n cadrul testelor clinice, ar trebui s se aplice dispoziiile relevante ale Regulamentului (UE) nr. 536/2014 al Parlamentului European i al Consiliului (1). (1)Regulamentul (UE) nr. 536/2014 al Parlamentului European i al Consiliului din 16 aprilie 2014 privind studiile clinice intervenionale cu medicamente de uz uman i de abrogare a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1). (162)n cazul n care datele cu caracter personal sunt prelucrate n scopuri statistice, prezentul regulament ar trebui s se aplice prelucrrii respective. Dreptul Uniunii sau dreptul intern ar trebui, n limitele prezentului regulament, s determine coninutul statistic, controlul accesului, specificaiile pentru prelucrarea datelor cu caracter personal n scopuri statistice i msurile adecvate pentru a proteja drepturile i libertile persoanelor vizate i pentru a asigura confidenialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior n diferite scopuri, inclusiv n scopuri de cercetare tiinific. Scopuri statistice nseamn orice operaiune de colectare i prelucrare de date cu caracter personal necesar pentru anchetele statistice sau pentru producerea de rezultate statistice. Scopurile statistice presupun c rezultatul prelucrrii n scopuri statistice nu constituie date cu caracter personal, ci date agregate i c acest rezultat sau datele cu caracter personal nu sunt utilizate n sprijinul unor msuri sau decizii privind o anumit persoan fizic. (163)Informaiile confideniale pe care autoritile statistice de la nivelul Uniunii i de la nivel naional le colecteaz n vederea elaborrii de statistici europene i naionale oficiale ar trebui s fie protejate. Statisticile europene ar trebui concepute, elaborate i difuzate n conformitate cu principiile statistice prevzute la articolul 338 alineatul (2) din TFUE, n timp ce statisticile naionale ar trebui, de asemenea, s fie n conformitate cu dreptul intern. Regulamentul (CE) nr. 223/2009 al Parlamentului European i al Consiliului (2) prevede specificaii suplimentare privind confidenialitatea datelor statistice pentru statisticile europene. (2)Regulamentul (CE) nr. 223/2009 al Parlamentului European i al Consiliului din 11 martie 2009 privind statisticile europene i de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European i al Consiliului privind transmiterea de date statistice confideniale Biroului Statistic al Comunitilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare i a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunitilor Europene (JO L 87, 31.3.2009, p. 164). (164)n ceea ce privete competenele autoritilor de supraveghere de a obine de la operator sau de la persoana mputernicit de operator accesul la datele cu caracter personal i accesul n cldirile lor, statele membre pot adopta, pe cale legislativ i n limitele stabilite de prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor obligaii echivalente, n msura n care acest lucru este necesar pentru a asigura un echilibru ntre dreptul la protecia datelor cu caracter personal i obligaia de pstrare a secretului profesional. Aceasta nu aduce atingere obligaiilor existente ale statelor membre de a adopta norme privind secretul profesional n situaiile cerute de dreptul Uniunii. (165)Prezentul regulament respect i nu aduce atingere statutului de care beneficiaz, n temeiul dreptului constituional existent, bisericile i asociaiile sau comunitile religioase din statele membre, astfel cum este recunoscut n articolul 17 din TFUE. (166)n vederea ndeplinirii obiectivelor prezentului regulament, i anume protejarea drepturilor i libertilor fundamentale ale persoanelor fizice i, n special, a dreptului acestora la protecia datelor cu caracter personal, i pentru a se garanta libera circulaie a datelor cu caracter personal pe teritoriul Uniunii, competena de a adopta acte n conformitate cu articolul 290 din TFUE ar trebui s fie delegat Comisiei. n special, ar trebui adoptate acte delegate n ceea ce privete criteriile i cerinele privind mecanismele de certificare, informaiile care trebuie prezentate prin pictograme standardizate i procedurile pentru furnizarea unor astfel de pictograme. Este deosebit de important ca, n cadrul activitii sale pregtitoare, Comisia s organizeze consultri adecvate, inclusiv la nivel de experi. Atunci cnd pregtete i elaboreaz acte delegate, Comisia ar trebui s asigure transmiterea simultan, la timp i n mod corespunztor a documentelor relevante ctre Parlamentul European i ctre Consiliu. (167)n vederea asigurrii unor condiii uniforme de punere n aplicare a prezentului regulament, Comisia ar trebui nvestit cu competene de executare n situaiile stabilite de prezentul regulament. Competenele respective ar trebui s fie exercitate n conformitate cu Regulamentul (UE) nr. 182/2011. n acest context, Comisia ar trebui s ia n considerare msuri specifice pentru microntreprinderi i pentru ntreprinderile mici i mijlocii. (168)Procedura de examinare ar trebui utilizat pentru adoptarea de acte de punere n aplicare privind: clauzele contractuale standard dintre operatori i persoanele mputernicite de operatori, precum i dintre persoanele mputernicite de operatori; codurile de conduit; standardele tehnice i mecanismele de certificare; nivelul adecvat de protecie oferit de o ar ter, de un teritoriu sau de un anumit sector de prelucrare din ara ter respectiv, sau de o organizaie internaional; clauzele standard de protecie a datelor; formatele i procedurile pentru schimbul electronic de informaii ntre operatori, persoanele mputernicite de operatori i autoritile de supraveghere pentru regulile corporatiste obligatorii; asistena reciproc; precum i modalitile de realizare a schimbului electronic de informaii ntre autoritile de supraveghere, precum i ntre autoritile de supraveghere i comitetul. (169)Comisia ar trebui s adopte acte de punere n aplicare imediat aplicabile atunci cnd dovezile disponibile arat c o ar ter, un teritoriu sau un anumit sector de prelucrare din ara ter respectiv, sau o organizaie internaional nu asigur un nivel de protecie adecvat, precum i din motive imperative de urgen. (170)Deoarece obiectivul prezentului regulament, i anume asigurarea unui nivel echivalent de protecie a persoanelor fizice i libera circulaie a datelor cu caracter personal n ntreaga Uniune, nu poate fi realizat n mod satisfctor de ctre statele membre dar, avnd n vedere amploarea sau efectele aciunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta msuri n conformitate cu principiul subsidiaritii, astfel cum este definit la articolul 5 din Tratatul privind Uniunea European ("Tratatul UE"). n conformitate cu principiul proporionalitii, astfel cum este definit la articolul respectiv, prezentul regulament nu depete ceea ce este necesar pentru realizarea obiectivelor menionate. (171)Directiva 95/46/CE ar trebui s fie abrogat prin prezentul regulament. Prelucrrile n derulare la data aplicrii prezentului regulament ar trebui s fie aduse n conformitate cu prezentul regulament n termen de doi ani de la data intrrii n vigoare a prezentului regulament. n cazul n care prelucrrile se bazeaz pe consimmnt n temeiul Directivei 95/46/CE, nu este necesar ca persoana vizat s i dea nc o dat consimmntul n cazul n care modul n care consimmntul a fost dat este n conformitate cu condiiile din prezentul regulament, astfel nct operatorului s i se permit s continue o astfel de prelucrare dup data aplicrii prezentului regulament. Deciziile adoptate ale Comisiei i autorizaiile autoritilor de supraveghere emise pe baza Directivei 95/46/CE rmn n vigoare pn cnd vor fi modificate, nlocuite sau abrogate. (172)Autoritatea European pentru Protecia Datelor a fost consultat n conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 i a emis un aviz la 7 martie 2012 (1). (1)JO C 192, 30.6.2012, p. 7. (173)Prezentul regulament ar trebui s se aplice tuturor aspectelor referitoare la protecia drepturilor i libertilor fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obligaii specifice cu acelai obiectiv ca cel stabilit n Directiva 2002/58/CE a Parlamentului European i a Consiliului (2), inclusiv obligaiile privind operatorul i drepturile persoanelor fizice. Pentru a se clarifica relaia dintre prezentul regulament i Directiva 2002/58/CE, respectiva directiv ar trebui s fie modificat n consecin. Dup adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui s fie revizuit n special pentru a se asigura coerena cu prezentul regulament, (2)Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice (Directiva asupra confidenialitii i comunicaiilor electronice) (JO L 201, 31.7.2002, p. 37). ADOPT PREZENTUL REGULAMENT: -****- CAPITOLUL I: Dispoziii generale Art. 1: Obiect i obiective (1)Prezentul regulament stabilete normele referitoare la protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal, precum i normele referitoare la libera circulaie a datelor cu caracter personal. (2)Prezentul regulament asigur protecia drepturilor i libertilor fundamentale ale persoanelor fizice i n special a dreptului acestora la protecia datelor cu caracter personal. (3)Libera circulaie a datelor cu caracter personal n interiorul Uniunii nu poate fi restricionat sau interzis din motive legate de protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal. Art. 2: Domeniul de aplicare material (1)Prezentul regulament se aplic prelucrrii datelor cu caracter personal, efectuat total sau parial prin mijloace automatizate, precum i prelucrrii prin alte mijloace dect cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de eviden a datelor sau care sunt destinate s fac parte dintr-un sistem de eviden a datelor. (2)Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal: a)n cadrul unei activiti care nu intr sub incidena dreptului Uniunii; b)de ctre statele membre atunci cnd desfoar activiti care intr sub incidena capitolului 2 al titlului V din Tratatul UE; c)de ctre o persoan fizic n cadrul unei activiti exclusiv personale sau domestice; d)de ctre autoritile competente n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor, sau al executrii sanciunilor penale, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora. (3)Pentru prelucrarea datelor cu caracter personal de ctre instituiile, organele, oficiile i ageniile Uniunii, se aplic Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 i alte acte juridice ale Uniunii aplicabile unei asemenea prelucrri a datelor cu caracter personal se adapteaz la principiile i normele din prezentul regulament n conformitate cu articolul 98. (4)Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE, n special normelor privind rspunderea furnizorilor de servicii intermediari, prevzute la articolele 12-15 din directiva menionat. Art. 3: Domeniul de aplicare teritorial (1)Prezentul regulament se aplic prelucrrii datelor cu caracter personal n cadrul activitilor unui sediu al unui operator sau al unei persoane mputernicite de operator pe teritoriul Uniunii, indiferent dac prelucrarea are loc sau nu pe teritoriul Uniunii. (2)Prezentul regulament se aplic prelucrrii datelor cu caracter personal ale unor persoane vizate care se afl n Uniune de ctre un operator sau o persoan mputernicit de operator care nu este stabilit() n Uniune, atunci cnd activitile de prelucrare sunt legate de: a)oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac se solicit sau nu efectuarea unei pli de ctre persoana vizat; sau b)monitorizarea comportamentului lor dac acesta se manifest n cadrul Uniunii. (3)Prezentul regulament se aplic prelucrrii datelor cu caracter personal de ctre un operator care nu este stabilit n Uniune, ci ntr-un loc n care dreptul intern se aplic n temeiul dreptului internaional public. Art. 4: Definiii n sensul prezentului regulament: 1."date cu caracter personal" nseamn orice informaii privind o persoan fizic identificat sau identificabil ("persoana vizat"); o persoan fizic identificabil este o persoan care poate fi identificat, direct sau indirect, n special prin referire la un element de identificare, cum ar fi un nume, un numr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale; 2."prelucrare" nseamn orice operaiune sau set de operaiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fr utilizarea de mijloace automatizate, cum ar fi colectarea, nregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziie n orice alt mod, alinierea sau combinarea, restricionarea, tergerea sau distrugerea; 3."restricionarea prelucrrii" nseamn marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora; 4."creare de profiluri" nseamn orice form de prelucrare automat a datelor cu caracter personal care const n utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoan fizic, n special pentru a analiza sau prevedea aspecte privind performana la locul de munc, situaia economic, sntatea, preferinele personale, interesele, fiabilitatea, comportamentul, locul n care se afl persoana fizic respectiv sau deplasrile acesteia; 5."pseudonimizare" nseamn prelucrarea datelor cu caracter personal ntr-un asemenea mod nct acestea s nu mai poat fi atribuite unei anume persoane vizate fr a se utiliza informaii suplimentare, cu condiia ca aceste informaii suplimentare s fie stocate separat i s fac obiectul unor msuri de natur tehnic i organizatoric care s asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile; 6."sistem de eviden a datelor" nseamn orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dup criterii funcionale sau geografice; 7."operator" nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt organism care, singur sau mpreun cu altele, stabilete scopurile i mijloacele de prelucrare a datelor cu caracter personal; atunci cnd scopurile i mijloacele prelucrrii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevzute n dreptul Uniunii sau n dreptul intern; 8."persoan mputernicit de operator" nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt organism care prelucreaz datele cu caracter personal n numele operatorului; 9."destinatar" nseamn persoana fizic sau juridic, autoritatea public, agenia sau alt organism creia (cruia) i sunt divulgate datele cu caracter personal, indiferent dac este sau nu o parte ter. Cu toate acestea, autoritile publice crora li se pot comunica date cu caracter personal n cadrul unei anumite anchete n conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de ctre autoritile publice respective respect normele aplicabile n materie de protecie a datelor, n conformitate cu scopurile prelucrrii; 10."parte ter" nseamn o persoan fizic sau juridic, autoritate public, agenie sau organism altul dect persoana vizat, operatorul, persoana mputernicit de operator i persoanele care, sub directa autoritate a operatorului sau a persoanei mputernicite de operator, sunt autorizate s prelucreze date cu caracter personal; 11."consimmnt" al persoanei vizate nseamn orice manifestare de voin liber, specific, informat i lipsit de ambiguitate a persoanei vizate prin care aceasta accept, printr-o declaraie sau printr-o aciune fr echivoc, ca datele cu caracter personal care o privesc s fie prelucrate; 12."nclcarea securitii datelor cu caracter personal" nseamn o nclcare a securitii care duce, n mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizat a datelor cu caracter personal transmise, stocate sau prelucrate ntr-un alt mod, sau la accesul neautorizat la acestea; 13."date genetice" nseamn datele cu caracter personal referitoare la caracteristicile genetice motenite sau dobndite ale unei persoane fizice, care ofer informaii unice privind fiziologia sau sntatea persoanei respective i care rezult n special n urma unei analize a unei mostre de material biologic recoltate de la persoana n cauz; 14."date biometrice" nseamn o date cu caracter personal care rezult n urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirm identificarea unic a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice; 15."date privind sntatea" nseamn date cu caracter personal legate de sntatea fizic sau mental a unei persoane fizice, inclusiv prestarea de servicii de asisten medical, care dezvluie informaii despre starea de sntate a acesteia; 16."sediu principal" nseamn: (a)n cazul unui operator cu sedii n cel puin dou state membre, locul n care se afl administraia central a acestuia n Uniune, cu excepia cazului n care deciziile privind scopurile i mijloacele de prelucrare a datelor cu caracter personal se iau ntr-un alt sediu al operatorului din Uniune, sediu care are competena de a dispune punerea n aplicare a acestor decizii, caz n care sediul care a luat deciziile respective este considerat a fi sediul principal; (b)n cazul unei persoane mputernicite de operator cu sedii n cel puin dou state membre, locul n care se afl administraia central a acesteia n Uniune, sau, n cazul n care persoana mputernicit de operator nu are o administraie central n Uniune, sediul din Uniune al persoanei mputernicite de operator n care au loc activitile principale de prelucrare, n contextul activitilor unui sediu al persoanei mputernicite de operator, n msura n care aceasta este supus unor obligaii specifice n temeiul prezentului regulament; 17."reprezentant" nseamn o persoan fizic sau juridic stabilit n Uniune, desemnat n scris de ctre operator sau persoana mputernicit de operator n temeiul articolului 27, care reprezint operatorul sau persoana mputernicit n ceea ce privete obligaiile lor respective care le revin n temeiul prezentului regulament; 18."ntreprindere" nseamn o persoan fizic sau juridic ce desfoar o activitate economic, indiferent de forma juridic a acesteia, inclusiv parteneriate sau asociaii care desfoar n mod regulat o activitate economic; 19."grup de ntreprinderi" nseamn o ntreprindere care exercit controlul i ntreprinderile controlate de aceasta; 20."reguli corporatiste obligatorii" nseamn politicile n materie de protecie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoan mputernicit de operator stabilit pe teritoriul unui stat membru, n ceea ce privete transferurile sau seturile de transferuri de date cu caracter personal ctre un operator sau o persoan mputernicit de operator n una sau mai multe ri tere n cadrul unui grup de ntreprinderi sau al unui grup de ntreprinderi implicate ntr-o activitate economic comun; 21."autoritate de supraveghere" nseamn o autoritate public independent instituit de un stat membru n temeiul articolului 51; 22."autoritate de supraveghere vizat" nseamn o autoritate de supraveghere care este vizat de procesul de prelucrare a datelor cu caracter personal deoarece: (a)operatorul sau persoana mputernicit de operator este stabilit pe teritoriul statului membru al autoritii de supraveghere respective; (b)persoanele vizate care i au reedina n statul membru n care se afl autoritatea de supraveghere respectiv sunt afectate n mod semnificativ sau sunt susceptibile de a fi afectate n mod semnificativ de prelucrare; sau (c)la autoritatea de supraveghere respectiv a fost depus o plngere; 23."prelucrare transfrontalier" nseamn: (a)fie prelucrarea datelor cu caracter personal care are loc n contextul activitilor sediilor din mai multe state membre ale unui operator sau ale unei persoane mputernicite de operator pe teritoriul Uniunii, dac operatorul sau persoana mputernicit de operator are sedii n cel puin dou state membre; sau (b)fie prelucrarea datelor cu caracter personal care are loc n contextul activitilor unui singur sediu al unui operator sau al unei persoane mputernicite de operator pe teritoriul Uniunii, dar care afecteaz n mod semnificativ sau este susceptibil de a afecta n mod semnificativ persoane vizate din cel puin dou state membre; 24."obiecie relevant i motivat" nseamn o obiecie la un proiect de decizie n scopul de a stabili dac exist o nclcare a prezentului regulament sau dac msurile preconizate n ceea ce privete operatorul sau persoana mputernicit de operator respect prezentul regulament, care demonstreaz n mod clar importana riscurilor pe care le prezint proiectul de decizie n ceea ce privete drepturile i libertile fundamentale ale persoanelor vizate i, dup caz, libera circulaie a datelor cu caracter personal n cadrul Uniunii; 25."serviciile societii informaionale" nseamn un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European i a Consiliului (1); (1)Directiva 98/34/CE a Parlamentului European i a Consiliului din 22 iunie 1998 de stabilire a unei proceduri pentru furnizarea de informaii n domeniul standardelor i reglementrilor tehnice i al normelor privind serviciile societii informaionale (JO L 204, 21.7.1998, p. 37). 26."organizaie internaional" nseamn o organizaie i organismele sale subordonate reglementate de dreptul internaional public sau orice alt organism care este instituit printr-un acord ncheiat ntre dou sau mai multe ri sau n temeiul unui astfel de acord. CAPITOLUL II: Principii Art. 5: Principii legate de prelucrarea datelor cu caracter personal (1)Datele cu caracter personal sunt: a)prelucrate n mod legal, echitabil i transparent fa de persoana vizat ("legalitate, echitate i transparen"); b)colectate n scopuri determinate, explicite i legitime i nu sunt prelucrate ulterior ntr-un mod incompatibil cu aceste scopuri; prelucrarea ulterioar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice nu este considerat incompatibil cu scopurile iniiale, n conformitate cu articolul 89 alineatul (1) ("limitri legate de scop"); c)adecvate, relevante i limitate la ceea ce este necesar n raport cu scopurile n care sunt prelucrate ("reducerea la minimum a datelor"); d)exacte i, n cazul n care este necesar, s fie actualizate; trebuie s se ia toate msurile necesare pentru a se asigura c datele cu caracter personal care sunt inexacte, avnd n vedere scopurile pentru care sunt prelucrate, sunt terse sau rectificate fr ntrziere ("exactitate"); e)pstrate ntr-o form care permite identificarea persoanelor vizate pe o perioad care nu depete perioada necesar ndeplinirii scopurilor n care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi n msura n care acestea vor fi prelucrate exclusiv n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice, n conformitate cu articolul 89 alineatul (1), sub rezerva punerii n aplicare a msurilor de ordin tehnic i organizatoric adecvate prevzute n prezentul regulament n vederea garantrii drepturilor i libertilor persoanei vizate ("limitri legate de stocare"); f)prelucrate ntr-un mod care asigur securitatea adecvat a datelor cu caracter personal, inclusiv protecia mpotriva prelucrrii neautorizate sau ilegale i mpotriva pierderii, a distrugerii sau a deteriorrii accidentale, prin luarea de msuri tehnice sau organizatorice corespunztoare ("integritate i confidenialitate"). (2)Operatorul este responsabil de respectarea alineatului (1) i poate demonstra aceast respectare ("responsabilitate"). Art. 6: Legalitatea prelucrrii (1)Prelucrarea este legal numai dac i n msura n care se aplic cel puin una dintre urmtoarele condiii: a)persoana vizat i-a dat consimmntul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; b)prelucrarea este necesar pentru executarea unui contract la care persoana vizat este parte sau pentru a face demersuri la cererea persoanei vizate nainte de ncheierea unui contract; c)prelucrarea este necesar n vederea ndeplinirii unei obligaii legale care i revine operatorului; d)prelucrarea este necesar pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; e)prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul; f)prelucrarea este necesar n scopul intereselor legitime urmrite de operator sau de o parte ter, cu excepia cazului n care prevaleaz interesele sau drepturile i libertile fundamentale ale persoanei vizate, care necesit protejarea datelor cu caracter personal, n special atunci cnd persoana vizat este un copil. Litera (f) din primul paragraf nu se aplic n cazul prelucrrii efectuate de autoriti publice n ndeplinirea atribuiilor lor. (2)Statele membre pot menine sau introduce dispoziii mai specifice de adaptare a aplicrii normelor prezentului regulament n ceea ce privete prelucrarea n vederea respectrii alineatului (1) literele (c) i (e) prin definirea unor cerine specifice mai precise cu privire la prelucrare i a altor msuri de asigurare a unei prelucrri legale i echitabile, inclusiv pentru alte situaii concrete de prelucrare, astfel cum este prevzut n capitolul IX. (3)Temeiul pentru prelucrarea menionat la alineatul (1) literele (c) i (e) trebuie s fie prevzut n: a)dreptul Uniunii; sau b)dreptul intern care se aplic operatorului. Scopul prelucrrii este stabilit pe baza respectivului temei juridic sau, n ceea ce privete prelucrarea menionat la alineatul (1) litera (e), este necesar pentru ndeplinirea unei sarcini efectuate n interes public sau n cadrul exercitrii unei funcii publice atribuite operatorului. Respectivul temei juridic poate conine dispoziii specifice privind adaptarea aplicrii normelor prezentului regulament, printre altele: condiiile generale care reglementeaz legalitatea prelucrrii de ctre operator; tipurile de date care fac obiectul prelucrrii; persoanele vizate; entitile crora le pot fi divulgate datele i scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitrile legate de scop; perioadele de stocare; i operaiunile i procedurile de prelucrare, inclusiv msurile de asigurare a unei prelucrri legale i echitabile cum sunt cele pentru alte situaii concrete de prelucrare astfel cum sunt prevzute n capitolul IX. Dreptul Uniunii sau dreptul intern urmrete un obiectiv de interes public i este proporional cu obiectivul legitim urmrit. (4)n cazul n care prelucrarea n alt scop dect cel pentru care datele cu caracter personal au fost colectate nu se bazeaz pe consimmntul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o msur necesar i proporional ntr-o societate democratic pentru a proteja obiectivele menionate la articolul 23 alineatul (1), operatorul, pentru a stabili dac prelucrarea n alt scop este compatibil cu scopul pentru care datele cu caracter personal au fost colectate iniial, ia n considerare, printre altele: a)orice legtur dintre scopurile n care datele cu caracter personal au fost colectate i scopurile prelucrrii ulterioare preconizate; b)contextul n care datele cu caracter personal au fost colectate, n special n ceea ce privete relaia dintre persoanele vizate i operator; c)natura datelor cu caracter personal, n special n cazul prelucrrii unor categorii speciale de date cu caracter personal, n conformitate cu articolul 9, sau n cazul n care sunt prelucrate date cu caracter personal referitoare la condamnri penale i infraciuni, n conformitate cu articolul 10; d)posibilele consecine asupra persoanelor vizate ale prelucrrii ulterioare preconizate; e)existena unor garanii adecvate, care pot include criptarea sau pseudonimizarea. Art. 7: Condiii privind consimmntul (1)n cazul n care prelucrarea se bazeaz pe consimmnt, operatorul trebuie s fie n msur s demonstreze c persoana vizat i-a dat consimmntul pentru prelucrarea datelor sale cu caracter personal. (2)n cazul n care consimmntul persoanei vizate este dat n contextul unei declaraii scrise care se refer i la alte aspecte, cererea privind consimmntul trebuie s fie prezentat ntr-o form care o difereniaz n mod clar de celelalte aspecte, ntr-o form inteligibil i uor accesibil, utiliznd un limbaj clar i simplu. Nicio parte a respectivei declaraii care constituie o nclcare a prezentului regulament nu este obligatorie. (3)Persoana vizat are dreptul s i retrag n orice moment consimmntul. Retragerea consimmntului nu afecteaz legalitatea prelucrrii efectuate pe baza consimmntului nainte de retragerea acestuia. nainte de acordarea consimmntului, persoana vizat este informat cu privire la acest lucru. Retragerea consimmntului se face la fel de simplu ca acordarea acestuia. (4)Atunci cnd se evalueaz dac consimmntul este dat n mod liber, se ine seama ct mai mult de faptul c, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiionat sau nu de consimmntul cu privire la prelucrarea datelor cu caracter personal care nu este necesar pentru executarea acestui contract. Art. 8: Condiii aplicabile n ceea ce privete consimmntul copiilor n legtur cu serviciile societii informaionale (1)n cazul n care se aplic articolul 6 alineatul (1) litera (a), n ceea ce privete oferirea de servicii ale societii informaionale n mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legal dac copilul are cel puin vrsta de 16 ani. Dac copilul are sub vrsta de 16 ani, respectiva prelucrare este legal numai dac i n msura n care consimmntul respectiv este acordat sau autorizat de titularul rspunderii printeti asupra copilului. Statele membre pot prevedea prin lege o vrst inferioar n aceste scopuri, cu condiia ca acea vrst inferioar s nu fie mai mic de 13 ani. (2)Operatorul depune toate eforturile rezonabile pentru a verifica n astfel de cazuri c titularul rspunderii printeti a acordat sau a autorizat consimmntul, innd seama de tehnologiile disponibile. (3)Alineatul (1) nu afecteaz dreptul general al contractelor aplicabil n statele membre, cum ar fi normele privind valabilitatea, ncheierea sau efectele unui contract n legtur cu un copil. Art. 9: Prelucrarea de categorii speciale de date cu caracter personal (1)Se interzice prelucrarea de date cu caracter personal care dezvluie originea rasial sau etnic, opiniile politice, confesiunea religioas sau convingerile filozofice sau apartenena la sindicate i prelucrarea de date genetice, de date biometrice pentru identificarea unic a unei persoane fizice, de date privind sntatea sau de date privind viaa sexual sau orientarea sexual ale unei persoane fizice. (2)Alineatul (1) nu se aplic n urmtoarele situaii: a)persoana vizat i-a dat consimmntul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepia cazului n care dreptul Uniunii sau dreptul intern prevede ca interdicia prevzut la alineatul (1) s nu poat fi ridicat prin consimmntul persoanei vizate; b)prelucrarea este necesar n scopul ndeplinirii obligaiilor i al exercitrii unor drepturi specifice ale operatorului sau ale persoanei vizate n domeniul ocuprii forei de munc i al securitii sociale i proteciei sociale, n msura n care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munc ncheiat n temeiul dreptului intern care prevede garanii adecvate pentru drepturile fundamentale i interesele persoanei vizate; c)prelucrarea este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci cnd persoana vizat se afl n incapacitate fizic sau juridic de a-i da consimmntul; d)prelucrarea este efectuat n cadrul activitilor lor legitime i cu garanii adecvate de ctre o fundaie, o asociaie sau orice alt organism fr scop lucrativ i cu specific politic, filozofic, religios sau sindical, cu condiia ca prelucrarea s se refere numai la membrii sau la fotii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente n legtur cu scopurile sale i ca datele cu caracter personal s nu fie comunicate terilor fr consimmntul persoanelor vizate; e)prelucrarea se refer la date cu caracter personal care sunt fcute publice n mod manifest de ctre persoana vizat; f)prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept n instan sau ori de cte ori instanele acioneaz n exerciiul funciei lor judiciare; g)prelucrarea este necesar din motive de interes public major, n baza dreptului Uniunii sau a dreptului intern, care este proporional cu obiectivul urmrit, respect esena dreptului la protecia datelor i prevede msuri corespunztoare i specifice pentru protejarea drepturilor fundamentale i a intereselor persoanei vizate; h)prelucrarea este necesar n scopuri legate de medicina preventiv sau a muncii, de evaluarea capacitii de munc a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asisten medical sau social sau a unui tratament medical sau de gestionarea sistemelor i serviciilor de sntate sau de asisten social, n temeiul dreptului Uniunii sau al dreptului intern sau n temeiul unui contract ncheiat cu un cadru medical i sub rezerva respectrii condiiilor i garaniilor prevzute la alineatul (3); i)prelucrarea este necesar din motive de interes public n domeniul sntii publice, cum ar fi protecia mpotriva ameninrilor transfrontaliere grave la adresa sntii sau asigurarea de standarde ridicate de calitate i siguran a asistenei medicale i a medicamentelor sau a dispozitivelor medicale, n temeiul dreptului Uniunii sau al dreptului intern, care prevede msuri adecvate i specifice pentru protejarea drepturilor i libertilor persoanei vizate, n special a secretului profesional; sau j)prelucrarea este necesar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice, n conformitate cu articolul 89 alineatul (1), n baza dreptului Uniunii sau a dreptului intern, care este proporional cu obiectivul urmrit, respect esena dreptului la protecia datelor i prevede msuri corespunztoare i specifice pentru protejarea drepturilor fundamentale i a intereselor persoanei vizate. (3)Datele cu caracter personal menionate la alineatul (1) pot fi prelucrate n scopurile menionate la alineatul (2) litera (h) n cazul n care datele respective sunt prelucrate de ctre un profesionist supus obligaiei de pstrare a secretului profesional sau sub responsabilitatea acestuia, n temeiul dreptului Uniunii sau al dreptului intern sau n temeiul normelor stabilite de organisme naionale competente sau de o alt persoan supus, de asemenea, unei obligaii de confidenialitate n temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naionale competente. (4)Statele membre pot menine sau introduce condiii suplimentare, inclusiv restricii, n ceea ce privete prelucrarea de date genetice, date biometrice sau date privind sntatea. Art. 10: Prelucrarea de date cu caracter personal referitoare la condamnri penale i infraciuni Prelucrarea de date cu caracter personal referitoare la condamnri penale i infraciuni sau la msuri de securitate conexe n temeiul articolului 6 alineatul (1) se efectueaz numai sub controlul unei autoriti de stat sau atunci cnd prelucrarea este autorizat de dreptul Uniunii sau de dreptul intern care prevede garanii adecvate pentru drepturile i libertile persoanelor vizate. Orice registru cuprinztor al condamnrilor penale se ine numai sub controlul unei autoriti de stat. Art. 11: Prelucrarea care nu necesit identificare (1)n cazul n care scopurile pentru care un operator prelucreaz date cu caracter personal nu necesit sau nu mai necesit identificarea unei persoane vizate de ctre operator, operatorul nu are obligaia de a pstra, obine sau prelucra informaii suplimentare pentru a identifica persoana vizat n scopul unic al respectrii prezentului regulament. (2)Dac, n cazurile menionate la alineatul (1) din prezentul articol, operatorul poate demonstra c nu este n msur s identifice persoana vizat, operatorul informeaz persoana vizat n mod corespunztor, n cazul n care este posibil. n astfel de cazuri, articolele 15-20 nu se aplic, cu excepia cazului n care persoana vizat, n scopul exercitrii drepturilor sale n temeiul respectivelor articole, ofer informaii suplimentare care permit identificarea sa. CAPITOLUL III: Drepturile persoanei vizate Seciunea 1: Transparen i modaliti Art. 12: Transparena informaiilor, a comunicrilor i a modalitilor de exercitare a drepturilor persoanei vizate (1)Operatorul ia msuri adecvate pentru a furniza persoanei vizate orice informaii menionate la articolele 13 i 14 i orice comunicri n temeiul articolelor 15-22 i 34 referitoare la prelucrare, ntr-o form concis, transparent, inteligibil i uor accesibil, utiliznd un limbaj clar i simplu, n special pentru orice informaii adresate n mod specific unui copil. Informaiile se furnizeaz n scris sau prin alte mijloace, inclusiv, atunci cnd este oportun, n format electronic. La solicitarea persoanei vizate, informaiile pot fi furnizate verbal, cu condiia ca identitatea persoanei vizate s fie dovedit prin alte mijloace. (2)Operatorul faciliteaz exercitarea drepturilor persoanei vizate n temeiul articolelor 15-22. n cazurile menionate la articolul 11 alineatul (2), operatorul nu refuz s dea curs cererii persoanei vizate de a-i exercita drepturile n conformitate cu articolele 15-22, cu excepia cazului n care operatorul demonstreaz c nu este n msur s identifice persoana vizat. (3)Operatorul furnizeaz persoanei vizate informaii privind aciunile ntreprinse n urma unei cereri n temeiul articolelor 15-22, fr ntrzieri nejustificate i n orice caz n cel mult o lun de la primirea cererii. Aceast perioad poate fi prelungit cu dou luni atunci cnd este necesar, inndu-se seama de complexitatea i numrul cererilor. Operatorul informeaz persoana vizat cu privire la orice astfel de prelungire, n termen de o lun de la primirea cererii, prezentnd i motivele ntrzierii. n cazul n care persoana vizat introduce o cerere n format electronic, informaiile sunt furnizate n format electronic acolo unde este posibil, cu excepia cazului n care persoana vizat solicit un alt format. (4)Dac nu ia msuri cu privire la cererea persoanei vizate, operatorul informeaz persoana vizat, fr ntrziere i n termen de cel mult o lun de la primirea cererii, cu privire la motivele pentru care nu ia msuri i la posibilitatea de a depune o plngere n faa unei autoriti de supraveghere i de a introduce o cale de atac judiciar. (5)Informaiile furnizate n temeiul articolelor 13 i 14 i orice comunicare i orice msuri luate n temeiul articolelor 15-22 i 34 sunt oferite gratuit. n cazul n care cererile din partea unei persoane vizate sunt n mod vdit nefondate sau excesive, n special din cauza caracterului lor repetitiv, operatorul poate: a)fie s perceap o tax rezonabil innd cont de costurile administrative pentru furnizarea informaiilor sau a comunicrii sau pentru luarea msurilor solicitate; b)fie s refuze s dea curs cererii. n aceste cazuri, operatorului i revine sarcina de a demonstra caracterul vdit nefondat sau excesiv al cererii. (6)Fr a aduce atingere articolului 11, n cazul n care are ndoieli ntemeiate cu privire la identitatea persoanei fizice care nainteaz cererea menionat la articolele 15-21, operatorul poate solicita furnizarea de informaii suplimentare necesare pentru a confirma identitatea persoanei vizate. (7)Informaiile care urmeaz s fie furnizate persoanelor vizate n temeiul articolelor 13 i 14 pot fi furnizate n combinaie cu pictograme standardizate pentru a oferi ntr-un mod uor vizibil, inteligibil i clar lizibil o imagine de ansamblu semnificativ asupra prelucrrii avute n vedere. n cazul n care pictogramele sunt prezentate n format electronic, acestea trebuie s poat fi citite automat. (8)Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 92 n vederea determinrii informaiilor care urmeaz s fie prezentate de pictograme i a procedurilor pentru furnizarea de pictograme standardizate. Seciunea 2: Informare i acces la date cu caracter personal Art. 13: Informaii care se furnizeaz n cazul n care datele cu caracter personal sunt colectate de la persoana vizat (1)n cazul n care datele cu caracter personal referitoare la o persoan vizat sunt colectate de la aceasta, operatorul, n momentul obinerii acestor date cu caracter personal, furnizeaz persoanei vizate toate informaiile urmtoare: a)identitatea i datele de contact ale operatorului i, dup caz, ale reprezentantului acestuia; b)datele de contact ale responsabilului cu protecia datelor, dup caz; c)scopurile n care sunt prelucrate datele cu caracter personal, precum i temeiul juridic al prelucrrii; d)n cazul n care prelucrarea se face n temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmrite de operator sau de o parte ter; e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal; f)dac este cazul, intenia operatorului de a transfera date cu caracter personal ctre o ar ter sau o organizaie internaional i existena sau absena unei decizii a Comisiei privind caracterul adecvat sau, n cazul transferurilor menionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garaniile adecvate sau corespunztoare i la mijloacele de a obine o copie a acestora, n cazul n care acestea au fost puse la dispoziie. (2)n plus fa de informaiile menionate la alineatul (1), n momentul n care datele cu caracter personal sunt obinute, operatorul furnizeaz persoanei vizate urmtoarele informaii suplimentare necesare pentru a asigura o prelucrare echitabil i transparent: a)perioada pentru care vor fi stocate datele cu caracter personal sau, dac acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast perioad; b)existena dreptului de a solicita operatorului, n ceea ce privete datele cu caracter personal referitoare la persoana vizat, accesul la acestea, rectificarea sau tergerea acestora sau restricionarea prelucrrii sau a dreptului de a se opune prelucrrii, precum i a dreptului la portabilitatea datelor; c)atunci cnd prelucrarea se bazeaz pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existena dreptului de a retrage consimmntul n orice moment, fr a afecta legalitatea prelucrrii efectuate pe baza consimmntului nainte de retragerea acestuia; d)dreptul de a depune o plngere n faa unei autoriti de supraveghere; e)dac furnizarea de date cu caracter personal reprezint o obligaie legal sau contractual sau o obligaie necesar pentru ncheierea unui contract, precum i dac persoana vizat este obligat s furnizeze aceste date cu caracter personal i care sunt eventualele consecine ale nerespectrii acestei obligaii; f)existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la articolul 22 alineatele (1) i (4), precum i, cel puin n cazurile respective, informaii pertinente privind logica utilizat i privind importana i consecinele preconizate ale unei astfel de prelucrri pentru persoana vizat. (3)n cazul n care operatorul intenioneaz s prelucreze ulterior datele cu caracter personal ntr-un alt scop dect cel pentru care acestea au fost colectate, operatorul furnizeaz persoanei vizate, nainte de aceast prelucrare ulterioar, informaii privind scopul secundar respectiv i orice informaii suplimentare relevante, n conformitate cu alineatul (2). (4)Alineatele (1), (2) i (3) nu se aplic dac i n msura n care persoana vizat deine deja informaiile respective. Art. 14: Informaii care se furnizeaz n cazul n care datele cu caracter personal nu au fost obinute de la persoana vizat (1)n cazul n care datele cu caracter personal nu au fost obinute de la persoana vizat, operatorul furnizeaz persoanei vizate urmtoarele informaii: a)identitatea i datele de contact ale operatorului i, dup caz, ale reprezentantului acestuia; b)datele de contact ale responsabilului cu protecia datelor, dup caz; c)scopurile n care sunt prelucrate datele cu caracter personal, precum i temeiul juridic al prelucrrii; d)categoriile de date cu caracter personal vizate; e)destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dup caz; f)dac este cazul, intenia operatorului de a transfera date cu caracter personal ctre un destinatar dintr-o ar ter sau o organizaie internaional i existena sau absena unei decizii a Comisiei privind caracterul adecvat sau, n cazul transferurilor menionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garaniile adecvate sau corespunztoare i la mijloacele de a obine o copie a acestora, n cazul n care acestea au fost puse la dispoziie. (2)Pe lng informaiile menionate la alineatul (1), operatorul furnizeaz persoanei vizate urmtoarele informaii necesare pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoana vizat: a)perioada pentru care vor fi stocate datele cu caracter personal sau, dac acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast perioad; b)n cazul n care prelucrarea se face n temeiul articolului 6 alineatul (1) litera (f), interesele legitime urmrite de operator sau de o parte ter; c)existena dreptului de a solicita operatorului, n ceea ce privete datele cu caracter personal referitoare la persoana vizat, accesul la acestea, rectificarea sau tergerea acestora sau restricionarea prelucrrii i a dreptului de a se opune prelucrrii, precum i a dreptului la portabilitatea datelor; d)atunci cnd prelucrarea se bazeaz pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existena dreptului de a retrage consimmntul n orice moment, fr a afecta legalitatea prelucrrii efectuate pe baza consimmntului nainte de retragerea acestuia; e)dreptul de a depune o plngere n faa unei autoriti de supraveghere; f)sursa din care provin datele cu caracter personal i, dac este cazul, dac acestea provin din surse disponibile public; g)existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la articolul 22 alineatele (1) i (4), precum i, cel puin n cazurile respective, informaii pertinente privind logica utilizat i privind importana i consecinele preconizate ale unei astfel de prelucrri pentru persoana vizat. (3)Operatorul furnizeaz informaiile menionate la alineatele (1) i (2): a)ntr-un termen rezonabil dup obinerea datelor cu caracter personal, dar nu mai mare de o lun, inndu-se seama de circumstanele specifice n care sunt prelucrate datele cu caracter personal; b)dac datele cu caracter personal urmeaz s fie utilizate pentru comunicarea cu persoana vizat, cel trziu n momentul primei comunicri ctre persoana vizat respectiv; sau c)dac se intenioneaz divulgarea datelor cu caracter personal ctre un alt destinatar, cel mai trziu la data la care acestea sunt divulgate pentru prima oar. (4)n cazul n care operatorul intenioneaz s prelucreze ulterior datele cu caracter personal ntr-un alt scop dect cel pentru care acestea au fost obinute, operatorul furnizeaz persoanei vizate, nainte de aceast prelucrare ulterioar, informaii privind scopul secundar respectiv i orice informaii suplimentare relevante, n conformitate cu alineatul (2). (5)Alineatele (1)-(4) nu se aplic dac i n msura n care: a)persoana vizat deine deja informaiile; b)furnizarea acestor informaii se dovedete a fi imposibil sau ar implica eforturi disproporionate, n special n cazul prelucrrii n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice, sub rezerva condiiilor i a garaniilor prevzute la articolul 89 alineatul (1), sau n msura n care obligaia menionat la alineatul (1) din prezentul articol este susceptibil s fac imposibil sau s afecteze n mod grav realizarea obiectivelor prelucrrii respective In astfel de cazuri, operatorul ia msuri adecvate pentru a proteja drepturile, libertile i interesele legitime ale persoanei vizate, inclusiv punerea informaiilor la dispoziia publicului; c)obinerea sau divulgarea datelor este prevzut n mod expres de dreptul Uniunii sau de dreptul intern sub incidena cruia intr operatorul i care prevede msuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau d)n cazul n care datele cu caracter personal trebuie s rmn confideniale n temeiul unei obligaii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaii legale de a pstra secretul. Art. 15: Dreptul de acces al persoanei vizate (1)Persoana vizat are dreptul de a obine din partea operatorului o confirmare c se prelucreaz sau nu date cu caracter personal care o privesc i, n caz afirmativ, acces la datele respective i la urmtoarele informaii: a)scopurile prelucrrii; b)categoriile de date cu caracter personal vizate; c)destinatarii sau categoriile de destinatari crora datele cu caracter personal le-au fost sau urmeaz s le fie divulgate, n special destinatari din ri tere sau organizaii internaionale; d)acolo unde este posibil, perioada pentru care se preconizeaz c vor fi stocate datele cu caracter personal sau, dac acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast perioad; e)existena dreptului de a solicita operatorului rectificarea sau tergerea datelor cu caracter personal ori restricionarea prelucrrii datelor cu caracter personal referitoare la persoana vizat sau a dreptului de a se opune prelucrrii; f)dreptul de a depune o plngere n faa unei autoriti de supraveghere; g)n cazul n care datele cu caracter personal nu sunt colectate de la persoana vizat, orice informaii disponibile privind sursa acestora; h)existena unui proces decizional automatizat incluznd crearea de profiluri, menionat la articolul 22 alineatele (1) i (4), precum i, cel puin n cazurile respective, informaii pertinente privind logica utilizat i privind importana i consecinele preconizate ale unei astfel de prelucrri pentru persoana vizat. (2)n cazul n care datele cu caracter personal sunt transferate ctre o ar ter sau o organizaie internaional, persoana vizat are dreptul s fie informat cu privire la garaniile adecvate n temeiul articolului 46 referitoare la transfer. (3)Operatorul furnizeaz o copie a datelor cu caracter personal care fac obiectul prelucrrii. Pentru orice alte copii solicitate de persoana vizat, operatorul poate percepe o tax rezonabil, bazat pe costurile administrative. n cazul n care persoana vizat introduce cererea n format electronic i cu excepia cazului n care persoana vizat solicit un alt format, informaiile sunt furnizate ntr-un format electronic utilizat n mod curent. (4)Dreptul de a obine o copie menionat la alineatul (3) nu aduce atingere drepturilor i libertilor altora. Seciunea 3: Rectificare i tergere Art. 16: Dreptul la rectificare Persoana vizat are dreptul de a obine de la operator, fr ntrzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. inndu-se seama de scopurile n care au fost prelucrate datele, persoana vizat are dreptul de a obine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraii suplimentare. Art. 17: Dreptul la tergerea datelor ("dreptul de a fi uitat") (1)Persoana vizat are dreptul de a obine din partea operatorului tergerea datelor cu caracter personal care o privesc, fr ntrzieri nejustificate, iar operatorul are obligaia de a terge datele cu caracter personal fr ntrzieri nejustificate n cazul n care se aplic unul dintre urmtoarele motive: a)datele cu caracter personal nu mai sunt necesare pentru ndeplinirea scopurilor pentru care au fost colectate sau prelucrate; b)persoana vizat i retrage consimmntul pe baza cruia are loc prelucrarea, n conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), i nu exist niciun alt temei juridic pentru prelucrarea; c)persoana vizat se opune prelucrrii n temeiul articolului 21 alineatul (1) i nu exist motive legitime care s prevaleze n ceea ce privete prelucrarea sau persoana vizat se opune prelucrrii n temeiul articolului 21 alineatul (2); d)datele cu caracter personal au fost prelucrate ilegal; e)datele cu caracter personal trebuie terse pentru respectarea unei obligaii legale care revine operatorului n temeiul dreptului Uniunii sau al dreptului intern sub incidena cruia se afl operatorul; f)datele cu caracter personal au fost colectate n legtur cu oferirea de servicii ale societii informaionale menionate la articolul 8 alineatul (1). (2)n cazul n care operatorul a fcut publice datele cu caracter personal i este obligat, n temeiul alineatului (1), s le tearg, operatorul, innd seama de tehnologia disponibil i de costul implementrii, ia msuri rezonabile, inclusiv msuri tehnice, pentru a informa operatorii care prelucreaz datele cu caracter personal c persoana vizat a solicitat tergerea de ctre aceti operatori a oricror linkuri ctre datele respective sau a oricror copii sau reproduceri ale acestor date cu caracter personal. (3)Alineatele (1) i (2a) nu se aplic n msura n care prelucrarea este necesar: a)pentru exercitarea dreptului la liber exprimare i la informare; b)pentru respectarea unei obligaii legale care prevede prelucrarea n temeiul dreptului Uniunii sau al dreptului intern care se aplic operatorului sau pentru ndeplinirea unei sarcini executate n interes public sau n cadrul exercitrii unei autoriti oficiale cu care este nvestit operatorul; c)din motive de interes public n domeniul sntii publice, n conformitate cu articolul 9 alineatul (2) literele (h) i (i) i cu articolul 9 alineatul (3); d)n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice, n conformitate cu articolul 89 alineatul (1), n msura n care dreptul menionat la alineatul (1) este susceptibil s fac imposibil sau s afecteze n mod grav realizarea obiectivelor prelucrrii respective; sau e)pentru constatarea, exercitarea sau aprarea unui drept n instan. Art. 18: Dreptul la restricionarea prelucrrii (1)Persoana vizat are dreptul de a obine din partea operatorului restricionarea prelucrrii n cazul n care se aplic unul din urmtoarele cazuri: a)persoana vizat contest exactitatea datelor, pentru o perioad care i permite operatorului s verifice exactitatea datelor; b)prelucrarea este ilegal, iar persoana vizat se opune tergerii datelor cu caracter personal, solicitnd n schimb restricionarea utilizrii lor; c)operatorul nu mai are nevoie de datele cu caracter personal n scopul prelucrrii, dar persoana vizat i le solicit pentru constatarea, exercitarea sau aprarea unui drept n instan; sau d)persoana vizat s-a opus prelucrrii n conformitate cu articolul 21 alineatul (1), pentru intervalul de timp n care se verific dac drepturile legitime ale operatorului prevaleaz asupra celor ale persoanei vizate. (2)n cazul n care prelucrarea a fost restricionat n temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepia stocrii, s fie prelucrate numai cu consimmntul persoanei vizate sau pentru constatarea, exercitarea sau aprarea unui drept n instan sau pentru protecia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru. (3)O persoan vizat care a obinut restricionarea prelucrrii n temeiul alineatului (1) este informat de ctre operator nainte de ridicarea restriciei de prelucrare. Art. 19: Obligaia de notificare privind rectificarea sau tergerea datelor cu caracter personal sau restricionarea prelucrrii Operatorul comunic fiecrui destinatar cruia i-au fost divulgate datele cu caracter personal orice rectificare sau tergere a datelor cu caracter personal sau restricionare a prelucrrii efectuate n conformitate cu articolul 16, articolul 17 alineatul (1) i articolul 18, cu excepia cazului n care acest lucru se dovedete imposibil sau presupune eforturi disproporionate. Operatorul informeaz persoana vizat cu privire la destinatarii respectivi dac persoana vizat solicit acest lucru. Art. 20: Dreptul la portabilitatea datelor (1)Persoana vizat are dreptul de a primi datele cu caracter personal care o privesc i pe care le-a furnizat operatorului ntr-un format structurat, utilizat n mod curent i care poate fi citit automat i are dreptul de a transmite aceste date altui operator, fr obstacole din partea operatorului cruia i-au fost furnizate datele cu caracter personal, n cazul n care: a)prelucrarea se bazeaz pe consimmnt n temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract n temeiul articolului 6 alineatul (1) litera (b); i b)prelucrarea este efectuat prin mijloace automate. (2)n exercitarea dreptului su la portabilitatea datelor n temeiul alineatului (1), persoana vizat are dreptul ca datele cu caracter personal s fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic. (3)Exercitarea dreptului menionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplic prelucrrii necesare pentru ndeplinirea unei sarcini executate n interes public sau n cadrul exercitrii unei autoriti oficiale cu care este nvestit operatorul. (4)Dreptul menionat la alineatul (1) nu aduce atingere drepturilor i libertilor altora. Seciunea 4: Dreptul la opoziie i procesul decizional individual automatizat Art. 21: Dreptul la opoziie (1)n orice moment, persoana vizat are dreptul de a se opune, din motive legate de situaia particular n care se afl, prelucrrii n temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv crerii de profiluri pe baza respectivelor dispoziii. Operatorul nu mai prelucreaz datele cu caracter personal, cu excepia cazului n care operatorul demonstreaz c are motive legitime i imperioase care justific prelucrarea i care prevaleaz asupra intereselor, drepturilor i libertilor persoanei vizate sau c scopul este constatarea, exercitarea sau aprarea unui drept n instan. (2)Atunci cnd prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizat are dreptul de a se opune n orice moment prelucrrii n acest scop a datelor cu caracter personal care o privesc, inclusiv crerii de profiluri, n msura n care este legat de marketingul direct respectiv. (3)n cazul n care persoana vizat se opune prelucrrii n scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate n acest scop. (4)Cel trziu n momentul primei comunicri cu persoana vizat, dreptul menionat la alineatele (1) i (2) este adus n mod explicit n atenia persoanei vizate i este prezentat n mod clar i separat de orice alte informaii. (5)n contextual utilizrii serviciilor societii informaionale i n pofida Directivei 2002/58/CE, persoana vizat i poate exercita dreptul de a se opune prin mijloace automate care utilizeaz specificaii tehnice. (6)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare tiinific sau istoric sau n scopuri statistice n conformitate cu articolul 89 alineatul (1), persoana vizat, din motive legate de situaia sa particular, are dreptul de a se opune prelucrrii datelor cu caracter personal care o privesc, cu excepia cazului n care prelucrarea este necesar pentru ndeplinirea unei sarcini din motive de interes public. Art. 22: Procesul decizional individual automatizat, inclusiv crearea de profiluri (1)Persoana vizat are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automat, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ. (2)Alineatul (1) nu se aplic n cazul n care decizia: a)este necesar pentru ncheierea sau executarea unui contract ntre persoana vizat i un operator de date; b)este autorizat prin dreptul Uniunii sau dreptul intern care se aplic operatorului i care prevede, de asemenea, msuri corespunztoare pentru protejarea drepturilor, libertilor i intereselor legitime ale persoanei vizate; sau c)are la baz consimmntul explicit al persoanei vizate. (3)n cazurile menionate la alineatul (2) literele (a) i (c), operatorul de date pune n aplicare msuri corespunztoare pentru protejarea drepturilor, libertilor i intereselor legitime ale persoanei vizate, cel puin dreptul acesteia de a obine intervenie uman din partea operatorului, de a-i exprima punctul de vedere i de a contesta decizia. (4)Deciziile menionate la alineatul (2) nu au la baz categoriile speciale de date cu caracter personal menionate la articolul 9 alineatul (1), cu excepia cazului n care se aplic articolul 9 alineatul (2) litera (a) sau (g) i n care au fost instituite msuri corespunztoare pentru protejarea drepturilor, libertilor i intereselor legitime ale persoanei vizate. Seciunea 5: Restricii Art. 23: Restricii (1)Dreptul Uniunii sau dreptul intern care se aplic operatorului de date sau persoanei mputernicite de operator poate restriciona printr-o msur legislativ domeniul de aplicare al obligaiilor i al drepturilor prevzute la articolele 12-22 i 34, precum i la articolul 5 n msura n care dispoziiile acestuia corespund drepturilor i obligaiilor prevzute la articolele 12-22, atunci cnd o astfel de restricie respect esena drepturilor i libertilor fundamentale i constituie o msur necesar i proporional ntr-o societate democratic, pentru a asigura: a)securitatea naional; b)aprarea; c)securitatea public; d)prevenirea, investigarea, depistarea sau urmrirea penal a infraciunilor sau executarea sanciunilor penale, inclusiv protejarea mpotriva ameninrilor la adresa securitii publice i prevenirea acestora; e)alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, n special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv n domeniile monetar, bugetar i fiscal i n domeniul sntii publice i al securitii sociale; f)protejarea independenei judiciare i a procedurilor judiciare; g)prevenirea, investigarea, depistarea i urmrirea penal a nclcrii eticii n cazul profesiilor reglementate; h)funcia de monitorizare, inspectare sau reglementare legat, chiar i ocazional, de exercitarea autoritii oficiale n cazurile menionate la literele (a)-(e) i (g); i)protecia persoanei vizate sau a drepturilor i libertilor altora; (j) punerea n aplicare a preteniilor de drept civil. (2)n special, orice msur legislativ menionat la alineatul (1) conine dispoziii specifice cel puin, dac este cazul, n ceea ce privete: a)scopurile prelucrrii sau ale categoriilor de prelucrare; b)categoriile de date cu caracter personal; c)domeniul de aplicare al restriciilor introduse; d)garaniile pentru a preveni abuzurile sau accesul sau transferul ilegal; e)menionarea operatorului sau a categoriilor de operatori; f)perioadele de stocare i garaniile aplicabile avnd n vedere natura, domeniul de aplicare i scopurile prelucrrii sau ale categoriilor de prelucrare; g)riscurile pentru drepturile i libertilor persoanelor vizate; i h)dreptul persoanelor vizate de a fi informate cu privire la restricie, cu excepia cazului n care acest lucru poate aduce atingere scopului restriciei. CAPITOLUL IV: Operatorul i persoana mputernicit de operator Seciunea 1: Obligaii generale Art. 24: Responsabilitatea operatorului (1)innd seama de natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i de riscurile cu grade diferite de probabilitate i gravitate pentru drepturile i libertile persoanelor fizice, operatorul pune n aplicare msuri tehnice i organizatorice adecvate pentru a garanta i a fi n msur s demonstreze c prelucrarea se efectueaz n conformitate cu prezentul regulament. Respectivele msuri se revizuiesc i se actualizeaz dac este necesar. (2)Atunci cnd sunt proporionale n raport cu operaiunile de prelucrare, msurile menionate la alineatul (1) includ punerea n aplicare de ctre operator a unor politici adecvate de protecie a datelor. (3)Aderarea la coduri de conduit aprobate, menionate la articolul 40, sau la un mecanism de certificare aprobat, menionat la articolul 42, poate fi utilizat ca element care s demonstreze respectarea obligaiilor de ctre operator. Art. 25: Asigurarea proteciei datelor ncepnd cu momentul conceperii i n mod implicit (1)Avnd n vedere stadiul actual al tehnologiei, costurile implementrii, i natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i riscurile cu grade diferite de probabilitate i gravitate pentru drepturile i libertile persoanelor fizice pe care le prezint prelucrarea, operatorul, att n momentul stabilirii mijloacelor de prelucrare, ct i n cel al prelucrrii n sine, pune n aplicare msuri tehnice i organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate s pun n aplicare n mod eficient principiile de protecie a datelor, precum reducerea la minimum a datelor, i s integreze garaniile necesare n cadrul prelucrrii, pentru a ndeplini cerinele prezentului regulament i a proteja drepturile persoanelor vizate. (2)Operatorul pune n aplicare msuri tehnice i organizatorice adecvate pentru a asigura c, n mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrrii. Respectiva obligaie se aplic volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare i accesibilitii lor. n special, astfel de msuri asigur c, n mod implicit, datele cu caracter personal nu pot fi accesate, fr intervenia persoanei, de un numr nelimitat de persoane. (3)Un mecanism de certificare aprobat n conformitate cu articolul 42 poate fi utilizat drept element care s demonstreze ndeplinirea cerinelor prevzute la alineatele (1) i (2) ale prezentului articol. Art. 26: Operatori asociai (1)n cazul n care doi sau mai muli operatori stabilesc n comun scopurile i mijloacele de prelucrare, acetia sunt operatori asociai. Ei stabilesc ntr-un mod transparent responsabilitile fiecruia n ceea ce privete ndeplinirea obligaiilor care le revin n temeiul prezentului regulament, n special n ceea ce privete exercitarea drepturilor persoanelor vizate i ndatoririle fiecruia de furnizare a informaiilor prevzute la articolele 13 i 14, prin intermediul unui acord ntre ei, cu excepia cazului i n msura n care responsabilitile operatorilor sunt stabilite n dreptul Uniunii sau n dreptul intern care se aplic acestora. Acordul poate s desemneze un punct de contact pentru persoanele vizate. (2)Acordul menionat la alineatul (1) reflect n mod adecvat rolurile i raporturile respective ale operatorilor asociai fa de persoanele vizate. Esena acestui acord este fcut cunoscut persoanei vizate. (3)Indiferent de clauzele acordului menionat la alineatul (1), persoana vizat i poate exercita drepturile n temeiul prezentului regulament cu privire la i n raport cu fiecare dintre operatori. Art. 27: Reprezentanii operatorilor sau ai persoanelor mputernicite de operatori care nu i au sediul n Uniune (1)n cazul n care se aplic articolul 3 alineatul (2), operatorul sau persoana mputernicit de operator desemneaz n scris un reprezentant n Uniune. (2)Obligaia prevzut la alineatul (1) din prezentul articol nu se aplic: a)prelucrrii care are un caracter ocazional, care nu include, pe scar larg, prelucrarea unor categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau prelucrarea unor date cu caracter personal referitoare la condamnri penale i infraciuni menionat la articolul 10, i care este puin susceptibil de a genera un risc pentru drepturile i libertile persoanelor, innd cont de natura, contextul, domeniul de aplicare i scopurile prelucrrii; sau b)unei autoriti sau unui organism public. (3)Reprezentantul i are sediul n unul dintre statele membre n care se afl persoanele vizate ale cror date cu caracter personal sunt prelucrate n legtur cu furnizarea de bunuri i servicii sau al cror comportament este monitorizat. (4)Reprezentantul primete din partea operatorului sau a persoanei mputernicite de operator un mandat prin care autoritile de supraveghere i persoanele vizate, n special, se pot adresa reprezentantului, n plus fa de operator sau persoana mputernicit de operator sau n locul acestora, cu privire la toate chestiunile legate de prelucrarea, n scopul asigurrii respectrii prezentului regulament. (5)Desemnarea unui reprezentant de ctre operator sau persoana mputernicit de operator nu aduce atingere aciunilor n justiie care ar putea fi introduse mpotriva operatorului sau persoanei mputernicite de operator nsei. Art. 28: Persoana mputernicit de operator (1)n cazul n care prelucrarea urmeaz s fie realizat n numele unui operator, operatorul recurge doar la persoane mputernicite care ofer garanii suficiente pentru punerea n aplicare a unor msuri tehnice i organizatorice adecvate, astfel nct prelucrarea s respecte cerinele prevzute n prezentul regulament i s asigure protecia drepturilor persoanei vizate. (2)Persoana mputernicit de operator nu recruteaz o alt persoan mputernicit de operator fr a primi n prealabil o autorizaie scris, specific sau general, din partea operatorului. n cazul unei autorizaii generale scrise, persoana mputernicit de operator informeaz operatorul cu privire la orice modificri preconizate privind adugarea sau nlocuirea altor persoane mputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiecii fa de aceste modificri. (3)Prelucrarea de ctre o persoan mputernicit de un operator este reglementat printr-un contract sau alt act juridic n temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana mputernicit de operator n raport cu operatorul i care stabilete obiectul i durata prelucrrii, natura i scopul prelucrrii, tipul de date cu caracter personal i categoriile de persoane vizate i obligaiile i drepturile operatorului. Respectivul contract sau act juridic prevede n special c persoan mputernicit de operator: a)prelucreaz datele cu caracter personal numai pe baza unor instruciuni documentate din partea operatorului, inclusiv n ceea ce privete transferurile de date cu caracter personal ctre o ar ter sau o organizaie internaional, cu excepia cazului n care aceast obligaie i revine persoanei mputernicite n temeiul dreptului Uniunii sau al dreptului intern care i se aplic; n acest caz, notific aceast obligaie juridic operatorului nainte de prelucrare, cu excepia cazului n care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public; b)se asigur c persoanele autorizate s prelucreze datele cu caracter personal s-au angajat s respecte confidenialitatea sau au o obligaie statutar adecvat de confidenialitate; c)adopt toate msurile necesare n conformitate cu articolul 32; d)respect condiiile menionate la alineatele (2) i (4) privind recrutarea unei alte persoane mputernicite de operator; e)innd seama de natura prelucrrii, ofer asisten operatorului prin msuri tehnice i organizatorice adecvate, n msura n care acest lucru este posibil, pentru ndeplinirea obligaiei operatorului de a rspunde cererilor privind exercitarea de ctre persoana vizat a drepturilor prevzute n capitolul III; f)ajut operatorul s asigure respectarea obligaiilor prevzute la articolele 32-36, innd seama de caracterul prelucrrii i informaiile aflate la dispoziia persoanei mputernicite de operator; g)la alegerea operatorului, terge sau returneaz operatorului toate datele cu caracter personal dup ncetarea furnizrii serviciilor legate de prelucrare i elimin copiile existente, cu excepia cazului n care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal; h)pune la dispoziia operatorului toate informaiile necesare pentru a demonstra respectarea obligaiilor prevzute la prezentul articol, permite desfurarea auditurilor, inclusiv a inspeciilor, efectuate de operator sau alt auditor mandatat i contribuie la acestea. n ceea ce privete primul paragraf litera (h), persoana mputernicit de operator informeaz imediat operatorul n cazul n care, n opinia sa, o instruciune ncalc prezentul regulament sau alte dispoziii din dreptul intern sau din dreptul Uniunii referitoare la protecia datelor. (4)n cazul n care o persoan mputernicit de un operator recruteaz o alt persoan mputernicit pentru efectuarea de activiti de prelucrare specifice n numele operatorului, aceleai obligaii privind protecia datelor prevzute n contractul sau n alt act juridic ncheiat ntre operator i persoana mputernicit de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane mputernicite, prin intermediul unui contract sau al unui alt act juridic, n temeiul dreptului Uniunii sau al dreptului intern, n special furnizarea de garanii suficiente pentru punerea n aplicare a unor msuri tehnice i organizatorice adecvate, astfel nct prelucrarea s ndeplineasc cerinele prezentului regulament. n cazul n care aceast a doua persoan mputernicit nu i respect obligaiile privind protecia datelor, persoana mputernicit iniial rmne pe deplin rspunztoare fa de operator n ceea ce privete ndeplinirea obligaiilor acestei a doua persoane mputernicite. (5)Aderarea persoanei mputernicite de operator la un cod de conduit aprobat, menionat la articolul 40, sau la un mecanism de certificare aprobat, menionat la articolul 42, poate fi utilizat ca element prin care s se demonstreze existena garaniilor suficiente menionate la alineatele (1) i (4) din prezentul articol. (6)Fr a aduce atingere unui contract individual ncheiat ntre operator i persoana mputernicit de operator, contractul sau cellalt act juridic menionat la alineatele (3) i (4) din prezentul articol se poate baza, integral sau parial, pe clauze contractuale standard menionate la alineatele (7) i (8) din prezentul articol, inclusiv atunci cnd fac parte dintr-o certificare acordat operatorului sau persoanei mputernicite de operator n temeiul articolelor 42 i 43. (7)Comisia poate s prevad clauze contractuale standard pentru aspectele menionate la alineatele (3) i (4) din prezentul articol i n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2). (8)O autoritate de supraveghere poate s adopte clauze contractuale standard pentru aspectele menionate la alineatele (3) i (4) din prezentul articol i n conformitate cu mecanismul pentru asigurarea coerenei menionat la articolul 63. (9)Contractul sau cellalt act juridic menionat la alineatele (3) i (4) se formuleaz n scris, inclusiv n format electronic. (10)Fr a aduce atingere articolelor 82, 83 i 84, n cazul n care o persoan mputernicit de operator nclc prezentul regulament, prin stabilirea scopurilor i mijloacelor de prelucrare a datelor cu caracter personal, persoana mputernicit de operator este considerat a fi un operator n ceea ce privete prelucrarea respectiv. Art. 29: Desfurarea activitii de prelucrare sub autoritatea operatorului sau a persoanei mputernicite de operator Persoana mputernicit de operator i orice persoan care acioneaz sub autoritatea operatorului sau a persoanei mputernicite de operator care are acces la date cu caracter personal nu le prelucreaz dect la cererea operatorului, cu excepia cazului n care dreptul Uniunii sau dreptul intern l oblig s fac acest lucru. Art. 30: Evidenele activitilor de prelucrare (1)Fiecare operator i, dup caz, reprezentantul acestuia pstreaz o eviden a activitilor de prelucrare desfurate sub responsabilitatea lor. Respectiva eviden cuprinde toate urmtoarele informaii: a)numele i datele de contact ale operatorului i, dup caz, ale operatorului asociat, ale reprezentantului operatorului i ale responsabilului cu protecia datelor; b)scopurile prelucrrii; c)o descriere a categoriilor de persoane vizate i a categoriilor de date cu caracter personal; d)categoriile de destinatari crora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ri tere sau organizaii internaionale; e)dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o organizaie internaional, inclusiv identificarea rii tere sau a organizaiei internaionale respective i, n cazul transferurilor menionate la articolul 49 alineatul (1) al doilea paragraf, documentaia care dovedete existena unor garanii adecvate; f)acolo unde este posibil, termenele-limit preconizate pentru tergerea diferitelor categorii de date; g)acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de securitate menionate la articolul 32 alineatul (1). (2)Fiecare operator i, dup caz, persoana mputernicit de operator pstreaz o eviden a tuturor categoriilor de activiti de prelucrare desfurate n numele operatorului, care cuprind: a)numele i datele de contact ale persoanei sau persoanelor mputernicite de operator i ale fiecrui operator n numele cruia acioneaz aceast persoan (aceste persoane), precum i ale reprezentantului operatorului sau al persoanei mputernicite de operator, dup caz; b)categoriile de activiti de prelucrare desfurate n numele fiecrui operator; c)dac este cazul, transferurile de date cu caracter personal ctre o ar ter sau o organizaie internaional, inclusiv identificarea rii tere sau a organizaiei internaionale respective i, n cazul transferurilor prevzute la articolul 49 alineatul (1) al doilea paragraf, documentaia care dovedete existena unor garanii adecvate; d)acolo unde este posibil, o descriere general a msurilor tehnice i organizatorice de securitate menionate la articolul 32 alineatul (1). (3)Evidenele menionate la alineatele (1) i (2) se formuleaz n scris, inclusiv n format electronic. (4)Operatorul sau persoana mputernicit de acesta, precum i, dup caz, reprezentantul operatorului sau al persoanei mputernicite de operator pun evidenele la dispoziia autoritii de supraveghere, la cererea acesteia. (5)Obligaiile menionate la alineatele 1 i 2 nu se aplic unei ntreprinderi sau organizaii cu mai puin de 250 de angajai, cu excepia cazului n care prelucrarea pe care o efectueaz este susceptibil s genereze un risc pentru drepturile i libertile persoanelor vizate, prelucrarea nu este ocazional sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnri penale i infraciuni, astfel cum se menioneaz la articolul 10. Art. 31: Cooperarea cu autoritatea de supraveghere Operatorul i persoana mputernicit de operator i, dup caz, reprezentantul acestora coopereaz, la cerere, cu autoritatea de supraveghere n ndeplinirea sarcinilor lor. Seciunea 2: Securitatea datelor cu caracter personal Art. 32: Securitatea prelucrrii (1)Avnd n vedere stadiul actual al dezvoltrii, costurile implementrii i natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i riscul cu diferite grade de probabilitate i gravitate pentru drepturile i libertile persoanelor fizice, operatorul i persoana mputernicit de acesta implementeaz msuri tehnice i organizatorice adecvate n vederea asigurrii unui nivel de securitate corespunztor acestui risc, incluznd printre altele, dup caz: a)pseudonimizarea i criptarea datelor cu caracter personal; b)capacitatea de a asigura confidenialitatea, integritatea, disponibilitatea i rezistena continue ale sistemelor i serviciilor de prelucrare; c)capacitatea de a restabili disponibilitatea datelor cu caracter personal i accesul la acestea n timp util n cazul n care are loc un incident de natur fizic sau tehnic; d)un proces pentru testarea, evaluarea i aprecierea periodice ale eficacitii msurilor tehnice i organizatorice pentru a garanta securitatea prelucrrii. (2)La evaluarea nivelului adecvat de securitate, se ine seama n special de riscurile prezentate de prelucrare, generate n special, n mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizat sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate ntr-un alt mod. (3)Aderarea la un cod de conduit aprobat, menionat la articolul 40, sau la un mecanism de certificare aprobat, menionat la articolul 42, poate fi utilizat ca element prin care s se demonstreze ndeplinirea cerinelor prevzute la alineatul (1) din prezentul articol. (4)Operatorul i persoana mputernicit de acesta iau msuri pentru a asigura faptul c orice persoan fizic care acioneaz sub autoritatea operatorului sau a persoanei mputernicite de operator i care are acces la date cu caracter personal nu le prelucreaz dect la cererea operatorului, cu excepia cazului n care aceast obligaie i revine n temeiul dreptului Uniunii sau al dreptului intern. Art. 33: Notificarea autoritii de supraveghere n cazul nclcrii securitii datelor cu caracter personal (1)n cazul n care are loc o nclcare a securitii datelor cu caracter personal, operatorul notific acest lucru autoritii de supraveghere competente n temeiul articolului 55, fr ntrzieri nejustificate i, dac este posibil, n termen de cel mult 72 de ore de la data la care a luat cunotin de aceasta, cu excepia cazului n care este susceptibil s genereze un risc pentru drepturile i libertile persoanelor fizice. n cazul n care notificarea nu are loc n termen de 72 de ore, aceasta este nsoit de o explicaie motivat din partea autoritii de supraveghere n cazul n care. (2)Persoana mputernicit de operator ntiineaz operatorul fr ntrzieri nejustificate dup ce ia cunotin de o nclcare a securitii datelor cu caracter personal. (3)Notificarea menionat la alineatul (1) cel puin: a)descrie caracterul nclcrii securitii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile i numrul aproximativ al persoanelor vizate n cauz, precum i categoriile i numrul aproximativ al nregistrrilor de date cu caracter personal n cauz; b)comunic numele i datele de contact ale responsabilului cu protecia datelor sau un alt punct de contact de unde se pot obine mai multe informaii; c)descrie consecinele probabile ale nclcrii securitii datelor cu caracter personal; d)descrie msurile luate sau propuse spre a fi luate de operator pentru a remedia problema nclcrii securitii datelor cu caracter personal, inclusiv, dup caz, msurile pentru atenuarea eventualelor sale efecte negative. (4)Atunci cnd i n msura n care nu este posibil s se furnizeze informaiile n acelai timp, acestea pot fi furnizate n mai multe etape, fr ntrzieri nejustificate. (5)Operatorul pstreaz documente referitoare la toate cazurile de nclcare a securitii datelor cu caracter personal, care cuprind o descriere a situaiei de fapt n care a avut loc nclcarea securitii datelor cu caracter personal, a efectelor acesteia i a msurilor de remediere ntreprinse. Aceast documentaie permite autoritii de supraveghere s verifice conformitatea cu prezentul articol. Art. 34: Informarea persoanei vizate cu privire la nclcarea securitii datelor cu caracter personal (1)n cazul n care nclcarea securitii datelor cu caracter personal este susceptibil s genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, operatorul informeaz persoana vizat fr ntrzieri nejustificate cu privire la aceast nclcare. (2)n informarea transmis persoanei vizate prevzut la alineatul (1) din prezentul articol se include o descriere ntr-un limbaj clar i simplu a caracterului nclcrii securitii datelor cu caracter personal, precum i cel puin informaiile i msurile menionate la articolul 33 alineatul (3) literele (b), (c) i (d). (3)Informarea persoanei vizate menionat la alineatul (1) nu este necesar n cazul n care oricare dintre urmtoarele condiii este ndeplinit: a)operatorul a implementat msuri de protecie tehnice i organizatorice adecvate, iar aceste msuri au fost aplicate n cazul datelor cu caracter personal afectate de nclcarea securitii datelor cu caracter personal, n special msuri prin care se asigur c datele cu caracter personal devin neinteligibile oricrei persoane care nu este autorizat s le acceseze, cum ar fi criptarea; b)operatorul a luat msuri ulterioare prin care se asigur c riscul ridicat pentru drepturile i libertile persoanelor vizate menionat la alineatul (1) nu mai este susceptibil s se materializeze; c)ar necesita un efort disproporionat. n aceast situaie, se efectueaz n loc o informare public sau se ia o msur similar prin care persoanele vizate sunt informate ntr-un mod la fel de eficace. (4)n cazul n care operatorul nu a comunicat deja nclcarea securitii datelor cu caracter personal ctre persoana vizat, autoritatea de supraveghere, dup ce a luat n considerare probabilitatea ca nclcarea securitii datelor cu caracter personal s genereze un risc ridicat, poate s i solicite acestuia s fac acest lucru sau poate decide c oricare dintre condiiile menionate la alineatul (3) sunt ndeplinite. Seciunea 3: Evaluarea impactului asupra proteciei datelor i consultarea prealabil Art. 35: Evaluarea impactului asupra proteciei datelor (1)Avnd n vedere natura, domeniul de aplicare, contextul i scopurile prelucrrii, n cazul n care un tip de prelucrare, n special cel bazat pe utilizarea noilor tehnologii, este susceptibil s genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, operatorul efectueaz, naintea prelucrrii, o evaluare a impactului operaiunilor de prelucrare prevzute asupra proteciei datelor cu caracter personal. O evaluare unic poate aborda un set de operaiuni de prelucrare similare care prezint riscuri ridicate similare. (2)La realizarea unei evaluri a impactului asupra proteciei datelor, operatorul solicit avizul responsabilului cu protecia datelor, dac acesta a fost desemnat. (3)Evaluarea impactului asupra proteciei datelor menionat la alineatul (1) se impune mai ales n cazul: a)unei evaluri sistematice i cuprinztoare a aspectelor personale referitoare la persoane fizice, care se bazeaz pe prelucrarea automat, inclusiv crearea de profiluri, i care st la baza unor decizii care produc efecte juridice privind persoana fizic sau care o afecteaz n mod similar ntr-o msur semnificativ; b)prelucrrii pe scar larg a unor categorii speciale de date, menionat la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnri penale i infraciuni, menionat la articolul 10; sau c)unei monitorizri sistematice pe scar larg a unei zone accesibile publicului. (4)Autoritatea de supraveghere ntocmete i public o list a tipurilor de operaiuni de prelucrare care fac obiectul cerinei de efectuare a unei evaluri a impactului asupra proteciei datelor, n conformitate cu alineatul (1). Autoritatea de supraveghere comunic aceste liste comitetului menionat la articolul 68. (5)Autoritatea de supraveghere poate, de asemenea, s stabileasc i s pun la dispoziia publicului o list a tipurilor de operaiuni de prelucrare pentru care nu este necesar o evaluare a impactului asupra proteciei datelor. Autoritatea de supraveghere comunic aceste liste comitetului. (6)nainte de adoptarea listelor menionate la alineatele (4) i (5), autoritatea de supraveghere competent aplic mecanismul pentru asigurarea coerenei menionat la articolul 63 n cazul n care aceste liste implic activiti de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii ctre persoane vizate sau monitorizarea comportamentului acestora n mai multe state membre ori care pot afecta n mod substanial libera circulaie a datelor cu caracter personal n cadrul Uniunii. (7)Evaluarea conine cel puin: a)o descriere sistematic a operaiunilor de prelucrare preconizate i a scopurilor prelucrrii, inclusiv, dup caz, interesul legitim urmrit de operator; b)o evaluare a necesitii i proporionalitii operaiunilor de prelucrare n legtur cu aceste scopuri; c)o evaluare a riscurilor pentru drepturile i libertile persoanelor vizate menionate la alineatul (1); i d)msurile preconizate n vederea abordrii riscurilor, inclusiv garaniile, msurile de securitate i mecanismele menite s asigure protecia datelor cu caracter personal i s demonstreze conformitatea cu dispoziiile prezentului regulament, lund n considerare drepturile i interesele legitime ale persoanelor vizate i ale altor persoane interesate. (8)La evaluarea impactului operaiunilor de prelucrare efectuate de operatorii sau de persoanele mputernicite de operatori relevante, se are n vedere n mod corespunztor respectarea de ctre operatorii sau persoanele mputernicite respective a codurilor de conduit aprobate menionate la articolul 40, n special n vederea unei evaluri a impactului asupra proteciei datelor. (9)Operatorul solicit, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanilor acestora privind prelucrarea prevzut, fr a aduce atingere proteciei intereselor comerciale sau publice ori securitii operaiunilor de prelucrare. (10)Atunci cnd prelucrarea n temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic n dreptul Uniunii sau al unui stat membru sub incidena cruia intr operatorul, iar dreptul respectiv reglementeaz operaiunea de prelucrare specific sau setul de operaiuni specifice n cauz i deja s-a efectuat o evaluare a impactului asupra proteciei datelor ca parte a unei evaluri a impactului generale n contextul adoptrii respectivului temei juridic, alineatele (1)-(7) nu se aplic, cu excepia cazului n care statele membre consider c este necesar efectuarea unei astfel de evaluri naintea desfurrii activitilor de prelucrare. (11)Acolo unde este necesar, operatorul efectueaz o analiz pentru a evalua dac prelucrarea are loc n conformitate cu evaluarea impactului asupra proteciei datelor, cel puin atunci cnd are loc o modificare a riscului reprezentat de operaiunile de prelucrare. Art. 36: Consultarea prealabil (1)Operatorul consult autoritatea de supraveghere nainte de prelucrarea atunci cnd evaluarea impactului asupra proteciei datelor prevzut la articolul 35 indic faptul c prelucrarea ar genera un risc ridicat n absena unor msuri luate de operator pentru atenuarea riscului. (2)Atunci cnd consider c prelucrarea prevzut menionat la alineatul (1) ar nclca prezentul regulament, n special atunci cnd riscul nu a fost identificat sau atenuat ntr-o msur suficient de ctre operator, autoritatea de supraveghere ofer consiliere n scris operatorului i, dup caz, persoanei mputernicite de operator, n cel mult opt sptmni de la primirea cererii de consultare, i i poate utiliza oricare dintre competenele menionate la articolul 58. Aceast perioad poate fi prelungit cu ase sptmni, inndu-se seama de complexitatea prelucrrii prevzute. Autoritatea de supraveghere informeaz operatorul i, dup caz, persoana mputernicit de operator, n termen de o lun de la primirea cererii, cu privire la orice astfel de prelungire, prezentnd motivele ntrzierii. Aceste perioade pot fi suspendate pn cnd autoritatea de supraveghere a obinut informaiile pe care le-a solicitat n scopul consultrii. (3)Atunci cnd consult autoritatea de supraveghere n conformitate cu alineatul (1), operatorul i furnizeaz acesteia: a)dac este cazul, responsabilitile respective ale operatorului, ale operatorilor asociai i ale persoanelor mputernicite de operator implicate n activitile de prelucrare, n special pentru prelucrarea n cadrul unui grup de ntreprinderi; b)scopurile i mijloacele prelucrrii preconizate; c)msurile i garaniile prevzute pentru protecia drepturilor i libertilor persoanelor vizate, n conformitate cu prezentul regulament; d)dac este cazul, datele de contact ale responsabilului cu protecia datelor; e)evaluarea impactului asupra proteciei datelor prevzut la articolul 35; i f)orice alte informaii solicitate de autoritatea de supraveghere. (4)Statele membre consult autoritatea de supraveghere n cadrul procesului de pregtire a unei propuneri de msur legislativ care urmeaz s fie adoptat de un parlament naional sau a unei msuri de reglementare ntemeiate pe o astfel de msur legislativ, care se refer la prelucrarea. (5)n pofida alineatului (1), dreptul intern poate impune operatorilor s se consulte cu autoritatea de supraveghere i s obin n prealabil autorizarea din partea acesteia n legtur cu prelucrarea de ctre un operator n vederea ndeplinirii unei sarcini exercitate de acesta n interes public, inclusiv prelucrarea n legtur cu protecia social i sntatea public. Seciunea 4: Responsabilul cu protecia datelor Art. 37: Desemnarea responsabilului cu protecia datelor (1)Operatorul i persoana mputernicit de operator desemneaz un responsabil cu protecia datelor ori de cte ori: a)prelucrarea este efectuat de o autoritate sau un organism public, cu excepia instanelor care acioneaz n exerciiul funciei lor jurisdicionale; b)activitile principale ale operatorului sau ale persoanei mputernicite de operator constau n operaiuni de prelucrare care, prin natura, domeniul de aplicare i/sau scopurile lor, necesit o monitorizare periodic i sistematic a persoanelor vizate pe scar larg; sau c)activitile principale ale operatorului sau ale persoanei mputernicite de operator constau n prelucrarea pe scar larg a unor categorii speciale de date, menionat la articolul 9, sau a unor date cu caracter personal privind condamnri penale i infraciuni, menionat la articolul 10. (2)Un grup de ntreprinderi poate numi un responsabil cu protecia datelor unic, cu condiia ca responsabilul cu protecia datelor s fie uor accesibil din fiecare ntreprindere. (3)n cazul n care operatorul sau persoana mputernicit de operator este o autoritate public sau un organism public, poate fi desemnat un responsabil cu protecia datelor unic pentru mai multe dintre aceste autoriti sau organisme, lund n considerare structura organizatoric i dimensiunea acestora. (4)n alte cazuri dect cele menionate la alineatul (1), operatorul sau persoana mputernicit de operator ori asociaiile i alte organisme care reprezint categorii de operatori sau de persoane mputernicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicit acest lucru, desemneaz un responsabil cu protecia datelor. Responsabilul cu protecia datelor poate s acioneze n favoarea unor astfel de asociaii i alte organisme care reprezint operatori sau persoane mputernicite de operatori. (5)Responsabilul cu protecia datelor este desemnat pe baza calitilor profesionale i, n special, a cunotinelor de specialitate n dreptul i practicile din domeniul proteciei datelor, precum i pe baza capacitii de a ndeplini sarcinile prevzute la articolul 39. (6)Responsabilul cu protecia datelor poate fi un membru al personalului operatorului sau persoanei mputernicite de operator sau poate s i ndeplineasc sarcinile n baza unui contract de servicii. (7)Operatorul sau persoana mputernicit de operator public datele de contact ale responsabilului cu protecia datelor i le comunic autoritii de supraveghere. Art. 38: Funcia responsabilului cu protecia datelor (1)Operatorul i persoana mputernicit de operator se asigur c responsabilul cu protecia datelor este implicat n mod corespunztor i n timp util n toate aspectele legate de protecia datelor cu caracter personal. (2)Operatorul i persoana mputernicit de operator sprijin responsabilul cu protecia datelor n ndeplinirea sarcinilor menionate la articolul 39, asigurndu-i resursele necesare pentru executarea acestor sarcini, precum i accesarea datelor cu caracter personal i a operaiunilor de prelucrare, i pentru meninerea cunotinelor sale de specialitate. (3)Operatorul i persoana mputernicit de operator se asigur c responsabilul cu protecia datelor nu primete niciun fel de instruciuni n ceea ce privete ndeplinirea acestor sarcini. Acesta nu este demis sau sancionat de ctre operator sau de persoana mputernicit de operator pentru ndeplinirea sarcinilor sale. Responsabilul cu protecia datelor rspunde direct n faa celui mai nalt nivel al conducerii operatorului sau persoanei mputernicite de operator. (4)Persoanele vizate pot contacta responsabilul cu protecia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor i la exercitarea drepturilor lor n temeiul prezentului regulament. (5)Responsabilul cu protecia datelor are obligaia de a respecta secretul sau confidenialitatea n ceea ce privete ndeplinirea sarcinilor sale, n conformitate cu dreptul Uniunii sau cu dreptul intern. (6)Responsabilul cu protecia datelor poate ndeplini i alte sarcini i atribuii. Operatorul sau persoana mputernicit de operator se asigur c niciuna dintre aceste sarcini i atribuii nu genereaz un conflict de interese. Art. 39: Sarcinile responsabilului cu protecia datelor (1)Responsabilul cu protecia datelor are cel puin urmtoarele sarcini: a)informarea i consilierea operatorului, sau a persoanei mputernicite de operator, precum i a angajailor care se ocup de prelucrare cu privire la obligaiile care le revin n temeiul prezentului regulament i al altor dispoziii de drept al Uniunii sau drept intern referitoare la protecia datelor; b)monitorizarea respectrii prezentului regulament, a altor dispoziii de drept al Uniunii sau de drept intern referitoare la protecia datelor i a politicilor operatorului sau ale persoanei mputernicite de operator n ceea ce privete protecia datelor cu caracter personal, inclusiv alocarea responsabilitilor i aciunile de sensibilizare i de formare a personalului implicat n operaiunile de prelucrare, precum i auditurile aferente; c)furnizarea de consiliere la cerere n ceea ce privete evaluarea impactului asupra proteciei datelor i monitorizarea funcionrii acesteia, n conformitate cu articolul 35; d)cooperarea cu autoritatea de supraveghere; e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabil menionat la articolul 36, precum i, dac este cazul, consultarea cu privire la orice alt chestiune. (2)n ndeplinirea sarcinilor sale, responsabilul cu protecia datelor ine seama n mod corespunztor de riscul asociat operaiunilor de prelucrare, lund n considerare natura, domeniul de aplicare, contextul i scopurile prelucrrii. Seciunea 5: Coduri de conduit i certificare Art. 40: Coduri de conduit (1)Statele membre, autoritile de supraveghere, comitetul i Comisia ncurajeaz elaborarea de coduri de conduit menite s contribuie la buna aplicare a prezentului regulament, innd seama de caracteristicile specifice ale diverselor sectoare de prelucrare i de nevoile specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii. (2)Asociaiile i alte organisme care reprezint categorii de operatori sau de persoane mputernicite de operatori pot pregti coduri de conduit sau le pot modifica sau extinde pe cele existente, n scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi n ceea ce privete: a)prelucrarea n mod echitabil i transparent; b)interesele legitime urmrite de operatori n contexte specifice; c)colectarea datelor cu caracter personal; d)pseudonimizarea datelor cu caracter personal; e)informarea publicului i a persoanelor vizate; f)exercitarea drepturilor persoanelor vizate; g)informarea i protejarea copiilor i modalitatea n care trebuie obinut consimmntul titularilor rspunderii printeti asupra copiilor; h)msurile i procedurile menionate la articolele 24 i 25 i msurile de asigurare a securitii prelucrrii, menionate la articolul 32; i)notificarea autoritilor de supraveghere cu privire la nclcrile securitii datelor cu caracter personal i informarea persoanelor vizate cu privire la aceste nclcri; j)transferul de date cu caracter personal ctre ri tere sau organizaii internaionale; sau k)proceduri extrajudiciare i alte proceduri de soluionare a litigiilor pentru soluionarea litigiilor ntre operatori i persoanele vizate n ceea ce privete prelucrarea, fr a aduce atingere drepturilor persoanelor vizate, n temeiul articolelor 77 i 79. (3)La codurile de conduit aprobate n temeiul alineatului (5) din prezentul articol i care au o valabilitate general n temeiul alineatului (9) din prezentul articol pot adera nu numai operatorii sau persoanele mputernicite de operatori care fac obiectul prezentului regulament, ci i operatorii sau persoanele mputernicite de operatori care nu fac obiectul prezentului regulament n temeiul articolului 3, n scopul de a oferi garanii adecvate n cadrul transferurilor de date cu caracter personal ctre ri tere sau organizaii internaionale n condiiile menionate la articolul 46 alineatul (2) litera (e). Aceti operatori sau persoane mputernicite de operatori i asum angajamente cu caracter obligatoriu i executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, n scopul aplicrii garaniilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate. (4)Codul de conduit prevzut la alineatul (2) din prezentul articol cuprinde mecanisme care permit organismului menionat la articolul 41 alineatul (1) s efectueze monitorizarea obligatorie a respectrii dispoziiilor acestuia de ctre operatorii sau persoanele mputernicite de operatori care se angajeaz s l aplice, fr a aduce atingere sarcinilor i competenelor autoritilor de supraveghere care sunt competente n temeiul articolului 55 sau 56. (5)Asociaiile i alte organisme menionate la alineatul (2) din prezentul articol care intenioneaz s pregteasc un cod de conduit sau s modifice sau s extind un cod existent transmit proiectul de cod, de modificare sau de extindere autoritii de supraveghere care este competent n temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere i l aprob n cazul n care se constat c acesta ofer garanii adecvate suficiente. (6)n cazul n care proiectul de cod, de modificare sau de extindere este aprobat n conformitate cu alineatul (5), iar codul de conduit n cauz nu are legtur cu activitile de prelucrare din mai multe state membre, autoritatea de supraveghere nregistreaz i public codul. (7)n cazul n care un proiect de cod de conduit, de modificare sau de extindere are legtur cu activitile de prelucrare din mai multe state membre, nainte de aprobare, autoritatea de supraveghere competent n temeiul articolului 55 l transmite, prin procedura menionat la articolul 63, comitetului, care emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului respectiv, sau, n situaia menionat la alineatul (3) din prezentul articol, ofer garanii adecvate. (8)n cazul n care avizul menionat la alineatul (7) confirm conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere sau n cazul n care, n situaia menionat la alineatul (3), ofer garanii adecvate, comitetul transmite avizul su Comisiei. (9)Comisia poate adopta acte de punere n aplicare pentru a decide c codul de conduit, modificarea sau extinderea aprobate care i-au fost prezentate n temeiul alineatului (8) din prezentul articol au valabilitate general n Uniune. Actele de punere n aplicare respective se adopt n conformitate cu procedura de examinare prevzut la articolul 93 alineatul (2). (10)Comisia asigur publicitatea adecvat pentru codurile aprobate asupra crora s-a decis c au valabilitate general n conformitate cu alineatul (9). (11)Comitetul regrupeaz toate codurile de conduit, modificrile i extinderile aprobate ntr- un registru i le pune la dispoziia publicului prin mijloace corespunztoare. Art. 41: Monitorizarea codurilor de conduit aprobate (1)Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente n temeiul articolelor 57 i 58, monitorizarea respectrii unui cod de conduit n temeiul articolului 40 poate fi realizat de un organism care dispune de un nivel adecvat de expertiz n legtur cu obiectul codului i care este acreditat n acest scop de autoritatea de supraveghere competent. (2)Un organism menionat la alineatul (1) poate fi acreditat pentru monitorizarea respectrii unui cod de conduit dac: a)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, independena i expertiza sa n legtur cu obiectul codului; b)a instituit proceduri care i permit s evalueze eligibilitatea operatorilor i a persoanelor mputernicite de operatori n vederea aplicrii codului, s monitorizeze respectarea de ctre acetia a dispoziiilor codului i s revizuiasc periodic funcionarea acestuia; c)a instituit proceduri i structuri pentru tratarea plngerilor privind nclcri ale codului sau privind modul n care codul a fost sau este pus n aplicare de un operator sau o persoan mputernicit de operator, precum i pentru asigurarea transparenei acestor proceduri i structuri pentru persoanele vizate i pentru public; i d)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, c sarcinile i atribuiile sale nu creeaz conflicte de interese. (3)Autoritatea de supraveghere competent transmite proiectul de criterii pentru acreditarea unui organism menionat la alineatul (1) din prezentul articol comitetului, n conformitate cu mecanismul pentru asigurarea coerenei menionat la articolul 63. (4)Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente i dispoziiilor capitolului VIII, un organism menionat la alineatul (1) din prezentul articol ia msuri corespunztoare, sub rezerva unor garanii adecvate, n cazul nclcrii codului de ctre un operator sau o persoan mputernicit de operator, inclusiv prin suspendarea sau excluderea respectivului operator sau a respectivei persoane din cadrul codului. Organismul n cauz informeaz autoritatea de supraveghere competent cu privire la aceste msuri i la motivele care le-au determinat. (5)Autoritatea de supraveghere competent revoc acreditarea unui organism menionat la alineatul (1) n cazul n care nu mai sunt ndeplinite condiiile pentru acreditare sau msurile luate de organismul n cauz ncalc prezentul regulament. (6)Prezentul articol nu se aplic prelucrrii efectuate de autoriti i organisme publice. Art. 42: Certificare (1)Statele membre, autoritile de supraveghere, comitetul i Comisia ncurajeaz, n special la nivelul Uniunii, instituirea de mecanisme de certificare n domeniul proteciei datelor, precum i de sigilii i mrci n acest domeniu, care s permit demonstrarea faptului c operaiunile de prelucrare efectuate de operatori i de persoanele mputernicite de operatori respect prezentul regulament. Sunt luate n considerare necesitile specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii. (2)Mecanismele de certificare din domeniul proteciei datelor, sigiliile sau mrcile aprobate n temeiul alineatului (5) din prezentul articol sunt instituite nu numai pentru a fi respectate de operatorii sau de persoanele mputernicite de operatori care fac obiectul prezentului regulament, ci i pentru a demonstra existena unor garanii adecvate oferite de operatorii sau de persoanele mputernicite de operatori care nu fac obiectul prezentului regulament, n temeiul articolului 3, n cadrul transferurilor de date cu caracter personal ctre ri tere sau organizaii internaionale n condiiile menionate la articolul 46 alineatul (2) litera (f). Aceti operatori sau persoane mputernicite de operatori i asum angajamente cu caracter obligatoriu i executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, n scopul aplicrii garaniilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate. (3)Certificarea este voluntar i disponibil prin intermediul unui proces transparent. (4)Certificarea n conformitate cu prezentul articol nu reduce responsabilitatea operatorului sau a persoanei mputernicite de operator de a respecta prezentul regulament i nu aduce atingere sarcinilor i competenelor autoritilor de supraveghere care sunt competente n temeiul articolului 55 sau 56. (5)Organismele de certificare menionate la articolul 43 sau autoritatea de supraveghere competent emit o certificare n temeiul prezentului articol, pe baza criteriilor aprobate de ctre autoritatea de supraveghere competent respectiv n temeiul articolului 58 alineatul (3), sau de ctre comitet n temeiul articolului 63. n cazul n care criteriile sunt aprobate de comitet, aceasta poate duce la o certificare comun, i anume sigiliul european privind protecia datelor. (6)Operatorul sau persoana mputernicit de operator care supune activitile sale de prelucrare mecanismului de certificare ofer organismului de certificare menionat la articolul 43 sau, dup caz, autoritii de supraveghere competente, toate informaiile necesare pentru desfurarea procedurii de certificare, precum i accesul la activitile de prelucrare respective. (7)Certificarea este eliberat unui operator sau unei persoane mputernicite de operator pentru o perioad maxim de trei ani i poate fi rennoit n aceleai condiii, cu condiia ca cerinele relevante s fie ndeplinite n continuare. Certificarea este retras, dup caz, de ctre organismele de certificare menionate la articolul 43 sau de ctre autoritatea de supraveghere competent n cazul n care nu mai sunt ndeplinite cerinele pentru certificare. (8)Comitetul regrupeaz toate mecanismele de certificare i sigiliile i mrcile de protecie a datelor ntr-un registru i le pune la dispoziia publicului prin orice mijloc corespunztor. Art. 43: Organisme de certificare (1)Fr a aduce atingere sarcinilor i competenelor autoritii de supraveghere competente, prevzute la articolele 57 i 58, organismele de certificare care dispun de un nivel adecvat de competen n domeniul proteciei datelor, dup ce informeaz autoritatea de supraveghere pentru a-i permite s i exercite competenele n temeiul articolului 58 alineatul (2) litera (h), emit i rennoiesc certificarea. Statele membre se asigur c aceste organisme de certificare sunt acreditate de ctre una sau amndou dintre urmtoarele entiti: a)autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56; b)organismul naional de acreditare desemnat n conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European i al Consiliului (1) n conformitate cu standardul EN- ISO/IEC 17065/2012 i cu cerinele suplimentare stabilite de autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56. (1)Regulamentul (CE) nr. 765/2008 al Parlamentului European i al Consiliului din 9 iulie 2008 de stabilire a cerinelor de acreditare i de supraveghere a pieei n ceea ce privete comercializarea produselor i de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30) (2)Un organism de certificare menionat la alineatul (1) este acreditat n conformitate cu alineatul respectiv numai dac: a)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, independena i expertiza sa n legtur cu obiectul certificrii; b)s-a angajat s respecte criteriile menionate la articolul 42 alineatul (5) i aprobate de autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56, sau de ctre comitet n temeiul articolului 63; c)a instituit proceduri pentru emiterea, revizuirea periodic i retragerea certificrii, a sigiliilor i mrcilor din domeniul proteciei datelor; d)a instituit proceduri i structuri pentru tratarea plngerilor privind nclcri ale certificrii sau privind modul n care certificarea a fost sau este pus n aplicare de un operator sau o persoan mputernicit de operator, precum i pentru asigurarea transparenei acestor proceduri i structuri pentru persoanele vizate i pentru public; i e)a demonstrat autoritii de supraveghere competente, ntr-un mod satisfctor, c sarcinile i atribuiile sale nu creeaz conflicte de interese. (3)Acreditarea organismelor de certificare menionate la alineatele (1) i (2) din prezentul articol se realizeaz pe baza criteriilor aprobate de ctre autoritatea de supraveghere care este competent n temeiul articolului 55 sau 56, sau de ctre comitet n temeiul articolului 63. n cazul unei acreditri n conformitate cu alineatul (1) litera (b) din prezentul articol, aceste cerine le completeaz pe cele prevzute n Regulamentul (CE) nr. 765/2008 i normele tehnice care descriu metodele i procedurile organismelor de certificare. (4)Organismele de certificare menionate la alineatul (1) sunt responsabile cu realizarea unei evaluri adecvate n vederea certificrii sau retragerii acestei certificri, fr a aduce atingere responsabilitii operatorului sau a persoanei mputernicite de operator de a respecta prezentul regulament. Acreditarea se elibereaz pentru o perioad maxim de cinci ani i poate fi rennoit n aceleai condiii, cu condiia ca organismul de certificare s ndeplineasc cerinele prevzute n prezentul articol. (5)Organismele de certificare menionate la alineatul (1) transmite autoritilor de supraveghere competente motivele acordrii sau retragerii certificrii solicitate. (6)Cerinele menionate la alineatul (3) din prezentul articol i criteriile menionate la articolul 42 alineatul (5) se public de ctre autoritatea de supraveghere ntr-o form uor de accesat. Autoritile de supraveghere transmit, de asemenea, aceste cerine i criterii comitetului. Comitetul regrupeaz toate mecanismele de certificare i sigiliile de protecie a datelor ntr-un registru i le pune la dispoziia publicului prin orice mijloc corespunztor. (7)Fr a aduce atingere dispoziiilor capitolului VIII, autoritatea de supraveghere competent sau organismul naional de acreditare revoc acreditarea acordat unui organism de certificare n temeiul alineatului (1) din prezentul articol n cazul n care nu sunt sau nu mai sunt ndeplinite condiiile pentru acreditare sau msurile luate de organismul de acreditare ncalc prezentul regulament. (8)Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 92, n scopul specificrii cerinelor care trebuie luate n considerare pentru mecanismele de certificare din domeniul proteciei datelor, menionate la articolul 42 alineatul (1). (9)Comisia poate adopta acte de punere n aplicare pentru a stabili standarde tehnice pentru mecanismele de certificare i pentru sigiliile i mrcile din domeniul proteciei datelor, precum i mecanisme de promovare i recunoatere a acelor mecanisme de certificare, sigilii i mrci. Actele de punere n aplicare respective se adopt n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2). CAPITOLUL V: Transferurile de date cu caracter personal ctre ri tere sau organizaii internaionale Art. 44: Principiul general al transferurilor Orice date cu caracter personal care fac obiectul prelucrrii sau care urmeaz a fi prelucrate dup ce sunt transferate ntr-o ar ter sau ctre o organizaie internaional pot fi transferate doar dac, sub rezerva celorlalte dispoziii ale prezentului regulament, condiiile prevzute n prezentul capitol sunt respectate de operator i de persoana mputernicit de operator, inclusiv n ceea ce privete transferurile ulterioare de date cu caracter personal din ara ter sau de la organizaia internaional ctre o alt ar ter sau ctre o alt organizaie internaional. Toate dispoziiile din prezentul capitol se aplic pentru a se asigura c nivelul de protecie a persoanelor fizice garantat prin prezentul regulament nu este subminat. Art. 45: Transferuri n temeiul unei decizii privind caracterul adecvat al nivelului de protecie (1)Transferul de date cu caracter personal ctre o ar ter sau o organizaie internaional se poate realiza atunci cnd Comisia a decis c ara ter, un teritoriu ori unul sau mai multe sectoare specificate din acea ar ter sau organizaia internaional n cauz asigur un nivel de protecie adecvat. Transferurile realizate n aceste condiii nu necesit autorizri speciale. (2)Atunci cnd evalueaz caracterul adecvat al nivelului de protecie, Comisia ine seama, n special, de urmtoarele elemente: a)statul de drept, respectarea drepturilor omului i a libertilor fundamentale, legislaia relevant, att general, ct i sectorial, inclusiv privind securitatea public, aprarea, securitatea naional i dreptul penal, precum i accesul autoritilor publice la datele cu caracter personal, precum i punerea n aplicare a acestei legislaii, normele de protecie a datelor, normele profesionale i msurile de securitate, inclusiv normele privind transferul ulterior de date cu caracter personal ctre o alt ar ter sau organizaie internaional, care sunt respectate n ara ter respectiv sau n organizaia internaional respectiv, jurisprudena, precum i existena unor drepturi efective i opozabile ale persoanelor vizate i a unor reparaii efective pe cale administrativ i judiciar pentru persoanele vizate ale cror date cu caracter personal sunt transferate; b)existena i funcionarea eficient a uneia sau mai multor autoriti de supraveghere independente n ara ter sau sub jurisdicia crora intr o organizaie internaional, cu responsabilitate pentru asigurarea i impunerea respectrii normelor de protecie a datelor, incluznd competene adecvate de asigurare a respectrii aplicrii, pentru acordarea de asisten i consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora i pentru cooperarea cu autoritile de supraveghere din statele membre; i c)angajamentele internaionale la care a aderat ara ter sau organizaia internaional n cauz sau alte obligaii care decurg din convenii sau instrumente obligatorii din punct de vedere juridic, precum i din participarea acesteia la sisteme multilaterale sau regionale, mai ales n domeniul proteciei datelor cu caracter personal. (3)Comisia, dup ce evalueaz caracterul adecvat al nivelului de protecie, poate decide, printr-un act de punere n aplicare, c o ar ter, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ar ter sau o organizaie internaional asigur un nivel de protecie adecvat n sensul alineatului (2) din prezentul articol. Actul de punere n aplicare prevede un mecanism de revizuire periodic, cel puin o dat la patru ani, care ia n considerare toate evoluiile relevante din ara ter sau organizaia internaional. Actul de punere n aplicare menioneaz aplicarea geografic i sectorial, i, dup caz, identific autoritatea sau autoritile de supraveghere menionate la alineatul (2) litera (b) din prezentul articol. Actul de punere n aplicare se adopt n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2). (4)Comisia monitorizeaz continuu evoluiile din rile tere i de la nivelul organizaiilor internaionale care ar putea afecta funcionarea deciziilor adoptate n temeiul alineatului (3) din prezentul articol i a deciziilor adoptate n temeiul articolului 25 alineatul (6) din Directiva 95/46/CE. (5)n cazul n care informaiile disponibile dezvluie, n special n urma revizuirii menionate la alineatul (3) din prezentul articol, c o ar ter, un teritoriu sau un sector specificat din acea ar ter sau o organizaie internaional nu mai asigur un nivel de protecie adecvat n sensul alineatului (2) din prezentul articol, Comisia, dac este necesar, abrog, modific sau suspend, prin intermediul unui act de punere n aplicare, decizia menionat la alineatul (3) din prezentul articol fr efect retroactiv. Actele de punere n aplicare respective se adopt n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2). Din motive imperioase de urgen, Comisia adopt acte de punere n aplicare imediat aplicabile n conformitate cu procedura menionat la articolul 93 alineatul (3). (6)Comisia iniiaz consultri cu ara ter sau organizaia internaional n vederea remedierii situaiei care a stat la baza deciziei luate n conformitate cu alineatul (5). (7)O decizie luat n temeiul alineatului (5) din prezentul articol nu aduce atingere transferurilor de date cu caracter personal ctre ara ter, un teritoriu sau unul sau mai multe sectoare specificate din acea ar ter sau ctre organizaia internaional n cauz n conformitate cu articolele 46-49. (8)Comisia public n Jurnalul Oficial al Uniunii Europene i pe site-ul su o list a rilor tere, a teritoriilor i sectoarelor specificate dintr-o ar ter i a organizaiilor internaionale n cazul crora a decis c nivelul de protecie adecvat este asigurat sau nu mai este asigurat. (9)Deciziile adoptate de Comisie n temeiul articolului 25 alineatul (6) din Directiva 95/46/CE rmn n vigoare pn cnd sunt modificate, nlocuite sau abrogate de o decizie a Comisiei adoptat n conformitate cu alineatul (3) sau (5) din prezentul articol. Art. 46: Transferuri n baza unor garanii adecvate (1)n absena unei decizii n temeiul articolului 45 alineatul (3), operatorul sau persoana mputernicit de operator poate transfera date cu caracter personal ctre o ar ter sau o organizaie internaional numai dac operatorul sau persoana mputernicit de operator a oferit garanii adecvate i cu condiia s existe drepturi opozabile i ci de atac eficiente pentru persoanele vizate. (2)Garaniile adecvate menionate la alineatul 1 pot fi furnizate fr s fie nevoie de nicio autorizaie specific din partea unei autoriti de supraveghere, prin: a)un instrument obligatoriu din punct de vedere juridic i executoriu ntre autoritile sau organismele publice; b)reguli corporatiste obligatorii n conformitate cu articolul 47; c)clauze standard de protecie a datelor adoptate de Comisie n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2); d)clauze standard de protecie a datelor adoptate de o autoritate de supraveghere i aprobate de Comisie n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2); e)un cod de conduit aprobat n conformitate cu articolul 40, nsoit de un angajament obligatoriu i executoriu din partea operatorului sau a persoanei mputernicite de operator din ara ter de a aplica garanii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau f)un mecanism de certificare aprobat n conformitate cu articolul 42, nsoit de un angajament obligatoriu i executoriu din partea operatorului sau a persoanei mputernicite de operator din ara ter de a aplica garanii adecvate, inclusiv cu privire la drepturile persoanelor vizate. (3)Sub rezerva autorizrii din partea autoritii de supraveghere competente, garaniile adecvate menionate la alineatul (1) pot fi furnizate de asemenea, n special, prin: a)clauze contractuale ntre operator sau persoana mputernicit de operator i operatorul, persoana mputernicit de operator sau destinatarul datelor cu caracter personal din ara ter sau organizaia internaional; sau b)dispoziii care urmeaz s fie incluse n acordurile administrative dintre autoritile sau organismele publice, care includ drepturi opozabile i efective pentru persoanele vizate. (4)Autoritatea de supraveghere aplic mecanismul pentru asigurarea coerenei menionat la articolul 63, n cazurile menionate la alineatul (3) din prezentul articol. (5)Autorizaiile acordate de un stat membru sau de o autoritate de supraveghere n temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile pn la data la care sunt modificate, nlocuite sau abrogate, dac este necesar, de respectiva autoritate de supraveghere. Deciziile adoptate de Comisie n temeiul articolului 26 alineatul (4) din Directiva 95/46/CE rmn n vigoare pn cnd sunt modificate, nlocuite sau abrogate, dac este necesar, de o decizie a Comisiei adoptat n conformitate cu alineatul (2) din prezentul articol. Art. 47: Reguli corporatiste obligatorii (1)n conformitate cu mecanismul pentru asigurarea coerenei prevzut la articolul 63, autoritatea de supraveghere competent aprob reguli corporatiste obligatorii, cu condiia ca acestea: a)s fie obligatorii din punct de vedere juridic i s se aplice fiecrui membru vizat al grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun, inclusiv angajailor acestuia, precum i s fie puse n aplicare de membrii n cauz; b)s confere, n mod expres, drepturi opozabile persoanelor vizate n ceea ce privete prelucrarea datelor lor cu caracter personal; i c)s ndeplineasc cerinele prevzute la alineatul (2). (2)Regulile corporatiste obligatorii menionate la alineatul (1) precizeaz cel puin: a)structura i datele de contact ale grupului de ntreprinderi sau ale grupului de ntreprinderi implicate ntr-o activitate economic comun i ale fiecruia dintre membrii si; b)transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrrii i scopurile prelucrrii, tipurile de persoane vizate afectate i identificarea rii tere sau a rilor tere n cauz; c)caracterul lor juridic obligatoriu, att pe plan intern, ct i extern; d)aplicarea principiilor generale n materie de protecie a datelor, n special limitarea scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protecia datelor ncepnd cu momentul conceperii i protecia implicit, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, msurile de asigurare a securitii datelor, precum i cerinele referitoare la transferurile ulterioare ctre organisme care nu fac obiectul regulilor corporatiste obligatorii; e)drepturile persoanelor vizate n ceea ce privete prelucrarea i mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automat, inclusiv crearea de profiluri, n conformitate cu articolul 22, dreptul de a depune o plngere n faa autoritii de supraveghere competente i n faa instanelor competente ale statelor membre, n conformitate cu articolul 79, precum i dreptul de a obine reparaii i, dup caz, despgubiri pentru nclcarea regulilor corporatiste obligatorii; f)acceptarea de ctre operator sau de persoana mputernicit de operator, care i are sediul pe teritoriul unui stat membru, a rspunderii pentru orice nclcare a regulilor corporatiste obligatorii de ctre orice membru n cauz care nu i are sediul n Uniune; operatorul sau persoana mputernicit de operator este exonerat() de aceast rspundere, integral sau parial, numai dac dovedete c membrul respectiv nu a fost rspunztor de evenimentul care a cauzat prejudiciul; g)modul n care informaiile privind regulile corporatiste obligatorii, n special privind dispoziiile menionate la literele (d), (e) i (f) de la prezentul alineat, sunt furnizate persoanelor vizate n completarea informaiilor menionate la articolele 13 i 14; h)sarcinile oricrui responsabil cu protecia datelor desemnat n conformitate cu articolul 37 sau ale oricrei alte persoane sau entiti nsrcinate cu monitorizarea respectrii regulilor corporatiste obligatorii n cadrul grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun, a activitilor de formare i a gestionrii plngerilor; i)procedurile de formulare a plngerilor; j)mecanismele din cadrul grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun, menite s asigure verificarea conformitii cu regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protecia datelor i metodele de asigurare a aciunilor corective menite s protejeze drepturile persoanei vizate. Rezultatele acestor verificri ar trebui s fie comunicate persoanei sau entitii menionate la litera (h) i consiliului de administraie al ntreprinderii care exercit controlul grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun i ar trebui s fie puse la dispoziia autoritii de supraveghere competente, la cerere; k)mecanismele de raportare i nregistrare a modificrilor aduse regulilor i de raportare a acestor modificri autoritii de supraveghere; l)mecanismul de cooperare cu autoritatea de supraveghere n vederea asigurrii respectrii regulilor de ctre orice membru al grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun, n special prin punerea la dispoziia autoritii de supraveghere a rezultatelor verificrilor cu privire la msurile menionate la punctul (j); m)mecanismele de raportare ctre autoritatea de supraveghere competent a oricror cerine legale impuse unui membru al grupului de ntreprinderi sau al grupului de ntreprinderi implicate ntr-o activitate economic comun ntr-o ar ter care pot avea un efect advers considerabil asupra garaniilor furnizate prin regulile corporatiste obligatorii; i n)formarea corespunztoare n domeniul proteciei datelor a personalului care are un acces permanent sau periodic la date cu caracter personal. (3)Comisia poate preciza formatul i procedurile pentru schimbul de informaii ntre operatori, persoanele mputernicite de operatori i autoritile de supraveghere pentru regulile corporatiste obligatorii n sensul prezentului articol. Actele de punere n aplicare respective se adopt n conformitate cu procedura de examinare prevzut la articolul 93 alineatul (2). Art. 48: Transferurile sau divulgrile de informaii neautorizate de dreptul Uniunii Orice hotrre a unei instane sau a unui tribunal i orice decizie a unei autoriti administrative a unei ri tere care impun unui operator sau persoanei mputernicite de operator s transfere sau s divulge date cu caracter personal poate fi recunoscut sau executat n orice fel numai dac se bazeaz pe un acord internaional, cum ar fi un tratat de asisten judiciar reciproc n vigoare ntre ara ter solicitant i Uniune sau un stat membru, fr a se aduce atingere altor motive de transfer n temeiul prezentului capitol. Art. 49: Derogri pentru situaii specifice (1)n absena unei decizii privind caracterul adecvat al nivelului de protecie n conformitate cu articolul 45 alineatul (3) sau a unor garanii adecvate n conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu caracter personal ctre o ar ter sau o organizaie internaional poate avea loc numai n una dintre condiiile urmtoare: a)persoana vizat i-a exprimat n mod explicit acordul cu privire la transferul propus, dup ce a fost informat asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizat ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecie i a unor garanii adecvate; b)transferul este necesar pentru executarea unui contract ntre persoana vizat i operator sau pentru aplicarea unor msuri precontractuale adoptate la cererea persoanei vizate; c)transferul este necesar pentru ncheierea unui contract sau pentru executarea unui contract ncheiat n interesul persoanei vizate ntre operator i o alt persoan fizic sau juridic; d)transferul este necesar din considerente importante de interes public; e)transferul este necesar pentru stabilirea, exercitarea sau aprarea unui drept n instan; f)transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci cnd persoana vizat nu are capacitatea fizic sau juridic de a-i exprima acordul; g)transferul se realizeaz dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaii publicului i care poate fi consultat fie de public n general, fie de orice persoan care poate face dovada unui interes legitim, dar numai n msura n care sunt ndeplinite condiiile cu privire la consultare prevzute de dreptul Uniunii sau de dreptul intern n acel caz specific. n cazul n care un transfer nu ar putea s se ntemeieze pe o dispoziie prevzut la articolul 45 sau 46, inclusiv dispoziii privind reguli corporatiste obligatorii, i nu este aplicabil niciuna dintre derogrile pentru situaii specifice prevzute la primul paragraf din prezentul alineat, un transfer ctre o ar ter sau o organizaie internaional poate avea loc numai n cazul n care transferul nu este repetitiv, se refer doar la un numr limitat de persoane vizate, este necesar n scopul realizrii intereselor legitime majore urmrite de operator asupra cruia nu prevaleaz interesele sau drepturile i libertile persoanei vizate i operatorul a evaluat toate circumstanele aferente transferului de date i, pe baza acestei evaluri, a prezentat garanii corespunztoare n ceea ce privete protecia datelor cu caracter personal. Operatorul informeaz autoritatea de supraveghere cu privire la transfer. Operatorul, n plus fa de furnizarea informaiilor menionate la articolele 13 i 14, informeaz persoana vizat cu privire la transfer i la interesele legitime majore pe care le urmrete. (2)Transferul n temeiul alineatului (1) primul paragraf litera (g) nu implic totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse n registru. Atunci cnd registrul urmeaz a fi consultat de ctre persoane care au un interes legitim, transferul se efectueaz numai la cererea persoanelor respective sau n cazul n care acestea vor fi destinatarii. (3)Alineatul (1) primul paragraf literele (a), (b) i (c) i paragraful al doilea nu se aplic n cazul activitilor desfurate de autoritile publice n exercitarea competenelor lor publice. (4)Interesul public prevzut la alineatul (1) primul paragraf litera (d) este recunoscut n dreptul Uniunii sau n dreptul statului membru sub incidena cruia intr operatorul. (5)n absena unei decizii privind caracterul adecvat al nivelului de protecie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, s stabileasc n mod expres limite asupra transferului unor categorii specifice de date cu caracter personal ctre o ar ter sau o organizaie internaional. Statele membre notific aceste dispoziii Comisiei. (6)Operatorul sau persoana mputernicit de operator consemneaz evaluarea, precum i garaniile adecvate prevzute la paragraful al doilea al alineatului (1) din prezentul articol, n evidenele menionate la articolul 30. Art. 50: Cooperarea internaional n domeniul proteciei datelor cu caracter personal n ceea ce privete rile tere i organizaiile internaionale, Comisia i autoritile de supraveghere iau msurile corespunztoare pentru: (a)elaborarea de mecanisme de cooperare internaional pentru a facilita asigurarea aplicrii efective a legislaiei privind protecia datelor cu caracter personal; (b)acordarea de asisten internaional reciproc n asigurarea aplicrii legislaiei din domeniul proteciei datelor cu caracter personal, inclusiv prin notificare, transferul plngerilor, asisten n investigaii i schimb de informaii, sub rezerva unor garanii adecvate pentru protecia datelor cu caracter personal i a altor drepturi i liberti fundamentale; (c)implicarea prilor interesate relevante n discuiile i activitile care au ca scop intensificarea cooperrii internaionale n domeniul aplicrii legislaiei privind protecia datelor cu caracter personal; (d)promovarea schimbului reciproc i a documentaiei cu privire la legislaia i practicile n materie de protecie a datelor cu caracter personal, inclusiv n ceea ce privete conflictele jurisdicionale cu rile tere. CAPITOLUL VI: Autoriti de supraveghere independente Seciunea 1: Statutul independent Art. 51: Autoritatea de supraveghere (1)Fiecare stat membru se asigur c una sau mai multe autoriti publice independente sunt responsabile de monitorizarea aplicrii prezentului regulament, n vederea protejrii drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete prelucrarea i n vederea facilitrii liberei circulaii a datelor cu caracter personal n cadrul Uniunii ("autoritatea de supraveghere"). (2)Fiecare autoritate de supraveghere contribuie la aplicarea coerent a prezentului regulament n ntreaga Uniune. n acest scop, autoritile de supraveghere coopereaz att ntre ele, ct i cu Comisia, n conformitate cu capitolul VII. (3)n cazul n care mai multe autoriti de supraveghere sunt instituite ntr-un stat membru, acesta desemneaz autoritatea de supraveghere care reprezint autoritile respective n cadrul comitetului i instituie un mecanism prin care s asigure respectarea de ctre celelalte autoriti a normelor privind mecanismul pentru asigurarea coerenei prevzut la articolul 63. (4)Fiecare stat membru notific Comisiei dispoziiile de drept pe care le adopt n temeiul prezentului capitol pn la 25 mai 2018 i, fr ntrziere, orice modificare ulterioar pe care o aduce acestor dispoziii. Art. 52: Independen (1)Fiecare autoritate de supraveghere beneficiaz de independen deplin n ndeplinirea sarcinilor sale i exercitarea competenelor sale n conformitate cu prezentul regulament. (2)Membrul sau membrii fiecrei autoriti de supraveghere, n cadrul ndeplinirii sarcinilor i al exercitrii competenelor sale (lor) n conformitate cu prezentul regulament, rmne (rmn) independent (independeni) de orice influen extern direct sau indirect i nici nu solicit, nici nu accept instruciuni de la o parte extern. (3)Membrul sau membrii fiecrei autoriti de supraveghere se abin de la a ntreprinde aciuni incompatibile cu atribuiile lor, iar pe durata mandatului, nu desfoar activiti incompatibile, remunerate sau nu. (4)Fiecare stat membru se asigur c fiecare autoritate de supraveghere beneficiaz de resurse umane, tehnice i financiare, de un sediu i de infrastructura necesar pentru ndeplinirea sarcinilor i exercitarea efectiv a competenelor sale, inclusiv a celor care urmeaz s fie aplicate n contextul asistenei reciproce, al cooperrii i al participrii n cadrul comitetului. (5)Fiecare stat membru se asigur c fiecare autoritate de supraveghere i selecteaz personalul propriu i deine personal propriu aflat sub conducerea exclusiv a membrului sau membrilor autoritii de supraveghere respective. (6)Fiecare stat membru se asigur c fiecare autoritate de supraveghere face obiectul unui control financiar care nu aduce atingere independenei sale i c dispune de bugete anuale distincte, publice, care pot face parte din bugetul general de stat sau naional. Art. 53: Condiii generale aplicabile membrilor autoritii de supraveghere (1)Statele membre se asigur c fiecare membru al autoritii lor de supraveghere este numit prin intermediul unei proceduri transparente: - de parlament; - de guvern; - de eful statului; sau - de un organism independent mputernicit s fac numiri n temeiul dreptului intern. (2)Fiecare membru n cauz are calificrile, experiena i competenele necesare, n special n domeniul proteciei datelor cu caracter personal, pentru a-i putea ndeplini atribuiile i exercita competenele. (3)Atribuiile unui membru nceteaz n cazul expirrii mandatului, n cazul demisiei sau pensionrii din oficiu n conformitate cu dreptul intern relevant. (4)Un membru poate fi demis doar n cazuri de abateri grave sau dac nu mai ndeplinete condiiile necesare pentru ndeplinirea atribuiilor sale. Art. 54: Norme privind instituirea autoritii de supraveghere (1)Fiecare stat membru prevede, pe cale legislativ, urmtoarele: a)instituirea fiecrei autoriti de supraveghere; b)calificrile i condiiile de eligibilitate necesare pentru a fi numit n calitate de membru al fiecrei autoriti de supraveghere; c)normele i procedurile pentru numirea membrului sau a membrilor fiecrei autoriti de supraveghere; d)durata mandatului membrului sau membrilor fiecrei autoriti de supraveghere, de minimum patru ani, cu excepia primei numiri dup 24 mai 2016, din care o parte poate fi pe o perioad mai scurt n cazul n care acest lucru este necesar pentru a proteja independena autoritii de supraveghere printr-o procedur de numiri ealonate; e)dac i de cte ori este eligibil pentru rennoire mandatul membrului sau membrilor fiecrei autoriti de supraveghere; f)condiiile care reglementeaz obligaiile membrului sau membrilor i ale personalului fiecrei autoriti de supraveghere, interdicii privind aciunile, ocupaiile i beneficiile incompatibile cu acestea n cursul mandatului i dup ncetarea acestuia, precum i normele care reglementeaz ncetarea contractului de angajare. (2)Membrul sau membrii i personalul fiecrei autoriti de supraveghere au obligaia, n conformitate cu dreptul Uniunii sau cu dreptul intern, de a respecta att pe parcursul mandatului, ct i dup ncetarea acestuia, secretul profesional n ceea ce privete informaiile confideniale de care au luat cunotin n cursul ndeplinirii sarcinilor sau al exercitrii competenelor lor. Pe durata mandatului lor, aceast obligaie de pstrare a secretului profesional se aplic n special n ceea ce privete raportarea de ctre persoane fizice a nclcrilor prezentului regulament. Seciunea 2: Abilitri, sarcini i competene Art. 55: Competena (1)Fiecare autoritate de supraveghere are competena s ndeplineasc sarcinile i s exercite competenele care i sunt conferite n conformitate cu prezentul regulament pe teritoriul statului membru de care aparine. (2)n cazul n care prelucrarea este efectuat de autoriti publice sau de organisme private care acioneaz pe baza literei (c) sau (e) de la articolul 6 alineatul (1), este autoritatea de supraveghere din statul membru respectiv. n astfel de cazuri, nu se aplic articolul 56. (3)Autoritile de supraveghere nu sunt competente s supravegheze operaiunile de prelucrare ale instanelor care acioneaz n exerciiul funciei lor judiciare. Art. 56: Competena autoritii de supraveghere principale (1)Fr a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei mputernicite de operator este competent s acioneze n calitate de autoritate de supraveghere principal pentru prelucrarea transfrontalier efectuat de respectivul operator sau respectiva persoan mputernicit n cauz n conformitate cu procedura prevzut la articolul 60. (2)Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competent s trateze o plngere depus n atenia sa sau o eventual nclcare a prezentului regulament, n cazul n care obiectul acesteia se refer numai la un sediu aflat n statul su membru sau afecteaz n mod semnificativ persoane vizate numai n statul su membru. (3)n cazurile menionate la alineatul (2) din prezentul articol, autoritatea de supraveghere informeaz fr ntrziere autoritatea de supraveghere principal cu privire la aceast chestiune. n termen de trei sptmni de la momentul informrii, autoritatea de supraveghere principal decide dac trateaz sau nu cazul respectiv n conformitate cu procedura prevzut la articolul 60, lund n considerare dac exist sau nu un sediu al operatorului sau al persoanei mputernicite de operator pe teritoriul statului membru a crui autoritate de supraveghere a informat-o. (4)n cazul n care autoritatea de supraveghere principal decide s trateze cazul, se aplic procedura prevzut la articolul 60. Autoritatea de supraveghere care a informat autoritatea de supraveghere principal poate nainta un proiect de decizie acesteia din urm. Autoritatea de supraveghere principal ine seama n cea mai mare msur posibil de proiectul respectiv atunci cnd pregtete proiectul de decizie prevzut la articolul 60 alineatul (3). (5)n cazul n care autoritatea de supraveghere principal decide s nu trateze cazul, autoritatea de supraveghere care a informat autoritatea de supraveghere principal trateaz cazul n conformitate cu articolele 61 i 62. (6)Autoritatea de supraveghere principal este singurul interlocutor al operatorului sau al persoanei mputernicite de operator n ceea ce privete prelucrarea transfrontalier efectuat de respectivul operator sau de respectiva persoan mputernicit de operator. Art. 57: Sarcini (1)Fr a aduce atingere altor sarcini stabilite n temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul su: a)monitorizeaz i asigur aplicarea prezentului regulament; b)promoveaz aciuni de sensibilizare i de nelegere n rndul publicului a riscurilor, normelor, garaniilor i drepturilor n materie de prelucrare. Se acord atenie special activitilor care se adreseaz n mod specific copiilor; c)ofer consiliere, n conformitate cu dreptul intern, parlamentului naional, guvernului i altor instituii i organisme cu privire la msurile legislative i administrative referitoare la protecia drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea; d)promoveaz aciuni de sensibilizare a operatorilor i a persoanelor mputernicite de acetia cu privire la obligaiile care le revin n temeiul prezentului regulament; e)la cerere, furnizeaz informaii oricrei persoane vizate n legtur cu exercitarea drepturilor sale n conformitate cu prezentul regulament i, dac este cazul, coopereaz cu autoritile de supraveghere din alte state membre n acest scop; f)trateaz plngerile depuse de o persoan vizat, un organism, o organizaie sau o asociaie n conformitate cu articolul 80 i investigheaz ntr-o msur adecvat obiectul plngerii i informeaz reclamantul cu privire la evoluia i rezultatul investigaiei, ntr-un termen rezonabil, n special dac este necesar efectuarea unei investigaii mai amnunite sau coordonarea cu o alt autoritate de supraveghere; g)coopereaz, inclusiv prin schimb de informaii, cu alte autoriti de supraveghere i i ofer asisten reciproc pentru a asigura coerena aplicrii i respectrii prezentului regulament; h)desfoar investigaii privind aplicarea prezentului regulament, inclusiv pe baza unor informaii primite de la o alt autoritate de supraveghere sau de la o alt autoritate public; i)monitorizeaz evoluiile relevante, n msura n care acestea au impact asupra proteciei datelor cu caracter personal, n special evoluia tehnologiilor informaiei i comunicaiilor i a practicilor comerciale; j)adopt clauze contractuale standard menionate la articolul 28 alineatul (8) i la articolul 46 alineatul (2) litera (d); k)ntocmete i menine la zi o list n legtur cu cerina privind evaluarea impactului asupra proteciei datelor, n conformitate cu articolul 35 alineatul (4); l)ofer consiliere cu privire la operaiunile de prelucrare menionate la articolul 36 alineatul (2); m)ncurajeaz elaborarea de coduri de conduit n conformitate cu articolul 40 alineatul (1), i d avizul cu privire la acestea i le aprob pe cele care ofer suficiente garanii, n conformitate cu articolul 40 alineatul (5); n)ncurajeaz stabilirea unor mecanisme de certificare, precum i a unor sigilii i mrci n domeniul proteciei datelor n conformitate cu articolul 42 alineatul (1) i aprob criteriile de certificare n conformitate cu articolul 42 alineatul (5); o)acolo unde este cazul, efectueaz o revizuire periodic a certificrilor acordate, n conformitate cu articolul 42 alineatul (7); p)elaboreaz i public criteriile de acreditare a unui organism de monitorizare a codurilor de conduit n conformitate cu articolul 41 i a unui organism de certificare n conformitate cu articolul 43; q)coordoneaz procedura de acreditare a unui organism de monitorizare a codurilor de conduit n conformitate cu articolul 41 i a unui organism de certificare n conformitate cu articolul 43; r)autorizeaz clauzele i dispoziiile contractuale menionate la articolul 46 alineatul (3); s)aprob regulile corporatiste obligatorii n conformitate cu articolul 47; t)contribuie la activitile comitetului; u)menine la zi evidene interne privind nclcrile prezentului regulament i msurile luate, n special avertismentele emise i sanciunile impuse n conformitate cu articolul 58 alineatul (2); i v)ndeplinete orice alte sarcini legate de protecia datelor cu caracter personal. (2)Fiecare autoritate de supraveghere faciliteaz depunerea plngerilor menionate la alineatul (1) litera (f) prin msuri precum punerea la dispoziie a unui formular de depunere a plngerii care s poat fi completat inclusiv n format electronic, fr a exclude alte mijloace de comunicare. (3)ndeplinirea sarcinilor fiecrei autoriti de supraveghere este gratuit pentru persoana vizat i, dup caz, pentru responsabilul cu protecia datelor. (4)n cazul n care cererile sunt n mod vdit nefondate sau excesive, n special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o tax rezonabil, bazat pe costurile administrative, sau poate refuza s le trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine autoritii de supraveghere. Art. 58: Competene (1)Fiecare autoritate de supraveghere are toate urmtoarele competene de investigare: a)de a da dispoziii operatorului i persoanei mputernicite de operator i, dup caz, reprezentantului operatorului sau al persoanei mputernicite de operator s furnizeze orice informaii pe care autoritatea de supraveghere le solicit n vederea ndeplinirii sarcinilor sale; b)de a efectua investigaii sub form de audituri privind protecia datelor; c)de a efectua o revizuire a certificrilor acordate n temeiul articolului 42 alineatul (7); d)de a notifica operatorul sau persoana mputernicit de operator cu privire la presupusa nclcare a prezentului regulament; e)de a obine, din partea operatorului i a persoanei mputernicite de operator, accesul la toate datele cu caracter personal i la toate informaiile necesare pentru ndeplinirea sarcinilor sale; f)de a obine accesul la oricare dintre incintele operatorului i ale persoanei mputernicite de operator, inclusiv la orice echipamente i mijloace de prelucrare a datelor, n conformitate cu dreptul Uniunii sau cu dreptul procesual intern. (2)Fiecare autoritate de supraveghere are toate urmtoarele competene corective: a)de a emite avertizri n atenia unui operator sau a unei persoane mputernicite de operator cu privire la posibilitatea ca operaiunile de prelucrare prevzute s ncalce dispoziiile prezentului regulament; b)de a emite mustrri adresate unui operator sau unei persoane mputernicite de operator n cazul n care operaiunile de prelucrare au nclcat dispoziiile prezentului regulament; c)de a da dispoziii operatorului sau persoanei mputernicite de operator s respecte cererile persoanei vizate de a-i exercita drepturile n temeiul prezentului regulament; d)de a da dispoziii operatorului sau persoanei mputernicite de operator s asigure conformitatea operaiunilor de prelucrare cu dispoziiile prezentului regulament, specificnd, dup caz, modalitatea i termenul-limit pentru aceasta; e)de a obliga operatorul s informeze persoana vizat cu privire la o nclcare a proteciei datelor cu caracter personal; f)de a impune o limitare temporar sau definitiv, inclusiv o interdicie asupra prelucrrii; g)de a dispune rectificarea sau tergerea datelor cu caracter personal sau restricionarea prelucrrii, n temeiul articolelor 16, 17 i 18, precum i notificarea acestor aciuni destinatarilor crora le-au fost divulgate datele cu caracter personal, n conformitate cu articolul 17 alineatul (2) i cu articolul 19; h)de a retrage o certificare sau de a obliga organismul de certificare s retrag o certificare eliberat n temeiul articolul 42 i 43 sau de a obliga organismul de certificare s nu elibereze o certificare n cazul n care cerinele de certificare nu sunt sau nu mai sunt ndeplinite; i)de a impune amenzi administrative n conformitate cu articolul 83, n completarea sau n locul msurilor menionate la prezentul alineat, n funcie de circumstanele fiecrui caz n parte; j)de a dispune suspendarea fluxurilor de date ctre un destinatar dintr-o ar ter sau ctre o organizaie internaional. (3)Fiecare autoritate de supraveghere are toate urmtoarele competene de autorizare i de consiliere: a)de a oferi consiliere operatorului n conformitate cu procedura de consultare prealabil menionat la articolul 36; b)de a emite avize, din proprie iniiativ sau la cerere, parlamentului naional, guvernului statului membru sau, n conformitate cu dreptul intern, altor instituii i organisme, precum i publicului, cu privire la orice aspect legat de protecia datelor cu caracter personal; c)de a autoriza prelucrarea menionat la articolul 36 alineatul (5), n cazul n care dreptul statului membru prevede o astfel de autorizare prealabil; d)de a emite un aviz i de a aproba proiectele de coduri de conduit, n conformitate cu articolul 40 alineatul (5); e)de a acredita organismele de certificare n conformitate cu articolul 43; f)de a emite certificri i de a aproba criterii de certificare n conformitate cu articolul 42 alineatul (5); g)de a adopta clauzele standard n materie de protecie a datelor menionate la articolul 28 alineatul (8) i la articolul 46 alineatul (2) litera (d); h)de a autoriza clauzele contractuale menionate la articolul 46 alineatul (3) litera (a); i)de a autoriza acordurile administrative menionate la articolul 46 alineatul (3) litera (b); i j)de a aproba reguli corporatiste obligatorii n conformitate cu articolul 47. (4)Exercitarea competenelor conferite autoritii de supraveghere n temeiul prezentului articol face obiectul unor garanii adecvate, inclusiv ci de atac judiciare eficiente i procese echitabile, prevzute n dreptul Uniunii i n dreptul intern n conformitate cu carta. (5)Fiecare stat membru prevede, pe cale legislativ, faptul c autoritatea sa de supraveghere are competena de a aduce n faa autoritilor judiciare cazurile de nclcare a prezentului regulament i, dup caz, de a iniia sau de a se implica ntr-un alt mod n proceduri judiciare, n scopul de a asigura aplicarea dispoziiilor prezentului regulament. (6)Fiecare stat membru poate s prevad n dreptul su faptul c autoritatea sa de supraveghere are competene suplimentare, n afara celor menionate la alineatele (1), (2) i (3). Exercitarea acestor competene nu afecteaz modul de operare eficient a capitolului VII. Art. 59: Rapoarte de activitate Fiecare autoritate de supraveghere ntocmete un raport anual cu privire la activitile sale, care poate include o list a tipurilor de nclcri notificate i a tipurilor de msuri luate n conformitate cu articolul 58 alineatul (2). Rapoartele se transmit parlamentului naional, guvernului i altor autoriti desemnate prin dreptul intern. Acestea se pun la dispoziia publicului, a Comisiei i a comitetului. CAPITOLUL VII: Cooperare i coeren Seciunea 1: Cooperare Art. 60: Cooperarea dintre autoritatea de supraveghere principal i celelalte autoriti de supraveghere vizate (1)Autoritatea de supraveghere principal coopereaz cu celelalte autoriti de supraveghere vizate, n conformitate cu prezentul articol, n ncercarea de a ajunge la un consens. Autoritatea de supraveghere principal i autoritile de supraveghere vizate i comunic reciproc toate informaiile relevante. (2)Autoritatea de supraveghere principal poate solicita n orice moment altor autoriti de supraveghere vizate s ofere asisten reciproc n temeiul articolului 61 i poate desfura operaiuni comune n temeiul articolului 62, n special n vederea efecturii de investigaii sau a monitorizrii punerii n aplicare a unei msuri referitoare la un operator sau o persoan mputernicit de operator, stabilit() n alt stat membru. (3)Autoritatea de supraveghere principal comunic fr ntrziere informaiile relevante referitoare la aceast chestiune celorlalte autoriti de supraveghere vizate. Autoritatea de supraveghere principal transmite fr ntrziere un proiect de decizie celorlalte autoriti de supraveghere vizate, pentru a obine avizul lor, i ine seama n mod corespunztor de opiniile acestora. (4)n cazul n care oricare dintre celelalte autoriti de supraveghere vizate exprim, n termen de patru sptmni dup ce a fost consultat n conformitate cu alineatul (3) din prezentul articol, o obiecie relevant i motivat la proiectul de decizie, autoritatea de supraveghere principal, n cazul n care nu d curs obieciei relevante i motivate sau consider c obiecia nu este relevant sau motivat, sesizeaz mecanismul pentru asigurarea coerenei menionat la articolul 63. (5)n cazul n care intenioneaz s dea curs obieciei relevante i motivate formulate, autoritatea de supraveghere principal transmite celorlalte autoriti de supraveghere vizate un proiect revizuit de decizie pentru a obine avizul acestora. Acest proiect revizuit de decizie face obiectul procedurii menionate la alineatul (4) pe parcursul unei perioade de dou sptmni. (6)n cazul n care niciuna dintre celelalte autoriti de supraveghere vizate nu a formulat obiecii la proiectul de decizie transmis de autoritatea de supraveghere principal n termenul menionat la alineatele (4) i (5), se consider c autoritatea de supraveghere principal i autoritile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care devine obligatoriu pentru acestea. (7)Autoritatea de supraveghere principal adopt decizia i o notific sediului principal sau sediului unic al operatorului sau al persoanei mputernicite de operator, dup caz, i informeaz celelalte autoriti de supraveghere vizate i comitetul cu privire la decizia n cauz, incluznd un rezumat al elementelor i motivelor relevante. Autoritatea de supraveghere la care a fost depus plngerea informeaz reclamantul cu privire la decizie. (8)Prin derogare de la alineatul (7), n cazul n care o plngere este refuzat sau respins, autoritatea de supraveghere la care s-a depus plngerea adopt decizia, o notific reclamantului i informeaz operatorul cu privire la acest lucru. (9)n cazul n care autoritatea de supraveghere principal i autoritile de supraveghere vizate sunt de acord s refuze sau s resping anumite pri ale unei plngeri i s dea curs altor pri ale plngerii respective, se adopt o decizie separat pentru fiecare dintre aceste pri. Autoritatea de supraveghere principal adopt decizia pentru partea care vizeaz aciunile referitoare la operator, o notific sediului principal sau sediului unic al operatorului sau al persoanei mputernicite de operator de pe teritoriul statului membru n cauz i informeaz reclamantul cu privire la acest lucru, n timp ce autoritatea de supraveghere a reclamantului adopt decizia pentru partea care vizeaz refuzarea sau respingerea plngerii respective, o notific reclamantului i informeaz operatorul sau persoana mputernicit de operator cu privire la acest lucru. (10)n urma notificrii deciziei autoritii de supraveghere principale n temeiul alineatelor (7) i (9), operatorul sau persoana mputernicit de operator ia msurile necesare pentru a se asigura c activitile de prelucrare sunt n conformitate cu decizia n toate sediile sale din Uniune. Operatorul sau persoana mputernicit de operator notific msurile luate n vederea respectrii deciziei autoritii de supraveghere principale, care informeaz celelalte autoriti de supraveghere vizate. (11)n cazul n care, n circumstane excepionale, o autoritate de supraveghere vizat are motive s considere c exist o nevoie urgent de a aciona n vederea protejrii intereselor persoanelor vizate, se aplic procedura de urgen prevzut la articolul 66. (12)Autoritatea de supraveghere principal i celelalte autoriti de supraveghere vizate i furnizeaz reciproc informaiile solicitate n temeiul prezentului articol, pe cale electronic, utiliznd un formular standard. Art. 61: Asisten reciproc (1)Autoritile de supraveghere i furnizeaz reciproc informaii relevante i asisten pentru a pune n aplicare prezentul regulament n mod coerent i instituie msuri de cooperare eficace ntre ele. Asistena reciproc se refer, n special, la cereri de informaii i msuri de supraveghere, cum ar fi cereri privind autorizri i consultri prealabile, inspecii i investigaii. (2)Fiecare autoritate de supraveghere ia toate msurile corespunztoare necesare pentru a rspunde unei cererii a unei alte autoriti de supraveghere, fr ntrzieri nejustificate i cel trziu n termen de o lun de la data primirii cererii. Aceste msuri pot include, n special, transmiterea informaiilor relevante privind desfurarea unei investigaii. (3)Cererile de asisten cuprind toate informaiile necesare, inclusiv scopul cererii i motivele care stau la baza acesteia. Informaiile care fac obiectul schimbului se utilizeaz numai n scopul n care au fost solicitate. (4)Autoritatea de supraveghere solicitat nu poate refuza s dea curs cererii, cu excepia cazului n care: a)nu are competen privind obiectul cererii sau msurile pe care este solicitat s le execute; sau b)a da curs cererii ar nclca prezentul regulament sau dreptul Uniunii sau dreptului intern sub incidena cruia intr autoritatea de supraveghere care a primit cererea. (5)Autoritatea de supraveghere creia i s-a adresat cererea informeaz autoritatea de supraveghere care a transmis cererea cu privire la rezultate sau, dup caz, la progresele nregistrate ori msurile ntreprinse pentru a rspunde cererii. Autoritatea de supraveghere solicitat i motiveaz fiecare refuz de a da curs cererii n temeiul alineatului (4). (6)Ca regul, autoritile de supraveghere solicitate furnizeaz informaiile solicitate de alte autoriti de supraveghere pe cale electronic, utiliznd un formular standard. (7)Autoritile de supraveghere solicitate nu percep nicio tax pentru aciunile ntreprinse de acestea n temeiul unei cereri de asisten reciproc. Autoritile de supraveghere pot conveni asupra unor norme privind retribuiile reciproce n cazul unor cheltuieli specifice rezultate n urma acordrii de asisten reciproc n situaii excepionale. (8)n cazul n care o autoritate de supraveghere nu furnizeaz informaiile menionate la alineatul (5) din prezentul articol n termen de o lun de la primirea cererii din partea altei autoriti de supraveghere, aceasta din urm poate adopta o msur provizorie pe teritoriul propriului stat membru, n conformitate cu articolul 55 alineatul (1). n acest caz, necesitatea urgent de a aciona n temeiul articolului 66 alineatul (1) este considerat a fi ndeplinit i necesit o decizie obligatorie urgent din partea comitetului, n conformitate cu articolul 66 alineatul (2). (9)Comisia, printr-un act de punere n aplicare, poate specifica forma i procedurile pentru asistena reciproc menionat n prezentul articol, precum i modalitile de schimb de informaii pe cale electronic ntre autoritile de supraveghere i ntre autoritile de supraveghere i comitet, n special formularul standard menionat la alineatul (6) din prezentul articol. Actele de punere n aplicare respective sunt adoptate n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2). Art. 62: Operaiuni comune ale autoritilor de supraveghere (1)Dup caz, autoritile de supraveghere desfoar operaiuni comune, inclusiv investigaii comune i msuri comune de aplicare a legii, n care sunt implicai membri sau personal din autoritile de supraveghere ale altor state membre. (2)n cazul n care operatorul sau persoana mputernicit de operator deine sedii n mai multe state membre sau dac un numr semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate n mod semnificativ de operaiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la operaiunile comune. Autoritatea de supraveghere care este competent n conformitate cu articolul 56 alineatul (1) sau alineatul (4) invit autoritile de supraveghere din fiecare dintre aceste state membre s ia parte la operaiunile comune respective i rspunde fr ntrziere la cererea de participare a unei autoriti de supraveghere. (3)O autoritate de supraveghere poate, n conformitate cu dreptul intern i cu acordul autoritii de supraveghere din statul membru de origine, s acorde competene, inclusiv competene de investigare, membrilor sau personalului autoritii de supraveghere din statul membru de origine implicai n operaiuni comune sau, n msura n care dreptul statului membru al autoritii de supraveghere din statul membru de primire permite acest lucru, poate autoriza membrii sau personalul autoritii de supraveghere din statul membru de origine s i exercite competenele de investigare n conformitate cu dreptul statului membru al acestei din urm autoriti. Astfel de competene de investigare pot fi exercitate doar sub coordonarea i n prezena membrilor sau personalului autoritii de supraveghere din statul membru de primire. Membrii sau personalul autoritii de supraveghere din statul membru de origine sunt supui dreptului intern sub incidena cruia intr autoritatea de supraveghere din statul membru de primire. (4)n cazul n care, n conformitate cu alineatul (1), personalul unei autoriti de supraveghere din statul membru de origine i desfoar activitatea ntr-un alt stat membru, statul membru de primire i asum responsabilitatea pentru aciunile personalului respectiv, inclusiv rspunderea pentru eventualele prejudicii cauzate de membrii personalului respectiv n cursul operaiunilor acestora, n conformitate cu dreptul statului membru pe teritoriul cruia i desfoar operaiunile. (5)Statul membru pe teritoriul cruia s-au produs prejudiciile repar aceste prejudicii n condiiile aplicabile prejudiciilor cauzate de propriul su personal. Statul membru de origine al autoritii de supraveghere al crei personal a cauzat prejudicii unei persoane de pe teritoriul unui alt stat membru ramburseaz acestui alt stat membru totalitatea sumelor pe care le-a pltit persoanelor ndreptite n numele acestora. (6)Fr a aduce atingere exercitrii drepturilor sale fa de tere pri i cu excepia alineatului (5), fiecare stat membru se abine, n cazul prevzut la alineatul (1), de la a pretinde de la un alt stat membru rambursarea despgubirilor pentru prejudiciile menionate la alineatul (4). (7)n cazul n care este planificat o operaiune comun, iar o autoritate de supraveghere nu se conformeaz, n termen de o lun, obligaiei prevzute n a doua tez a alineatului (2) din prezentul articol, celelalte autoriti de supraveghere pot adopta o msur provizorie pe teritoriul statului membru al respectivei autoriti, n conformitate cu articolul 55. n acest caz, necesitatea urgent de a aciona n temeiul articolului 66 alineatul (1) este considerat a fi ndeplinit i necesit un aviz de urgen sau o decizie obligatorie urgent din partea comitetului, n conformitate cu articolul 66 alineatul (2). Seciunea 2: Asigurarea coerenei Art. 63: Mecanismul pentru asigurarea coerenei Pentru a contribui la aplicarea coerent a prezentului regulament n ntreaga Uniune, autoritile de supraveghere coopereaz ntre ele i, dup caz, cu Comisia prin mecanismul pentru asigurarea coerenei, astfel cum se prevede n prezenta seciune. Art. 64: Avizul comitetului (1)Comitetul emite un aviz de fiecare dat cnd o autoritate de supraveghere competent intenioneaz s adopte oricare dintre msurile de mai jos. n acest scop, autoritatea de supraveghere competent comunic proiectul de decizie comitetului, atunci cnd: a)vizeaz adoptarea unei liste de operaiuni de prelucrare care fac obiectul cerinei de efectuare a unei evaluri a impactului asupra proteciei datelor, n conformitate cu articolul 35 alineatul (4); b)n conformitate cu articolul 40 alineatul (7), se refer la conformitatea cu prezentul regulament a unui proiect de cod de conduit sau a unei modificri sau extinderi a unui cod de conduit; c)vizeaz aprobarea criteriilor pentru acreditarea unui organism n conformitate cu articolul 41 alineatul (3) sau a unui organism de certificare n conformitate cu articolul 43 alineatul (3); d)vizeaz determinarea clauzelor standard n materie de protecie a datelor menionate la articolul 46 alineatul (2) litera (d) sau la articolul 28 alineatul (8); e)vizeaz autorizarea clauzelor contractuale menionate la articolul 46 alineatul (3) litera (a); sau f)vizeaz aprobarea regulilor corporatiste obligatorii n sensul articolului 47. (2)Orice autoritate de supraveghere, preedintele comitetului sau Comisia poate solicita ca orice chestiune de aplicare general sau care produce efecte n mai mult de un stat membru s fie examinat de comitet n vederea obinerii unui aviz, n special n cazul n care o autoritate de supraveghere competent nu respect obligaiile privind asistena reciproc n conformitate cu articolul 61 sau privind operaiunile comune n conformitate cu articolul 62. (3)n cazurile menionate la alineatele (1) i (2), comitetul emite un aviz cu privire la chestiunea care i este prezentat, cu condiia s nu fi emis deja un aviz cu privire la aceeai chestiune. Avizul respectiv este adoptat n termen de opt sptmni cu majoritatea simpl a membrilor comitetului. Aceast perioad poate fi prelungit cu ase sptmni, inndu-se seama de complexitatea chestiunii. n ceea ce privete proiectul de decizie menionat la alineatul (1) transmis membrilor comitetului n conformitate cu alineatul (5), un membru care nu a emis obiecii ntr-un termen rezonabil indicat de preedinte se consider a fi de acord cu proiectul de decizie. (4)Autoritile de supraveghere i Comisia comunic pe cale electronic comitetului, fr ntrzieri nejustificate, printr-un formular standard, orice informaie relevant, inclusiv, dup caz, o sintez a faptelor, proiectul de decizie, motivele care fac necesar adoptarea unei astfel de msuri, precum i opiniile altor autoriti de supraveghere vizate. (5)Preedintele comitetului informeaz pe cale electronic, fr ntrzieri nejustificate: a)membrii comitetului i Comisia cu privire la orice informaie relevant care i-a fost comunicat, utiliznd un formular standard. Secretariatul comitetului furnizeaz traduceri ale informaiilor relevante, acolo unde este necesar; i b)autoritatea de supraveghere menionat, dup caz, la alineatele (1) i (2), i Comisia cu privire la aviz i l public. (6)Autoritatea de supraveghere competent nu i adopt proiectul de decizie menionat la alineatul (1) n termenul menionat la alineatul (3). (7)Autoritatea de supraveghere menionat la alineatul (1) ine seama pe deplin de avizul comitetului i comunic pe cale electronic preedintelui comitetului, n termen de dou sptmni de la primirea avizului, dac i va pstra sau i va modifica proiectul de decizie i, dac este cazul, transmite proiectul de decizie modificat, utiliznd un formular standard. (8)n cazul n care autoritatea de supraveghere vizat informeaz preedintele comitetului, n termenul menionat la alineatul (7) din prezentul articol, c intenioneaz s nu se conformeze avizului comitetului, integral sau parial, oferind motivele relevante, se aplic articolul 65 alineatul (1). Art. 65: Soluionarea litigiilor de ctre comitet (1)Pentru a asigura aplicarea corect i coerent a prezentului regulament n cazuri individuale, comitetul adopt o decizie obligatorie n urmtoarele cazuri: a)atunci cnd, n unul dintre cazurile menionate la articolul 60 alineatul (4), o autoritate de supraveghere vizat a formulat o obiecie relevant i motivat la un proiect de decizie a autoritii principale sau autoritatea principal a respins o astfel de obiecie ca nefiind relevant sau motivat. Decizia obligatorie se refer la toate chestiunile vizate de obiecia relevant i motivat, n special la chestiunea dac prezentul regulament a fost nclcat; b)n cazul n care exist opinii divergente cu privire la care dintre autoritile de supraveghere vizate deine competena pentru sediul principal; c)n cazul n care o autoritate de supraveghere competent nu solicit avizul comitetului n cazurile menionate la articolul 64 alineatul (1) sau nu ine seama de avizul comitetului emis n temeiul articolului 64. n acest caz, orice autoritate de supraveghere vizat sau Comisia poate comunica chestiunea comitetului. (2)Decizia menionat la alineatul (1) se adopt n termen de o lun de la prezentarea chestiunii, cu o majoritate de dou treimi a membrilor comitetului. Acest termen poate fi prelungit cu o lun, inndu-se seama de complexitatea chestiunii. Decizia menionat la alineatul (1) se motiveaz i se adreseaz autoritii de supraveghere principale i tuturor autoritilor de supraveghere vizate, fiind obligatorie pentru acestea. (3)n cazul n care comitetul nu a fost n msur s adopte o decizie n termenele menionate la alineatul (2), acesta i adopt decizia n termen de dou sptmni de la data expirrii celei de a doua luni menionate la alineatul (2), cu o majoritate simpl a membrilor si. n cazul n care membrii comitetului au opinii divergente n proporii egale, decizia se adopt prin votul preedintelui. (4)Autoritile de supraveghere vizate nu adopt o decizie asupra chestiunii prezentate comitetului n conformitate cu alineatul (1) n termenele menionate la alineatele (2) i (3). (5)Preedintele comitetului notific, fr ntrzieri nejustificate, decizia menionat la alineatul (1) autoritilor de supraveghere vizate. Comitetul informeaz Comisia cu privire la acest lucru. Decizia se public pe site-ul comitetului, fr ntrziere, dup notificarea de ctre autoritatea de supraveghere a deciziei finale menionate la alineatul (6). (6)Autoritatea de supraveghere principal sau, dac este cazul, autoritatea de supraveghere la care s-a depus plngerea i adopt decizia final pe baza deciziei menionate la alineatul (1) din prezentul articol, fr ntrziere nejustificat i n termen de cel mult o lun de la notificarea de ctre comitet a deciziei sale. Autoritatea de supraveghere principal sau, dac este cazul, autoritatea de supraveghere la care s-a depus plngerea informeaz comitetul cu privire la data la care decizia sa final este notificat operatorului sau persoanei mputernicite de operator i, respectiv, persoanei vizate. Decizia final a autoritilor de supraveghere vizate se adopt n conformitate cu condiiile prevzute la articolul 60 alineatele (7), (8) i (9). Decizia final se refer la decizia menionat la alineatul (1) din prezentul articol i precizeaz faptul c decizia menionat la respectivul alineat va fi publicat pe site-ul al comitetului, n conformitate cu alineatul (5). La decizia final se anexeaz decizia menionat la alineatul (1) din prezentul articol. Art. 66: Procedura de urgen (1)n circumstane excepionale, atunci cnd o autoritate de supraveghere vizat consider c exist o necesitate urgent de a aciona n scopul protejrii drepturilor i libertilor persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea coerenei menionat la articolele 63, 64 i 65 sau de la procedura menionat la articolul 60, s adopte de ndat msuri provizorii menite s produc efecte juridice pe propriul su teritoriu, cu o perioad de valabilitate determinat, care s nu depeasc trei luni. Autoritatea de supraveghere comunic fr ntrziere aceste msuri i motivele adoptrii lor celorlalte autoriti de supraveghere vizate, comitetului i Comisiei. (2)n cazul n care o autoritate de supraveghere a adoptat o msur n temeiul alineatului (1) i consider c este necesar adoptarea de urgen a unor msuri definitive, aceasta poate solicita un aviz de urgen sau o decizie obligatorie urgent din partea comitetului, indicnd motivele pentru aceast solicitare. (3)Orice autoritate de supraveghere poate solicita un aviz de urgen sau o decizie obligatorie urgent, dup caz, din partea comitetului n cazul n care o autoritate de supraveghere competent nu a luat o msur adecvat ntr-o situaie n care exist o necesitate urgent de a aciona pentru a proteja drepturile i libertile persoanelor vizate, indicnd motivele pentru solicitarea unui astfel de aviz sau a unei astfel de decizii, inclusiv pentru necesitatea urgent de a aciona. (4)Prin derogare de la articolul 64 alineatul (3) i de la articolul 65 alineatul (2), un aviz de urgen sau o decizie obligatorie urgent menionat() la alineatele (2) i (3) de la prezentul articol este adoptat() n termen de dou sptmni cu majoritate simpl a membrilor comitetului. Art. 67: Schimb de informaii Comisia poate adopta acte de punere n aplicare cu un domeniu de aplicare general pentru a defini modalitile de realizare a schimbului electronic de informaii ntre autoritile de supraveghere, precum i ntre autoritile de supraveghere i comitet, n special formularul standard menionat la articolul 64. Actele de punere n aplicare respective sunt adoptate n conformitate cu procedura de examinare menionat la articolul 93 alineatul (2). Seciunea 3: Comitetul european pentru protecia datelor Art. 68: Comitetul european pentru protecia datelor (1)Comitetul european pentru protecia datelor ("comitetul") este instituit ca organ al Uniunii i are personalitate juridic. (2)Comitetul este reprezentat de preedintele su. (3)Comitetul este alctuit din eful unei autoriti de supraveghere din fiecare stat membru i din Autoritatea European pentru Protecia Datelor sau reprezentanii respectivi ai acestora. (4)n cazul n care ntr-un stat membru mai multe autoriti de supraveghere sunt responsabile de monitorizarea aplicrii dispoziiilor adoptate n temeiul prezentului regulament, se numete un reprezentant comun n conformitate cu dreptul intern al statului membru respectiv. (5)Comisia are dreptul de a participa la activitile i reuniunile comitetului fr a avea drept de vot. Comisia numete un reprezentant. Preedintele comitetului comunic Comisiei activitile comitetului. (6)n cazurile menionate la articolul 65, Autoritatea European pentru Protecia Datelor deine drept de vot numai cu privire la deciziile care privesc principiile i normele aplicabile n ceea ce privete instituiile, organismele, oficiile i ageniile Uniunii care corespund pe fond cu cele din prezentul regulament. Art. 69: Independen (1)Comitetul acioneaz independent n ndeplinirea sarcinilor sale sau n exercitarea competenelor sale n conformitate cu articolele 70 i 71. (2)Fr a aduce atingere solicitrilor din partea Comisiei menionate la articolul 70 alineatul (1) litera (b) i la articolul 70 alineatul (2), comitetul, n ndeplinirea sarcinilor sale sau n exercitarea competenelor sale, nu solicit i nu accept instruciuni de la nicio parte extern. Art. 70: Sarcinile comitetului (1)Comitetul asigur aplicarea coerent a prezentului regulament. n acest scop, din proprie iniiativ sau, dup caz, la solicitarea Comisiei, comitetul are, n special, urmtoarele sarcini: a)s monitorizeze i s asigure aplicarea corect a prezentului regulament, n cazurile prevzute la articolele 64 i 65, fr a aduce atingere sarcinilor autoritilor naionale de supraveghere; b)s ofere consiliere Comisiei cu privire la orice aspect legat de protecia datelor cu caracter personal n cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament; c)s ofere consiliere Comisiei cu privire la formatul i procedurile pentru schimbul de informaii ntre operatori, persoanele mputernicite de operatori i autoritile de supraveghere pentru regulile corporatiste obligatorii; d)s emit orientri, recomandri i bune practici privind procedurile de tergere a linkurilor ctre datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicaii accesibile publicului, astfel cum se menioneaz la articolul 17 alineatul (2); e)s examineze, din proprie iniiativ, la cererea unuia dintre membrii si sau la cererea Comisiei, orice chestiune referitoare la aplicarea prezentului regulament i s emit orientri, recomandri i bune practici pentru a ncuraja aplicarea coerent a prezentului regulament; f)s emit orientri, recomandri i bune practici n conformitate cu prezentul alineat litera (e) n vederea detalierii criteriilor i condiiilor pentru deciziile bazate pe crearea de profiluri menionate la articolul 22 alineatul (2); g)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat pentru stabilirea nclcrii securitii datelor cu caracter personal i stabilirii ntrzierilor nejustificate menionate la articolul 33 alineatele (1) i (2), precum i pentru circumstanele speciale n care un operator sau o persoan mputernicit de ctre operator are obligaia de a notifica nclcarea securitii datelor cu caracter personal; h)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n ceea ce privete circumstanele n care o nclcare a securitii datelor cu caracter personal este susceptibil s genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, menionate la articolul 34 alineatul (1); i)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n scopul detalierii criteriilor i cerinelor aplicabile transferurilor de date cu caracter personal bazate pe regulile corporatiste obligatorii care trebuie respectate de operatori i cele care trebuie respectate de persoanele mputernicite de operatori, precum i cu privire la cerine suplimentare necesare pentru a asigura protecia datelor cu caracter personal ale persoanelor vizate menionate la articolul 47; j)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n vederea detalierii criteriilor i cerinelor pentru transferurile de date cu caracter personal menionate la articolul 49 alineatul (1); k)s elaboreze orientri destinate autoritilor de supraveghere, referitoare la aplicarea msurilor menionate la articolul 58 alineatele (1), (2) i (3) i s stabileasc amenzile administrative n conformitate cu articolul 83; l)s revizuiasc aplicarea practic a orientrilor, recomandrilor i bunelor practici menionate la literele (e) i (f); m)s emit orientri, recomandri i bune practici n conformitate cu litera (e) din prezentul alineat n vederea stabilirii procedurilor comune de raportare de ctre persoanele fizice a nclcrilor prezentului regulament n conformitate cu articolul 54 alineatul (2); n)s ncurajeze elaborarea de coduri de conduit i stabilirea unor mecanisme de certificare, precum i a unor sigilii i mrci n domeniul proteciei datelor, n conformitate cu articolele 40 i 42; o)s efectueze acreditarea organismelor de certificare i revizuirea periodic a acreditrii n conformitate cu articolul 43 i s in un registru public al organismelor acreditate, n conformitate cu articolul 43 alineatul (6), i al operatorilor acreditai sau al persoanelor mputernicite de operator acreditate, stabilii (stabilite) n ri tere, n conformitate cu articolul 42 alineatul (7); p)s precizeze cerinele menionate la articolul 43 alineatul (3), n vederea acreditrii organismelor de certificare prevzute la articolul 42; q)s prezinte Comisiei un aviz privind cerinele de certificare menionate la articolul 43 alineatul (8); r)s prezinte Comisiei un aviz privind pictogramele menionate la articolul 12 alineatul (7); s)s prezinte Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protecie ntr-o ar ter sau o organizaie internaional, inclusiv pentru a determina dac o ar ter, un teritoriu, sau unul sau mai multe sectoare specificate din acea ar ter, sau o organizaie internaional nu mai asigur un nivel de protecie adecvat. n acest scop, Comisia pune la dispoziia comitetului toat documentaia necesar, inclusiv corespondena purtat cu autoritile publice ale rii tere, n ceea ce privete acea ar ter, acel teritoriu sau acel sector, sau cu organizaia internaional; t)s emit avize privind proiectele de decizii ale autoritilor de supraveghere n conformitate cu mecanismul pentru asigurarea coerenei menionat la articolul 64 alineatul (1) privind chestiunile prezentate n conformitate cu articolul 64 alineatul (2) i s emit decizii obligatorii n temeiul articolului 65, inclusiv n cazurile menionate la articolul 66; u)s promoveze cooperarea i schimbul eficient bilateral i multilateral de informaii i bune practici ntre autoritile de supraveghere; v)s promoveze programe comune de formare i s faciliteze schimburile de personal ntre autoritile de supraveghere, precum i, dup caz, cu autoritile de supraveghere ale rilor tere sau organizaiilor internaionale; w)s promoveze schimbul de cunotine i de documente privind legislaia i practicile n materie de protecie a datelor cu autoritile de supraveghere a proteciei datelor la nivel mondial; x)s emit avize privind codurile de conduit elaborate la nivelul Uniunii n temeiul articolului 40 alineatul (9); i y)s in un registru electronic accesibil publicului cu deciziile luate de autoritile de supraveghere i de instane cu privire la chestiuni tratate n cadrul mecanismului pentru asigurarea coerenei. (2)n cazul n care Comisia consult comitetul, aceasta poate indica un termen limit, innd seama de caracterul urgent al chestiunii. (3)Comitetul i transmite avizele, orientrile, recomandrile i bunele practici Comisiei i comitetului menionat la articolul 93 i le face publice. (4)Dac este cazul, comitetul consult prile interesate i le ofer posibilitatea de a face observaii ntr-un termen rezonabil. Fr a aduce atingere dispoziiilor articolului 76, comitetul public rezultatele procedurii de consultare. Art. 71: Rapoarte (1)Comitetul ntocmete un raport anual privind protecia persoanelor fizice cu privire la prelucrare n Uniune i, dac este relevant, n ri tere i organizaii internaionale. Raportul este pus la dispoziia publicului i transmis Parlamentului European, Consiliului i Comisiei. (2)Raportul anual include o revizuire a aplicrii practice a orientrilor, recomandrilor i bunelor practici menionate la articolul 70 alineatul (1) litera (l), precum i a deciziilor obligatorii menionate la articolul 65. Art. 72: Procedura (1)Comitetul adopt decizii prin majoritate simpl a membrilor si, cu excepia cazului cnd se prevede altfel n prezentul regulament. (2)Comitetul i adopt propriul regulament de procedur cu o majoritate de dou treimi a membrilor si i i organizeaz propriile mecanisme de funcionare. Art. 73: Preedintele (1)Comitetul alege un preedinte i doi vicepreedini din rndul membrilor si, cu majoritate simpl. (2)Mandatul preedintelui i al vicepreedinilor este de cinci ani i poate fi rennoit o singur dat. Art. 74: Sarcinile preedintelui (1)Preedintele are urmtoarele sarcini: a)s convoace reuniunile comitetului i s stabileasc ordinea de zi; b)s notifice deciziile adoptate de comitet, n conformitate cu articolul 65, autoritii de supraveghere principale i autoritilor de supraveghere vizate; c)s asigure ndeplinirea la timp a sarcinilor comitetului, n special n ceea ce privete mecanismul pentru asigurarea coerenei menionat la articolul 63. (2)Comitetul stabilete n regulamentul su de procedur repartizarea sarcinilor ntre preedinte i vicepreedini. Art. 75: Secretariatul (1)Comitetul dispune de un secretariat, care este asigurat de Autoritatea European pentru Protecia Datelor. (2)Secretariatul i ndeplinete sarcinile exclusiv pe baza instruciunilor preedintelui comitetului. (3)Personalul Autoritii Europene pentru Protecia Datelor implicat n ndeplinirea sarcinilor conferite comitetului n temeiul prezentului regulament face obiectul unor linii de raportare separate n raport cu personalul implicat n ndeplinirea sarcinilor conferite Autoritii Europene pentru Protecia Datelor. (4)Dac este oportun, comitetul i Autoritatea European pentru Protecia Datelor elaboreaz i public un memorandum de nelegere pentru punerea n aplicare a prezentului articol, care s stabileasc condiiile cooperrii i s se aplice personalului Autoritii Europene pentru Protecia Datelor implicat n ndeplinirea sarcinilor conferite comitetului n temeiul prezentului regulament. (5)Secretariatul ofer sprijin analitic, administrativ i logistic comitetului. (6)Secretariatul este responsabil n special de urmtoarele: a)gestionarea curent a activitii comitetului; b)comunicarea dintre membrii comitetului, preedintele acestuia i Comisie; c)comunicarea cu alte instituii i cu publicul; d)utilizarea mijloacelor electronice pentru comunicarea intern i extern; e)traducerea informaiilor relevante; f)pregtirea i monitorizarea aciunilor ulterioare reuniunilor comitetului; g)pregtirea, redactarea i publicarea avizelor, deciziilor privind soluionarea litigiilor dintre autoritile de supraveghere i a altor texte adoptate de comitet. Art. 76: Confidenialitate (1)Discuiile din cadrul comitetului sunt confideniale n cazul n care comitetul consider c acest lucru este necesar n conformitate cu regulamentul su de procedur. (2)Accesul la documentele prezentate membrilor comitetului, experilor i reprezentanilor prilor tere este reglementat prin Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului (1). (1)Regulamentul (CE) nr. 1049/2001 al Parlamentului European i al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului i ale Comisiei (JO L 145, 31.5.2001, p. 43). CAPITOLUL VIII: Ci de atac, rspundere i sanciuni Art. 77: Dreptul de a depune o plngere la o autoritate de supraveghere (1)Fr a aduce atingere oricror alte ci de atac administrative sau judiciare, orice persoan vizat are dreptul de a depune o plngere la o autoritate de supraveghere, n special n statul membru n care i are reedina obinuit, n care se afl locul su de munc sau n care a avut loc presupusa nclcare, n cazul n care consider c prelucrarea datelor cu caracter personal care o vizeaz ncalc prezentul regulament. (2)Autoritatea de supraveghere la care s-a depus plngerea informeaz reclamantul cu privire la evoluia i rezultatul plngerii, inclusiv posibilitatea de a exercita o cale de atac judiciar n temeiul articolului 78. Art. 78: Dreptul la o cale de atac judiciar eficient mpotriva unei autoriti de supraveghere (1)Fr a aduce atingere oricror alte ci de atac administrative sau nejudiciare, fiecare persoan fizic sau juridic are dreptul de a exercita o cale de atac judiciar eficient mpotriva unei decizii obligatorii din punct de vedere juridic a unei autoriti de supraveghere care o vizeaz. (2)Fr a aduce atingere oricror alte ci de atac administrative sau nejudiciare, fiecare persoan vizat are dreptul de a exercita o cale de atac judiciar eficient n cazul n care autoritatea de supraveghere care este competent n temeiul articolelor 55 i 56 nu trateaz o plngere sau nu informeaz persoana vizat n termen de trei luni cu privire la progresele sau la soluionarea plngerii depuse n temeiul articolului 77. (3)Aciunile introduse mpotriva unei autoriti de supraveghere sunt aduse n faa instanelor din statul membru n care este stabilit autoritatea de supraveghere. (4)n cazul n care aciunile sunt introduse mpotriva unei decizii a unei autoriti de supraveghere care a fost precedat de un aviz sau o decizie a comitetului n cadrul mecanismului pentru asigurarea coerenei, autoritatea de supraveghere transmite curii avizul respectiv sau decizia respectiv. Art. 79: Dreptul la o cale de atac judiciar eficient mpotriva unui operator sau unei persoane mputernicite de operator (1)Fr a aduce atingere vreunei ci de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plngere la o autoritate de supraveghere n temeiul articolului 77, fiecare persoan vizat are dreptul de a exercita o cale de atac judiciar eficient n cazul n care consider c drepturile de care beneficiaz n temeiul prezentului regulament au fost nclcate ca urmare a prelucrrii datelor sale cu caracter personal fr a se respecta prezentul regulament. (2)Aciunile introduse mpotriva unui operator sau unei persoane mputernicite de operator sunt prezentate n faa instanelor din statul membru unde operatorul sau persoana mputernicit de operator i are un sediu. Alternativ, o astfel de aciune poate fi prezentat n faa instanelor din statul membru n care persoana vizat i are reedina obinuit, cu excepia cazului n care operatorul sau persoana mputernicit de operator este o autoritate public a unui stat membru ce acioneaz n exercitarea competenelor sale publice. Art. 80: Reprezentarea persoanelor vizate (1)Persoana vizat are dreptul de a mandata un organism, o organizaie sau o asociaie fr scop lucrativ, care au fost constituite n mod corespunztor n conformitate cu dreptul intern, ale cror obiective statutare sunt de interes public, care sunt active n domeniul proteciei drepturilor i libertilor persoanelor vizate n ceea ce privete protecia datelor lor cu caracter personal, s depun plngerea n numele su, s exercite n numele su drepturile menionate la articolele 77, 78 i 79, precum i s exercite dreptul de a primi despgubiri menionat la articolul 82 n numele persoanei vizate, dac acest lucru este prevzut n dreptul intern. (2)Statele membre pot prevedea c orice organism, organizaie sau asociaie menionat la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune n statul membru respectiv o plngere la autoritatea de supraveghere care este competent n temeiul articolului 77 i de a exercita drepturile menionate la articolele 78 i 79, n cazul n care consider c drepturile unei persoane vizate n temeiul prezentului regulament au fost nclcate ca urmare a prelucrrii. Art. 81: Suspendarea procedurilor (1)n cazul n care o instan competent a unui stat membru are informaii c pe rolul unei instane dintr-un alt stat membru se afl o aciune avnd acelai obiect n ceea ce privete activitile de prelucrare ale aceluiai operator sau ale aceleai persoane mputernicite de operator, instana respectiv contacteaz instana din cellalt stat membru pentru a confirma existena unor astfel de aciuni. (2)Atunci cnd pe rolul unei instane dintr-un alt stat membru se afl o aciune avnd acelai obiect n ceea ce privete activitile de prelucrare ale aceluiai operator sau ale aceleai persoane mputernicite de operator, orice alt instan competent dect instana sesizat iniial poate suspenda aciunea aflat la ea pe rol. (3)n cazul n care o astfel de aciune se judec n prim instan, orice instan sesizat ulterior poate, de asemenea, la cererea uneia dintre pri, s-i decline competena, cu condiia ca respectiva aciune s fie de competena primei instane sesizate i ca dreptul aplicabil acesteia s permit conexarea aciunilor. Art. 82: Dreptul la despgubiri i rspunderea (1)Orice persoan care a suferit un prejudiciu materiale sau moral ca urmare a unei nclcri a prezentului regulament are dreptul s obin despgubiri de la operator sau de la persoana mputernicit de operator pentru prejudiciul suferit. (2)Orice operator implicat n operaiunile de prelucrare este rspunztor pentru prejudiciul cauzat de operaiunile sale de prelucrare care ncalc prezentul regulament. Persoana mputernicit de operator este rspunztoare pentru prejudiciul cauzat de prelucrare numai n cazul n care nu a respectat obligaiile din prezentul regulament care revin n mod specific persoanelor mputernicite de operator sau a acionat n afara sau n contradicie cu instruciunile legale ale operatorului. (3)Operatorul sau persoana mputernicit de operator este exonerat() de rspundere n temeiul alineatului (2) dac dovedete c nu este rspunztor (rspunztoare) n niciun fel pentru evenimentul care a cauzat prejudiciul. (4)n cazul n care mai muli operatori sau mai multe persoane mputernicite de operator, sau un operator i o persoan mputernicit de operator sunt implicai (implicate) n aceeai operaiune de prelucrare i rspund, n temeiul alineatelor (2) i (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoan mputernicit de operator este rspunztor (rspunztoare) pentru ntregul prejudiciu pentru a asigura despgubirea efectiv a persoanei vizate. (5)n cazul n care un operator sau o persoan mputernicit de operator a pltit, n conformitate cu alineatul (4), n totalitate despgubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoan mputernicit de operator are dreptul s solicite de la ceilali operatori sau celelalte persoane mputernicite de operator implicate n aceeai operaiune de prelucrare recuperarea acelei pri din despgubiri care corespunde prii lor de rspundere pentru prejudiciu, n conformitate cu condiiile stabilite la alineatul (2). (6)Aciunile n exercitarea dreptului de recuperare a despgubirilor pltite se introduc la instanele competente n temeiul dreptului statului membru menionat la articolul 79 alineatul (2). Art. 83: Condiii generale pentru impunerea amenzilor administrative (1)Fiecare autoritate de supraveghere asigur faptul c impunerea unor amenzi administrative n conformitate cu prezentul articol pentru nclcrile prezentului regulament menionate la alineatele (4), (5) i, (6) este, n fiecare caz, eficace, proporional i disuasiv. (2)n funcie de circumstanele fiecrui caz n parte, amenzile administrative sunt impuse n completarea sau n locul msurilor menionate la articolul 58 alineatul (2) literele (a)-(h) i (j). Atunci cnd se ia decizia dac s se impun o amend administrativ i decizia cu privire la valoarea amenzii administrative n fiecare caz n parte, se acord atenia cuvenit urmtoarelor aspecte: a)natura, gravitatea i durata nclcrii, inndu-se seama de natura, domeniul de aplicare sau scopul prelucrrii n cauz, precum i de numrul persoanelor vizate afectate i de nivelul prejudiciilor suferite de acestea; b)dac nclcarea a fost comis intenionat sau din neglijen; c)orice aciuni ntreprinse de operator sau de persoana mputernicit de operator pentru a reduce prejudiciul suferit de persoana vizat; d)gradul de responsabilitate al operatorului sau al persoanei mputernicite de operator inndu-se seama de msurile tehnice i organizatorice implementate de acetia n temeiul articolelor 25 i 32; e)eventualele nclcri anterioare relevante comise de operator sau de persoana mputernicit de operator; f)gradul de cooperare cu autoritatea de supraveghere pentru a remedia nclcarea i a atenua posibilele efecte negative ale nclcrii; g)categoriile de date cu caracter personal afectate de nclcare; h)modul n care nclcarea a fost adus la cunotina autoritii de supraveghere, n special dac i n ce msur operatorul sau persoana mputernicit de operator a notificat nclcarea; i)n cazul n care msurile menionate la articolul 58 alineatul (2) au fost dispuse anterior mpotriva operatorului sau persoanei mputernicite de operator n cauz cu privire la acelai obiect, respectarea respectivelor msuri; j)aderarea la coduri de conduit aprobate, n conformitate cu articolul 40, sau la mecanisme de certificare aprobate, n conformitate cu articolul 42; i k)orice alt factor agravant sau atenuant aplicabil circumstanelor cazului, cum ar fi beneficiile financiare dobndite sau pierderile evitate n mod direct sau indirect de pe urma nclcrii. (3)n cazul n care un operator sau o persoan mputernicit de operator ncalc n mod intenionat sau din neglijen, pentru aceeai operaiune de prelucrare sau pentru operaiuni de prelucrare conexe, mai multe dispoziii din prezentul regulament, cuantumul total al amenzii administrative nu poate depi suma prevzut pentru cea mai grav nclcare. (4)Pentru nclcrile dispoziiilor urmtoare, n conformitate cu alineatul (2), se aplic amenzi administrative de pn la 10 000 000 EUR sau, n cazul unei ntreprinderi, de pn la 2 % din cifra de afaceri mondial total anual corespunztoare exerciiului financiar anterior, lundu- se n calcul cea mai mare valoare: a)obligaiile operatorului i ale persoanei mputernicite de operator n conformitate cu articolele 8, 11, 25-39, 42 i 43; b)obligaiile organismului de certificare n conformitate cu articolele 42 i 43; c)obligaiile organismului de monitorizare n conformitate cu articolul 41 alineatul (4). (5)Pentru nclcrile dispoziiilor urmtoare, n conformitate cu alineatul (2), se aplic amenzi administrative de pn la 20 000 000 EUR sau, n cazul unei ntreprinderi, de pn la 4 % din cifra de afaceri mondial total anual corespunztoare exerciiului financiar anterior, lundu- se n calcul cea mai mare valoare: a)principiile de baz pentru prelucrare, inclusiv condiiile privind consimmntul, n conformitate cu articolele 5, 6, 7 i 9; b)drepturile persoanelor vizate n conformitate cu articolele 12-22; c)transferurile de date cu caracter personal ctre un destinatar dintr-o ar ter sau o organizaie internaional, n conformitate cu articolele 44-49; d)orice obligaii n temeiul legislaiei naionale adoptate n temeiul capitolului IX; e)nerespectarea unui ordin sau a unei limitri temporare sau definitive asupra prelucrrii, sau a suspendrii fluxurilor de date, emis de ctre autoritatea de supraveghere n temeiul articolului 58 alineatul (2), sau neacordarea accesului, nclcnd articolul 58 alineatul (1). (6)Pentru nclcarea unui ordin emis de autoritatea de supraveghere n conformitate cu articolul 58 alineatul (2) se aplic, n conformitate cu alineatul (2) din prezentul articol, amenzi administrative de pn la 20 000 000 EUR sau, n cazul unei ntreprinderi, de pn la 4 % din cifra de afaceri mondial total anual corespunztoare exerciiului financiar anterior, lundu-se n calcul cea mai mare valoare. (7)Fr a aduce atingere competenelor corective ale autoritilor de supraveghere menionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care s se stabileasc dac i n ce msur pot fi impuse amenzi administrative autoritilor publice i organismelor publice stabilite n statul membru respectiv. (8)Exercitarea de ctre autoritatea de supraveghere a competenelor sale n temeiul prezentului articol are loc cu condiia existenei unor garanii procedurale adecvate n conformitate cu dreptul Uniunii i cu dreptul intern, inclusiv ci de atac judiciare eficiente i dreptul la un proces echitabil. (9)n cazul n care sistemul juridic al statului membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel nct amenda s fie iniiat de autoritatea de supraveghere competent i impus de instanele naionale competente, garantndu-se, n acelai timp, faptul c aceste ci de atac sunt eficiente i au un efect echivalent cu cel al amenzilor administrative impuse de autoritile de supraveghere. n orice caz, amenzile impuse trebuie s fie eficace, proporionale i disuasive. Respectivele state membre informeaz Comisia cu privire la dispoziiile de drept intern pe care le adopt n temeiul prezentului alineat pn la 25 mai 2018, precum i, fr ntrziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioar a acestora. Art. 84: Sanciuni (1)Statele membre stabilesc normele privind alte sanciunile aplicabile n caz de nclcare a prezentului regulament, n special pentru nclcri care nu fac obiectul unor amenzi administrative n temeiul articolului 83, i iau toate msurile necesare pentru a garanta faptul c acestea sunt puse n aplicare. Sanciunile respective sunt eficace, proporionale i disuasive. (2)Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le adopt n temeiul alineatului (1) pn la 25 mai 2018, precum i, fr ntrziere, cu privire la orice modificare ulterioar a acestora. CAPITOLUL IX: Dispoziii referitoare la situaii specifice de prelucrare Art. 85: Prelucrarea i libertatea de exprimare i de informare (1)Prin intermediul dreptului intern, statele membre asigur un echilibru ntre dreptul la protecia datelor cu caracter personal n temeiul prezentului regulament i dreptul la libertatea de exprimare i de informare, inclusiv prelucrarea n scopuri jurnalistice sau n scopul exprimrii academice, artistice sau literare. (2)Pentru prelucrarea efectuat n scopuri jurnalistice sau n scopul exprimrii academice, artistice sau literare, statele membre prevd exonerri sau derogri de la dispoziiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul i persoana mputernicit de operator), ale capitolului V (transferul datelor cu caracter personal ctre ri tere sau organizaii internaionale), ale capitolului VI (autoriti de supraveghere independente), ale capitolului VII (cooperare i coeren) i ale capitolului IX (situaii specifice de prelucrare a datelor) n cazul n care acestea sunt necesare pentru a asigura un echilibru ntre dreptul la protecia datelor cu caracter personal i libertatea de exprimare i de informare. (3)Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le-a adoptat n temeiul alineatului (2) precum i, fr ntrziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioar a acestora. Art. 86: Prelucrarea i accesul public la documente oficiale Datele cu caracter personal din documentele oficiale deinute de o autoritate public sau de un organism public sau privat pentru ndeplinirea unei sarcini care servete interesului public pot fi divulgate de autoritatea sau organismul respectiv n conformitate cu dreptul Uniunii sau cu dreptul intern sub incidena cruia intr autoritatea sau organismul, pentru a stabili un echilibru ntre accesul public la documente oficiale i dreptul la protecia datelor cu caracter personal n temeiul prezentului regulament. Art. 87: Prelucrarea unui numr de identificare naional Statele membre pot detalia n continuare condiiile specifice de prelucrare a unui numr de identificare naional sau a oricrui alt identificator cu aplicabilitate general. n acest caz, numrul de identificare naional sau orice alt identificator cu aplicabilitate general este folosit numai n temeiul unor garanii corespunztoare pentru drepturile i libertile persoanei vizate n temeiul prezentului regulament. Art. 88: Prelucrarea n contextul ocuprii unui loc de munc (1)Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protecia drepturilor i a libertilor cu privire la prelucrarea datelor cu caracter personal ale angajailor n contextul ocuprii unui loc de munc, n special n scopul recrutrii, al ndeplinirii clauzelor contractului de munc, inclusiv descrcarea de obligaiile stabilite prin lege sau prin acorduri colective, al gestionrii, planificrii i organizrii muncii, al egalitii i diversitii la locul de munc, al asigurrii sntii i securitii la locul de munc, al protejrii proprietii angajatorului sau a clientului, precum i n scopul exercitrii i beneficierii, n mod individual sau colectiv, de drepturile i beneficiile legate de ocuparea unui loc de munc, precum i pentru ncetarea raporturilor de munc. (2)Aceste norme includ msuri corespunztoare i specifice pentru garantarea demnitii umane, a intereselor legitime i a drepturilor fundamentale ale persoanelor vizate, n special n ceea ce privete transparena prelucrrii, transferul de date cu caracter personal n cadrul unui grup de ntreprinderi sau al unui grup de ntreprinderi implicate ntr-o activitate economic comun i sistemele de monitorizare la locul de munc. (3)Fiecare stat membru informeaz Comisia cu privire la dispoziiile de drept intern pe care le adopt n temeiul alineatului (1) pn la 25 mai 2018, precum i, fr ntrziere, cu privire la orice modificare ulterioar a acestora. Art. 89: Garanii i derogri privind prelucrarea n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice (1)Prelucrarea n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice are loc cu condiia existenei unor garanii corespunztoare, n conformitate cu prezentul regulament, pentru drepturile i libertile persoanelor vizate. Respectivele garanii asigur faptul c au fost instituite msuri tehnice i organizatorice necesare pentru a se asigura, n special, respectarea principiului reducerii la minimum a datelor. Respectivele msuri pot include pseudonimizarea, cu condiia ca respectivele scopuri s fie ndeplinite n acest mod. Atunci cnd respectivele scopuri pot fi ndeplinite printr-o prelucrare ulterioar care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt ndeplinite n acest mod. (2)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de cercetare tiinific sau istoric ori n scopuri statistice, dreptul Uniunii sau dreptul intern poate s prevad derogri de la drepturile menionate la articolele 15, 16, 18 i 21, sub rezerva condiiilor i a garaniilor prevzute la alineatul (1) din prezentul articol, n msura n care drepturile respective sunt de natur s fac imposibil sau s afecteze n mod grav realizarea scopurilor specifice, iar derogrile respective sunt necesare pentru ndeplinirea acestor scopuri. (3)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de arhivare n interes public, dreptul Uniunii sau dreptul intern poate s prevad derogri de la drepturile menionate la articolele 15, 16, 18, 19, 20 i 21, sub rezerva condiiilor i a garaniilor prevzute la alineatul (1) din prezentul articol, n msura n care drepturile respective sunt de natur s fac imposibil sau s afecteze n mod grav realizarea scopurilor specifice, iar derogrile respective sunt necesare pentru ndeplinirea acestor scopuri. (4)n cazul n care prelucrarea menionat la alineatele (2) i (3) servete n acelai timp i altui scop, derogrile se aplic numai prelucrrii n scopurile menionate la alineatele respective. Art. 90: Obligaii privind pstrarea confidenialitii (1)Statele membre pot adopta norme specifice pentru a stabili competenele autoritilor de supraveghere, prevzute la articolul 58 alineatul (1) literele (e) i (f), n legtur cu operatori sau cu persoane mputernicite de operatori care, n temeiul dreptului Uniunii sau al dreptului intern sau n temeiul normelor stabilite de organismele naionale competente, au obligaia de a pstra secretul profesional sau alte obligaii echivalente de confidenialitate, n cazul n care acest lucru este necesar i proporional pentru a stabili un echilibru ntre dreptul la protecia datelor cu caracter personal i obligaia pstrrii confidenialitii. Respectivele norme se aplic doar n ceea ce privete datele cu caracter personal pe care operatorul sau persoana mputernicit de operator le-a primit n urma sau n contextul unei activiti care intr sub incidena acestei obligaii de pstrare a confidenialitii. (2)Fiecare stat membru notific Comisiei normele adoptate n temeiul alineatului (1) pn la 25 mai 2018, precum i, fr ntrziere, orice modificare ulterioar a acestora. Art. 91: Normele existente n domeniul proteciei datelor pentru biserici i asociaii religioase (1)n cazul n care, ntr-un stat membru, bisericile i asociaiile sau comunitile religioase aplic, la data intrrii n vigoare a prezentului regulament, un set cuprinztor de norme de protecie a persoanelor fizice cu privire la prelucrare, aceste norme pot continua s se aplice, cu condiia s fie aliniate la prezentul regulament. (2)Bisericile i asociaiile religioase care aplic un set cuprinztor de norme n conformitate cu alineatul (1) din prezentul articol sunt supuse supravegherii unei autoriti de supraveghere independente care poate fi specific, cu condiia s ndeplineasc condiiile stabilite n capitolul VI din prezentul regulament. CAPITOLUL X: Acte delegate i acte de punere n aplicare Art. 92: Exercitarea delegrii (1)Competena de a adopta acte delegate este conferit Comisiei n condiiile prevzute de prezentul articol. (2)Delegarea de competene prevzut la articolul 12 alineatul (8) i la articolul 43 alineatul (8) se confer Comisiei pe o perioad nedeterminat de la 24 mai 2016. (3)Delegarea de competene menionat la articolul 12 alineatul (8) i la articolul 43 alineatul (8) poate fi revocat n orice moment de Parlamentul European sau de Consiliu. O decizie de revocare pune capt delegrii de competene specificat n decizia respectiv. Decizia produce efecte din ziua urmtoare datei publicrii acesteia n Jurnalul Oficial al Uniunii Europene sau de la o dat ulterioar menionat n decizie. Decizia nu aduce atingere validitii actelor delegate care sunt deja n vigoare. (4)De ndat ce adopt un act delegat, Comisia l notific simultan Parlamentului European i Consiliului. (5)Un act delegat adoptat n conformitate cu articolul 12 alineatul (8) i cu articolul 43 alineatul (8) intr n vigoare numai n cazul n care nici Parlamentul European i nici Consiliul nu au formulat obieciuni n termen de trei luni de la notificarea acestuia Parlamentului European i Consiliului, sau n cazul n care, nainte de expirarea termenului respectiv, Parlamentul European i Consiliul au informat Comisia c nu vor formula obieciuni. Respectivul termen se prelungete cu trei luni la iniiativa Parlamentului European sau a Consiliului. Art. 93: Procedura comitetului (1)Comisia este asistat de un comitet. Comitetul respectiv este un comitet n nelesul Regulamentului (UE) nr. 182/2011. (2)n cazul n care se face trimitere la prezentul alineat, se aplic articolul 5 din Regulamentul (UE) nr. 182/2011. (3)n cazul n care se face trimitere la prezentul alineat, se aplic articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din respectivul regulament. CAPITOLUL XI: Dispoziii finale Art. 94: Abrogarea Directivei 95/46/CE (1)Decizia 95/46/CE se abrog cu efect de la 25 mai 2018. (2)Trimiterile la directiva abrogat se interpreteaz ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpreteaz ca trimiteri la Comitetul european pentru protecia datelor instituit prin prezentul regulament. Art. 95: Relaia cu Directiva 2002/58/CE Prezentul regulament nu impune obligaii suplimentare pentru persoanele fizice sau juridice n ceea ce privete prelucrarea n legtur cu furnizarea de servicii de comunicaii electronice destinate publicului n reelele de comunicaii publice din Uniune, cu privire la aspectele pentru care acestora le revin obligaii specifice cu acelai obiectiv prevzut n Directiva 2002/58/CE. Art. 96: Relaia cu acordurile ncheiate anterior Acordurile internaionale care implic transferul de date cu caracter personal ctre ri tere sau organizaii internaionale, care au fost ncheiate de statele membre nainte de 24 mai 2016 i care sunt n conformitate cu dreptul Uniunii aplicabil nainte de data respectiv, rmn n vigoare pn cnd vor fi modificate, nlocuite sau revocate. Art. 97: Rapoartele Comisiei (1)Pn la 25 mai 2020 i, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European i Consiliului un raport privind evaluarea i revizuirea prezentului regulament. Rapoartele sunt fcute publice. (2)n contextul evalurilor i revizuirilor menionate la alineatul (1), Comisia examineaz n special aplicarea i funcionarea: a)capitolului V privind transferul datelor cu caracter personal ctre ri tere sau organizaii internaionale, avnd n vedere n special deciziile adoptate n temeiul articolului 45 alineatul (3) din prezentul regulament i deciziile adoptate n temeiul articolului 25 alineatul (6) din Directiva 95/46/CE; b)capitolul VII privind cooperarea i coerena. (3)n scopul alineatului (1), Comisia poate solicita informaii de la statele membre i de la autoritile de supraveghere. (4)La efectuarea evalurilor i a revizuirilor menionate la alineatele (1) i (2), Comisia ia n considerare poziiile i constatrile Parlamentului European, ale Consiliului, precum i ale altor organisme sau surse relevante. (5)Comisia transmite, dac este necesar, propuneri corespunztoare de modificare a prezentului regulament, n special innd seama de evoluiile din domeniul tehnologiei informaiei i avnd n vedere progresele societii informaionale. Art. 98: Revizuirea altor acte juridice ale Uniunii n materie de protecie a datelor Dac este cazul, Comisia prezint propuneri legislative n vederea modificrii altor acte juridice ale Uniunii privind protecia datelor cu caracter personal, n vederea asigurrii unei protecii uniforme i consecvente a persoanelor fizice n ceea ce privete prelucrarea. Acest lucru privete n special normele referitoare la protecia persoanelor fizice n ceea ce privete prelucrarea de ctre instituiile, organismele, oficiile i ageniile Uniunii, precum i normele referitoare la libera circulaie a acestor date. Art. 99: Intrare n vigoare i aplicare (1)Prezentul regulament intr n vigoare n a douzecea zi de la data publicrii n Jurnalul Oficial al Uniunii Europene. (2)Prezentul regulament se aplic de la 25 mai 2018. Prezentul regulament este obligatoriu n toate elementele sale i se aplic direct n toate statele membre. -****- Adoptat la Bruxelles, 27 aprilie 2016.
Pentru Parlamentul European
Preedintele M. SCHULZ Pentru Consiliu Preedintele J.A. HENNIS-PLASSCHAERT Publicat n Jurnalul Oficial cu numrul 119L din data de 4 mai 2016