REGULAMENT nr. 679 din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor) Text cu relevant’ pentru SEE) PARLAMENTUL EUROPEAN SI CONSILIUL UNIUNII EUROPENE, avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16, avand in vedere propunerea Comisiei Europene, dup’ transmiterea proiectului de act legislatv cétre parlamentele nationale, avand in vedere avizul Comitetului Economic si Social European (*), (30 C 229, 31.7.2012, p. 90. avand in vedere avizul Comitetului Regiunilor (2), 30 C 391, 18.12.2012, p. 127. hot&rand in conformitate cu procedura legislativa ordinar& (?), @Pozitia Parlamentului European din 12 martie 2014 (nepublicat’ inc& in Jurnalul Oficial) si Pozttia in prima lecturé a Consilului din 8 aprlie 2016 (nepublicaté inc’ in Jumalul Oficial). Pozttia Parlamentului European din 14 aprilie 2016. ‘intrucat: (1)Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene ("carta") si articolul 16 alineatul (1) din Tratatul privind functionarea Uniunii Europene (TFUE) prevad dreptul oricdrei persoane la protectia datelor cu caracter personal care o privesc. (2PPrincipiile si normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetdtenia sau de locul de resedint al persoanelor fizce, s8 respecte drepturile si libertatile fundamentale ale acestora, in special dreptul la protectia datelor cu caracter personal. Prezentul requlament urmareste $8 contribuie la realizarea unui spatiu de libertate, securitate si justitie si a unei_ uniuni economice, la progresul economic si social, la consolidarea si convergenta economillor in cadrul pietei interne si la bunastarea persoanelor fizice. (3)Directiva 95/46/CE a Parlamentului European si a Consiliului (") vizeazé armonizarea nivelului de protectie a drepturilor si libert3tilor fundamentale ale persoanelor fizice in ceea ce priveste activitatile de prelucrare si asigurarea liberei circulatii a datelor cu caracter personal ‘intre statele membre. C)Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in cea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (JO L 281, 23.11.1995, p. 31). (4Prelucratea datelor cu caracter personal ar trebui s& fie in serviciul cetdtenilor. Dreptul la rotectia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat in considerare in raport cu functia pe care o indeplineste in societate si echlibrat cu alte drepturi fundamentale, in conformitate cu principiul proportionalitati. Prezentul requlament respect’ toate drepturile fundamentale si libert&tile si principle recunoscute in carta astfel cum sunt consacrate in tratate, in special respectarea vietii private si de familie, a resedintei si a comunicatillor, a protectiei dateor cu caracter personal, a lbert&tii de andire, de constint’ si de religie, a libert3ti de exprimare si de informare, a libertSti de a desfésura 0 activtate comercialé, dreptul la o cale de atac eficientd sila un proces echitabil, precum si diversitatea cultural, religioas8 si lingvistic’ (S)Integrarea economic’ si social care rezult8 din functionarea pietel interne a condus la 0 crestere substantialé a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal intre actori publci si privati, inclusiv persoane fice, asociatii si ‘ntreprinderi, s-a intensificat in intreaga Uniune. Conform dreptului Uniunii, autoritatile nationale din statele membre sunt chemate S& coopereze si s& facd schimb' de date cu caracter personal pentru a putea s& isi indeplineascé atributile sau s& execute sarcini in ‘numele unei autoritéti dintr-un alt stat membru: (6)Evolutile tehnologice rapide si globalizarea au generat noi provoc&ri pentru protectia datelor cu caracter personal. Amploarea colect8rii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atat societtilor private, ct siautoritatilor publice s& utilizeze date cu caracter personal la un nivel far precedent in cadrul activitatilor or. Din ce in ce mai mult, persoanele fizice fac publice la nivel mondial informati cu caracter personal. Tehnologia a transformat deopotriva economia si viata socialé si ar trebui s8 faciliteze in continuare libera circulatie a datelor cu caracter personal in cadrul Uniunii si transferul cétre tari terte si organizatii internationale, asigurand, totodat, un nivel ridicat de protectie a datelor cu caracter personal (7)Aceste evoluti impun un cadru solid si mai coerent in materie de protectie a datelor in Uniune, insotit de o aplicare riguroasé a normelor, lund in considerare importanta cresril unui climat de incredere care va permite economiei digitale s8 se dezvolte pe piata intern’ Persoanele fizice ar trebui s8 aib8 control asupra proprillor date cu caracter personal, iar securitatea juridic& si practic’ pentru persoane fizice, operatori economici si autoritéti publice ar trebui s8 fie consolidat’ (8)In cazul in care prezentul requlament prevede specificdri sau restrictiondri ale normelor sale de citre dreptul intern, statele membre pot, in m&sura in care acest lucru este necesar pentru coerenté si pentru a asigura intelegerea dispozitilor nationale de cétre persoanele c&rora |i se aplic’ acestea, s8 incorporeze elemente din prezentul regulament in dreptul lor inter. (9)Obiectivele si principle Directivei 95/46/CE rm&n solide, dar aceasta nu a prevenit fragmentarea modului in care protectia datelor este pus’ in apicare in Uniune, insecuritatea juridic’ sau perceptia public’ larg réspandité conform creia existé riscuri semnificative pentru protectia persoanelor fizice, in special in leg’tur’ cu activitatea online, Diferentele dintre nivelurile de protectie a drepturilor si libertatilor persoanelor fizice, in special a dreptului la protectia datelor cu caracter personal, in ceea ce priveste prelucrarea datelor cu caracter personal din statele memire pot impiedica libera circuaatie a datelor cu caracter personal in intreaga Uniune. Aceste diferente pot constitui, prin urmare, un obstacol in desfasurarea de activitéti economice la nivelul Uniunii, pot denatura concurenta si pot ‘impiedica autoritatile s& indeplineascd responsabilitatile care le revin in temeiul dreptului Uniunii, Aceast& diferent’ ‘intre nivelurile de protectie este cauzaté de existenta unor deosebiri in ceea ce priveste transpunerea si aplicarea Directivei 95/46/CE. (10)Pentru a se asigura un nivel consecvent si ridicat de protectie a persoanelor fizice si Pentru a se indep3rta obstacolele din calea circulatiei datelor cu caracter personal in cadrul Uniunii, nivelul protectiei drepturilor si libertatilor persoanelor fizice in cea ce priveste prelucrarea unor astfel de date ar trebui s& fie echivalent in toate statele membre. Aplicarea Consecvent’ si omogen’ a normelor in materie de protectie a drepturilor si libert&tilor fundamentale ale persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal ar trebui sé fie asiqurata in intreaga Uniune. in ceea ce priveste prelucrarea datelor cu caracter personal in vederea respectarii unei obligatii leaae, a indeplinirii unei sarcini care serveste unui interes public sau care rezultd din exercitarea autorit&ti publice cu care este investit operatorul, statelor membre ar trebui s& li se permit s& mentin’ sau s& introducd dispozitii de drept intern care s& clarifice intr-o mai mare mésuré aplicarea normelor prezentului regulament. In coroborare cu legisiatia generalé si orizontalé privind protectia datelor, prin care este pusd in aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice in domenii care necesit8 dispozitii mai precise. Prezentul requlament ofer’, de asemenea, statelor membre 0 mari de manevr’ in specficarea normelor sale, inclusiv in ceea ce priveste prelucrarea categorilor speciale de date cu caracter personal ("date sensibile"). in acest sens, prezentul regulament nu exclude dreptul statelor membre care stabileste circumstantele aferente unor situatii de preluaare specifice, inclusiv stabilirea cu o mai mare precizie a conditilor in care prelucrarea datelor cu caracter personal este legals. (11)Protectia efectiv’ a datelor cu caracter personal in intreaga Uniune necesit’ nu numai consolidarea si stabilirea in detaliu a drepturlor persoanelor vizate si a obliaatillor celor care prelucreaza si decid prelucrarea datelor cu caracter personal, ci si competente echivalente pentru monitorizarea si asiqurarea conformit&tii cu normele de protectie a datelor cu caracter personal si sanctiuni echivalente pentru infractiuni in statele membre. (12)Articolul 16 alineatul (2) din TEUE mandateazd Parlamentul European si Consiliul s& stabileasc& normele privind protectia persoanelor fizice refertor la prelucrarea datelor cu caracter personal, precum si normele privind libera circulatie a acestor date.(13)in vederea asiqurarii unui nivel uniform de protectie pentru persoanele fizice in intreaga Uniune si a preintmpin&rii discrepantelor care impiedic’ libera circulatie a datelor in cadrul Pietei interne, este necesar un regulament in scopul de a furniza securitate juridicS si transparent pentru operatorii economici, inclusiv microintreprinderi si intreprinderi mici si milloci, precum si de a oferi persoanelor fizice in toate statele membre acelasi nivel de drepturi, obligatii si responsabilt&ti opozabile din punct de vedere juridic pentru operatori si persoanele imputernicite de acestia, pentru a se asigura o montorizare coerent& a prelucréri datelor cu caracter personal, sanctiuni echivalente in toate statele membre, precum si cooperarea eficace a autoritatilor de supraveghere ale diferitelor state membre. Pentru buna functionare a pietei interne este necesar ca libera circulatie a datelor cu caracter personal in cadrul Uniunii 8 nu fie restrictionaté sau interzisé din motive legate de protectia persoanelor fizice in cea ce priveste prelugarea datelor cu caracter personal. Pentru a se lua in considerare situatia specificd a microintreprinderilor sia inteprinderilor mici si mijlocii, prezentul regulament include o derogare pentru organizatille cu mai putin de 250 de angajati in ceea ce priveste pistrarea evidentelor. in plus, institutiie si organele Uniunii si statele membre si autoritatle lor de supraveghere sunt incurajate s8 ia in considerare necesitatile specifice ale microintreprinderilor si ale intreprinderilor mid si mijloci in aplicarea prezentului requlament. Notiunea de microintreprinderi si de intreprinderi mici si mijloci ar trebui s& se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (*). C)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microintreprinderilor si a intreprinderilor mici si mijlocii [(C(2003) 1422] (JO L 124, 20.5.2003, p. 36). (14¥rotectia_conferité de prezentul regulament ar trebui s& vizeze persoanele fizice, indiferent de cetdtenia sau de locul de resedinté al acestora, in ceea ce priveste prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplicS. prelucrari datelor cu caracter personal care privesc persoane juridice si, in special, intreprinderi cu ersonalitate juridic8, inclusiv numele si tipul de persoand juridicd si datele de contact ale persoanei juridice. (45)Pentru a preveni aparitia unui risc major de eludare, protectia persoanelor fizice ar trebui 8 fie neutré din punct de vedere tehnologic si s nu depind’s de tehnologille utilzate. Protectia persoanelor fizice ar trebui s8 se aplice prelucrérii datelor cu caracter personal prin mijloace automatizate, precum si prelucrérii manuale, in cazul in care datele cu caracter personal sunt cuprinse sau destinate sé fie cuprinse intr-un sistem de evident. Dosarele sau seturile de dosare, precum si copertele acestora, care nu suntstructurate in conformitate cu Criterii specifice nu ar trebui s& intre in domeniul de aplicare al prezentului requlament. (16 Prezentul regulament nu se aplicd chestiunilor de protectie a crepturilor si libert&tilor fundamentale sau la libera circulatie a datelor cu caracter personal referitoare la activitati care nu intra in domeniul de aplicare al dreptului Uniunii, de exemplu activtatile privind securitatea national’. Prezentul requlament nu se aplicd prelucrii datelor cu caracter personal de catre statele membre atunci cand acestea desfasoara activitati legate de politica extern’ si de securitatea coun’ a Uniunil (417 Regulamentul (CE) nr, 45/2001 al Parlamentului European si al Consiliului ) se aplic’ prelucrarii de date cu caracter personal de cdtre institutile, organele, oficile si agentile Uniunii. Regulamentul (CE) nr. 45/2001 si alte acte juridice ale Uniunii aplicabile unei asemenea prelucréri a datelor cu caracter personal ar trebui adaptate la principille si normele stabilte in prezentul regulament si aplicate in conformitate cu prezentul regulament. in vederea asigurarii unui cadru solid si coerent in materie de protectie a datelor in Uniune, ar trebui ca dup’ adoptarea prezentului requlament $8 se aducé Requlamentului (CE) nr. 45/2001 adaptarile necesare, astfel incat acestea sé poaté fi aplicate odata cu prezentul regulament. @Regulamentul (CE) nr. 45/2004 al Parlamentului European si al Consiliului din 18 decembrie 2000 privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de c&tre institutile si oraanele comunitare si privind libera circulatie a acestor date (JO L 8, 12.1.2001, p. 1). (18}Prezentul requlament nu se aplicé prelucrarii datelor cu caracter personal de catre o persoand fizic’ in cadrul unei activitati exclusiv personale sau domestice si care, prin urmare, nu are leg’turé cu o activitate profesional sau comerciald. Activittile personale saudomestice ar putea include corespondenta si repertoriul de adrese sau activitatile din cadrul retelelor sociale si activitatile online desfésurate in contextul respectivelor activtati. Cu toate acestea, prezentul requlament se aplicé operatorilor sau persoanelor imputernicite de operatori care furnizeazé mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activitati personale sau domestice. (19)Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal de c3tre autoritatile competente in scopul preveniri, investigarii, depistérii sau_urm&riri penale a infractiunilor sau al executérii pedepselor, inclusiv al protejdrii impotriva amenintarilor la adresa sigurantei publice si al preveniril acestora, precum si ibera circulatie a acestor date, face obiectul unui act juridic specific al Uniuni. Prin urmare, prezentul requlament nu ar trebui s8 se aplice activitatlor de prelucrare in aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de c3tre autoritatile publice in temeiul rezentului requlament, atunci c&nd sunt utilizate in aceste seopuri, ar trebui s& fie reglementate printr-un act juridic mai specific al Uniunii, si anume Directiva (UE) 2016/680 a Parlamentului European si a Consiliului ('). Statele membre pot incredinta autoritatilor competente in sensul Directivei (UE) 2016/680 sarcini care nu sunt neapérat indeplinite in scopul preveniri, investigarii, depistérii sau urmaririi penale a infractiunilor sau al executri pedepselor, inclusiv al protejérii impotriva amenintérilor la adresa sigurantei publice si al prevenirii acestora, astfel incat prelucrarea datelor cu caracter personal pentru alte scopuri, in m&sura in care se incadreaz& in domeniul de aplicare al dreptului Uniunii, $3 intre in domeniul de aplicare al prezentului regulament. )Directiva (UE) 2016/680 a Parlamentului European si a Consliului din 27 aprilie 2016 rivind protectia persoanelor fizice referitor la prelucrarea catelor cu caracter personal de CBtre autoritatile competente in scopul preveniti, depistSri,investig’rii sau urm&ririi penale a infractiunilor sau al executlrii pedepselor si privind libera drculatie a acestor date si de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jural Oficial), jn cea ce priveste prelucrarea datelor cu caracter personal de c&tre aceste autorit3ti competente in scopuri care intr’ in domeniul de aplicare al prezentului requlament, statele membre ar trebui $3 oat mentine sau introduce dispozitii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispozitii pot stabili mai precis cerinte specifice pentru prelucrarea datelor cu caracter personal de cétre respectivele autoritati competente in aceste alte scopuri, tinand seama de structura constitutionala, organizatoricd si administrativ’ a statului membru in cauz3. Atunci cSnd prelucrarea de date cu caracter personal de citre organisme private face obiectul prezentului requlament, prezentul regulament ar trebui s8 prevada posibilitatea ca statele membre, in anumite conditi, s8 impund prin lege restrictii asupra anumitor obligatii si dreptur, in cazul in care asemenea restrictii constituie 0 masura necesara si proportionala intr-o societate democratica in scopul garantérii unor interese specifice importante, printre care se numér& siguranta public’ si revenirea, investigarea, depistarea si urmérirea penalé a infractiunilor sau executarea edepselor, inclusiv protejarea impotriva amenintdrilor la adresa sigurantei publice si revenirea acestora. Acest lucru este relevant, de exemplu, in cadrul combaterii spalarii de bani sau al activitatilor laboratoarelor criminalistice. (20)Pesi prezentul requlament se aplicd, inter alia, activitatilor instantelor si ale altor autoritati judiciare, dreptul Uniunii sau al statelor membre ar putea s& precizeze operatiunile si procedurile de prelucrare in ceea ce priveste prelucrarea datelor cu caracter personal de Btre instante si alte autorit8ti judiciare. Prelucrarea datelor cu caracter personal nu ar trebui 8 fie de competenta autoritatior de supraveghere in cazul in care instantele isi exercita atributile judiciare, in scopul garant&rii independentei sistemului judiciar in indeplinirea sarcinilor sale judicare, inclusiv in luarea decizilor. Supravegherea unor astfel de operatiuni de prelucrare a datelor ar trebui s8 poat8 fi incredintat’ unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui s8 asigure in special respectarea normelor prevézute de prezentul requlament, s8 sensibilizeze membrii sistemului judiciar cu privire la obligatile care le revin in temeiul prezentului regulament si s& trateze plangerile in leaaturé cu astfel de operatiuni de prelucrare a datelor. (21Prezentul regulament nu aduce atingere aplictrii Directive 2000/31/CE a Parlamentului European si a Consiliului (4, in special normelor privind raspundereafurnizorilor intermediari de servicii prevézute la articolele 12-15 din directiva mentionaté, Respectiva directiva isi propune s3 contribuie la buna functionare a pietei interne, prin asiqurarea liberei circulatii a servicilor societ&tiiinformatjonale intre statele membre. QPirectiva 2000/31/CE a Pariamentului European si a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale servicilor societ&tii informationale, in special ale comertului electronic, pe piata interna (directiva privind comertul electronic) (JO L 178, 17.7.2000, p. 1). (22)0rice prelucrare a datelor cu caracter personal in cadrul actvitatilor unui sediv al unui operator sau al unei persoane imputernicite de operator din Uniune ar trebui efectuat’ in conformitate cu prezentul regulament, indiferent dac& procesul de prelucrare in sine are loc sau nu in cadrul Uniunii. Sediul implic& exercitarea efectiv’ si reali a unei activititi in cadrul tunor jntelegeri stabile. Forma juridic’ a unor astfel de intelegeri, prin intermediul unei sucursale sau al unei filale cu personalitate juridic’, nu este factorul determinant in aceast’ privint’ (23)Pentru a se asigura c& persoanele fizice nu sunt lipsite de prctectia la care au dreptul in temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de cétre un operator sau 0 persoan’ imputericit’ de acesta care nu isi are sediul in Uniune ar trebui s8 fac’ obiedul prezentului requlament in cazul in care activitétile de prelucrare au legaturé cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacd acestea sunt sau nu legate de o platd. Pentru a determina dacd un astfel de operator sau o astfel de persoan’ imputernicité de operator oferé bunuri sau servicii unor persoane vizate care se afld pe teritoriul Uniunii, ar trebui s& se stabileasc’ dac reiese ca operatorul sau persoana imputernicita de operator intentioneaza sé furnizeze servicli persoanelor vizate din unul sau mai multe state membre din Uniune. intrucdt simplul fapt cé exista acces Ia un site al operatorului, al persoanei imputernicite de operator sau al nui intermediar in Uniune, c& este disponibild 0 adres’ de e-rmil si alte date de contact sau cB este utilizat’ o limba folosité in general in tara tert in care operatorul isi are sediul este insuficient pentru a confirma o astfel de intentie, factori precum utilzarea unei limbi sau a tunei monede utilizate in general in unul sau mai multe state membre cu posibilitatea de a comand bunur si servici in respectiva limb& sau mentionarea unor clienti sau utilizatori care se afi3 pe teritoriul Uniunii pot conduce la concluzia c& operatorul intentioneaz’ s& ofere bbunuri sau servicii unor persoane vizate in Uniune. (24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de catre un operator sau 0 persoana imputernicité de acesta care nu isi are sediul in Uniune ar trebui, de asemenea, s& fac’ obiectul prezentului requlament in cazul in care este legat’ de monitorizarea comportamentului unor astfel de persoane vizate, in masura in care acest comportament se manifesté pe teritoriul Uniunii. Pentru a se determina daca o activate de prelucrare poate fi considerat’ ca "monitorizare a comportamentului" persoanelor vizate, ar trebui si se stabileascé dac& persoanele fizice sunt urmérite pe internet, inclusiv posibila utilizare ulterioar& a unor tehnici de prelucrare a datelor cu caracter personal care constau in crearea unui profil al unei persoane fizice, in special in scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la breferintele personale, comportamentele si atitudinile acesteia, (253In cazul in care ‘dreptul unui stat membru se aplic’ in temeiul dreptului international public, prezentul requlament ar trebui s& se aplice, de asemenea, unui operator care nu este stabilit in Uniune, ci, de exemplu, intr-o misiune diplomatic’ sau intr-un oficiu consular al unui stat membru (26Principille protectiei datelor ar trebui s& se aplice oricdrei informatii referitoare la 0 ersoand fizicd identificat’ sau identificabilS. Datele cu caracter personal care au fost supuse seudonimizarii, care ar putea fi atribuite unei persoane fizice prin utilzarea de informati suplimentare, ar trebui considerate informatii referitoare la o persoand fizicS identificabild Pentru a se determina dac’ 0 persoand fizicd este identificabié, ar trebui s& se ia in considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, S& le utlizeze fie operatorul, fie 0 alt’ persoan, in scopul identificdri in mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dac’ este probabil, in mod rezonabil, S8 fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui lvati in considerare toti factorii obiectivi, precum costurile si intervalul de timp necesare pentru identificare, tinandu-se seama at&t de tehnologia disponibila la momentul prelucr&tii, cit si dedezvoltarea tehnoloaic’. Principille protectiei datelor ar trebui, prin urmare, s8 nu se aplice informatillor anonime, adicd informatillor care nu sunt legate de 0 persoana fizicd identificat’ au identificabild sau datelor cu caracter personal care sunt anonimizate astfel incat persoana vizat’ nu este sau nu mai este identificabil3. Prin urmare, prezentul requlament nu se aplic& prelucrérii unor astfel de informatii anonime, inclusiv in cazu in care acestea sunt utiizate in scopuri statistice sau de cercetare. (27/rezentul regulament nu se aplicé datelor cu caracter personal referitoare la persoane decedate. Statele membre pot 8 prevad’ norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate. (28)piicarea _pseudonimizérii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii si persoanele imputernicite de acestia s& isi indeplineascé obligatiile de protectie 2 datelor. Introducerea explicit’ a conceptului de "pseudonimizare" in prezentul requlament nu este destinat& s& impiedice alte eventuale masuri de protectie a datelor. (29Pentru a crea stimulente pentru aplicarea pseudonimizarii atund cand sunt prelucrate date cu caracter personal, ar trebui s8 fie posibile masuri de pseudonimizare, permiténd in acelasi timp analiza general’, in cadrul aceluiasi operator atunci c&nd operatorul a luat msurile tehnice si organizatorice necesare pentru a se asiaura c& prezentul requlament este us in aplicare in cea ce priveste respectiva prelucrare a datelor si cd informatile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pastrate separat. Operatorul care prelucreaz& datele cu caracter personal ar trebui s& indice persoanele autorizate din cadrul aceluiasi operator. (30Persoanele fizice pot fi asociate cu identificatorii online fumizati de dispozitivele, aplicatile, instrumentele si protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alti identificatori precum etichetele de identificare prin frecvente radio. Acestia pot [asa urme care, in special atunci c8nd sunt combinate cu identificatori unc si alte informatii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice si pentru identificarea lor. (31)Autorittile publice cdrora le sunt divulgate date cu caracter personal in conformitate cu © obligatie legalé in vederea exercitarii functiei lor oficiale, cum ar fi autoritatile fiscale si vamale, unitatile de investigare financiar’, autoritatile administrative independente sau autoritatile pietelor financiare responsabile de reglementarea si supravegherea pietelor titlurilor de valoare, nu ar trebui sé fie considerate destinatari in cazul in care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, in conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulaare trimise de autoritétile publice ar trebui s8 fie intotdeauna prezentate in scris, motivate si ocazionale si nu ar trebui sd se refere Ia un sistem de evident in totalitate sau $8 conduc’ la interconectarea sistemelor de evidenté. Prelucrarea datelor cu caracter personal de catre autorititile publice respective ar trebui s& respecte normele aplicabile in materie de protectie a datelor in conformitate cu scopurile prelucrari. (32XConsimtaméntul ar trebui acordat printr-o actiune neechivocd cae s& constituie o manifestare liber exprimata, specific’, in cunostint’ de cauzé si claré a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facut ‘n scr, inclusiv in format electronic, sau verbal. Acesta ar putea include bifarea unei casute atunci cand persoana viziteazé un site, alegerea parametrilor tehnici pentru servicille societ3ti informationale sau orice alt declaratie sau actiune care indic& in mod clar in acest context acceptarea de c&tre persoana vizat a prelucrarii propuse a datelor sale cu caracter personal. Prin urmare, absenta unui rdspuns, csutele bifate in prealabil sau absenta unei actiuni nu ar ‘rebui 4 constituie un consimtémént. ConsimtSmantul ar trebui s8 vizeze toate activtatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri. Daca prelucrarea datelor se face ‘n mai multe scopuri, consimt&m&ntul ar trebui dat pentru toate scopurile prelucrari. in cazul ‘n care consimtméntul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronic&, cererea respectiva trebuie s& fie clard si concisé si s8 nu perturbe in mod inutil utlizarea serviciului pentru care se acord’ consimtaméntul (33)Adesea nu este posibil, in momentul colectarii datelor cu caracter personal, s8 se identifice pe deplin scopul prelucrarii datelor in scopuri de cercetare stiintfic’. Din acest motiv, persoanelor vizate ar trebui s& li se permit’ s& isi exprime consimtSméntul pentruanumite domenii ale cercetdrii stintifice atunci cénd sunt regectate standardele etice recunoscute pentru cercetarea stintific8. Persoanele vizate ar trebui s8 aib& posibilitatea de a-si exprima consimtéméntul doar pentru anumite domenii de cercetare sau parti ale proiectelor de cercetare in msura permis de scopul preconizat. (34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicle genetice mostenite sau dobindite ale unei persoane fizice, care rezulté in urma unei analize a unei mostre de material biologic al persoanei fizice in cauz8, in special a tunei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricérui alt element ce permite obtinerea_unor informatii echivalente. (35)Datele cu caracter personal privind s&n8tatea ar trebui s& incud’ toate datele avand legaturd cu starea de s&natate 2 persoanei vizate care dezvaluie informatii despre starea de sinatate fizic3 sau mental8 trecut8, prezent’ sau vitoare a persoanei vizate. Acestea includ informatii despre persoana fizic& colectate in cadrul inscriei acesteia la servicile de asistent’ medicalé sau in cadrul acord&rii servicilor respective persoanei fizce in cauz&, astfel cum sunt mentionate in Directiva 2011/24/UE a Parlamentului European si a Consiliului (); un numér, un simbol sau un semn distinct atribuit unei persoane fizice pentru identificarea singulara a acesteia in scopuri medicale; informatii rezultate din testarea sau examinarea unei parti 2 corpului sau a unei substante corporale, inclusiv din date genetice si esantioane de material biologic; precum si orice informati privind, de exemlu, o boalé, un handicap, un risc de imbolndvire, istoricul medical, tratamentul clinic sau stares fiiologic’ sau biomedicalS a ersoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru ‘medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. )Directiva 2011/24/UE a Parlamentului European sia Consilului din 9 martie 2011 pivind aplicarea drepturlor pacientlor in cadrul asistentel medicale transfrontaliere (JO L 88, 44.2011, p. 45). (36)Sediul principal al unui operator in Uniune ar trebui s& fie locul in care se_aflé administratia central8 a acestuia in Uniune, cu exceptia cazuli in care decile privind scopurile si mijloacele de_prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului in Uniune. in acest caz, acesta din urm& ar trebui considerat drept sediul principal. Sediul principal al unui operator in Uniune ar trebui s& fie determinat conform unor criteri obiective si ar trebui s8 implice exercitarea efectiva si real a unor activitati de estionare care sé determine principalele decizi cu privire la scopurile si mijloacele de Drelucrare in cadrul unorintelegeri stable. Acest crteriu nu ar trebui s8 depind& de realizarea prelucrrii datelor cu caracter personal in locul respectiv. Prezenta si utilizarea mijloacelor tehnice si a tehnologillor de prelucrare a datelor cu caracter personal sau activitatle de prelucrare nu constituie un sediu principal si, prin urmare, nu sunt criteriul determinant in acest sens. Sediul principal al persoanei imputernicite de operator ar trebui si fie locul in care se afié administratia centralé a acestuia in Uniune sau, in cazul in care nu are o administratie central in Uniune, locul in care se desfasoar& principalele adivititi de prelucrare in Uniune. Jn cazurile care implica atat operatorul, cat si persoana imputernicité de operator, autoritatea de supraveahere principal’ competent’ ar trebui s8 r8ménd autofitatea de supraveghere a statului membru in care operatorul isi are sediul principal, dar autoritatea de supraveghere a ersoanei imputernicite de operator ar trebui consideratS ca find o autoritate de supraveghere vizat’ si acea autoritate de supraveghere ar trebui s8 participe la procedura de cooperare prevazutd de prezentul regulament. In orice caz, autoritstile de supraveghere ale statului membru sau ale statelor membre in care persoana imputernicita de operator are unul au mai multe sedii nu ar trebui considerate ca fiind autorit8ij de supraveghere vizate in cazul in care proiectul de decizie nu se refers decat la operator. In cazul in care prelucrarea este efectuaté de un grup de intreprinderi, sediul principal al intreprinderi care exercit8 controlul ar trebui considerat drept sediul principal al arupului de inteprinderi, cu exceptia cazului in care scopurile si mijloacele aferente prelucrari sunt stabilte de o altS intreprindere. (37)Un arup de intreprinderi ar trebui s& cuprind& o intreprindere care exercité controlul si ‘ntreprinderile controlate de aceasta, in cadrul céruia intreprinderea care exercit8 controlul ar trebui s3 fie intreprinderea care poate exercita o influenté dominant asupra celorlalte ‘ntreprinderi, de exemplu in temeiul propriet3ti, al particip&i financiare sau al requllor care © reglementeaza sau al competentei de a pune in aplicare norme in materie de protectie adatelor cu caracter personal. O intreprindere care controleazé prelucrarea datelor cu caracter personal in intreprinderile sale afiliate ar trebui considerat’, impreund cu acestea din urm&, drept “arup de intreprinderi’ (38)Copiii au nevoie de o protectie specificd a datelor lor cu caracter personal, intrucdt pot fi ‘mai putin constienti de riscurile, consecintele, garantile in cauzé si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal. Aceasté protectie specificd ar trebui s8 se aplice in special utilizirii datelor cu caracter personal ale copilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilzator si la colectarea datelor cu caracter personal privind copii in momentul utiizérii servicilor oferite direct copiilo. Consimtémantul titularului r4spunderii parintesti nu ar trebui s8 fie necesar in contextul servicilor de prevenire sau consiliere oferite direct copillor, (39)0rice prelucrare de date cu caracter personal ar trebui s& fie legalé si echitabild. Ar trebui s& fie transparent pentru persoanele fizice c& sunt colectate, utilizate, consultate sau prelucrate in alt mod datele cu caracter personal care le privesc si in ce masur& datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparentei prevede c& orice informatii si comunic&ri referitoare la prelucrarea respectivebr date cu caracter personal sunt sor accesibile si usor de inteles si c& se utilizeaz’ un limbaj simplu si clar. Acest principiu se referd in special la informarea persoanelor vizate privind identitatea operatorului si scopurile prelucrarli, precum si la oferirea de informatii suplimentare, pentru a asigura o prelucrare echitabild si transparent’ in ceea ce priveste persoanele fizice vizate si dreptul acestora de a li se confirma si comunica datele cu caracter personal care le privese care sunt prelucrate. Persoanele fizice ar trebui informate cu priv la riscurile, normele, garantille si drepturile in materie de prelucrare a datelor cu caracter personal si cu privire la modul in care s& isi exercite drepturie in leg’tur’ cu prelucrarea. In special, scoputile specifice in care datele cu caracter personal sunt prelucrate ar trebui s& fie explicite si leaitime si s& fie determinate la momentul colectari datelor respective, Datele cu caracter personal ar trebui sé fie adecvate, relevante si limitate la ceea ce este necesar pentru scopurile in care sunt prelucrate, Aceasta necesit8, in special, asigurarea faptului c& perioada pentru care datele cu caracter personal sunt stocate este limitat8 strict la minimum, Datele cu caracter personal ar trebui prelucrate doar dacé scopul prelucrarii_nu poate fi indeplinit in mod rezonabil prin alte mijloace. In vederea asigurérii faptului c& datele cu caracter personal nu sunt pastrate mai mult timp decat este necesar, ar trebui si se stabileascd de cBtre operator termene pentru stergere sau revizuirea periodicd. Ar trebui s8 fie luate toate mésurile rezonabile pentru a se asigura c3 datele cu caracter personal care sunt inexacte sunt rectificate sau sterse. Datele cu caracter personal ar trebui prelucrate intr-un mod care s& asigure in mod adecvat securitatea si Confidentialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizat a datelor cu caracter personal si a ectipamentului utilizat pentru prelucrare. (40)Pentru ca prelucrarea datelor cu caracter personal s8 fie legaB, aceasta ar trebui efectuaté pe baza consimtamantului persoanei vizate sau in temeiul unui alt motiv legitim, prevazut de lege, fie in prezentul requlament, fie in alt act din dreptul Uniunii sau din dreptul intern, dup3 cum se prevede in prezentul regulament, inclusiv necesitatea respectari obligatilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizat’ este parte sau pentru a parcurge etapele premergatoare incheierii unui contract, la solicitarea persoanei vizate (41)0ri de cate ori prezentul regulament face trimitere la un temei juridic sau la o m&sur& legislativa, aceasta nu necesité neapdrat un act legislativ adoptat de cétre un parlament, fra a aduce atingere cerintelor care decura din ordinea constitutional a statului membru in cauz’. Cu toate acestea, un astfel de temei juridic sau 0 astfel de m&surd leaislativa ar trebui 88 fie clar& si precisd, iar aplicarea acesteia ar trebui s8 fie previzibild pentru persoanele vizate de aceasta, in conformitate cu jurisprudenta Curtii de Justitie a Uniunii Europene ("Curtea de Justitie") sia Curfi Europene a Drepturilor Omului. (42}in cazul in care prelucrarea se bazeaz pe consimtémantul persoanei vizate, operatorul ar trebui sa fie in masura sé demonstreze faptul ca persoana vizata si-a dat consimtémantul pentru operatiunea de prelucrare. in special, in contextul unei declaratii scrise cu privire la un alt aspect, garantille ar trebui s& asiqure cB persoana vizaté este constientd de faptul c& si-a dat consimtémantul si in ce masuré a facut acest lucru. In conformitate cu Directiva93/13/CEE a Consilului (2), ar trebui furnizat’ 0 declaratie de consimtamént formulat’ in Drealabil de c&tre operator, into forma inteligibila si usor accesibil, utilznd un limbaj clar si simplu, iar aceast’ declaratie nu ar trebui s& contin’ clauze abuzive. Pentru ca acordarea consimtamantului sa fie in cunostinté de cauza, persoana vizata ar trebui sa fie la curent cel putin cu identitatea operatorului si cu scopurile prelucr&rii pentru care sunt destinate datele cu caracter personal. Consimt&mantul nu ar trebui considerat ca fiind acordat in mod liber dacd persoana vizaté nu dispune cu adevarat de libertatea de alegere sau nu este in masur’ sf refuze sau sd igi retragd consimt&méntul faré a fi prejudiciat’. ()Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive in contractele incheiate cu consumatorii (JO L 95, 21.4.1993, p. 29). (43 Pentru a garanta faptul c& a fost acordat in mod liber, consimtaméntul nu ar trebui sé constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal in cazul particular in care exist un dezechilibru evident intre persoana vizat& si operator, in special in cazul in care operatorul este 0 autoritate public’, iar acest lucru face improbabild acordarea consimtméntului in mod liber in toate circumstantele aferente respectivel situati particulare. Consimfimantul este considerat a nu fi acordat in mod liber in cazul in care aceasta nu permite s8 se acorde consimtémantul separat pentru diferitele operatiuni de prelucrare a datelor cu caracter personal, desi acest lucru este adecvat in cazul particular, sau dac’ executarea_unui contract, inclusiv furnizarea unui serviciu, este conditionatd de consimtmént, in ciuda faptului c& consimtamantul in cauzé nu este necesar pentru executarea contractului, (44relucrarea ar trebui sé fie considerata legala in cazul in care este necesara in cadrul unui contract sau in vederea incheierii unui contract. (453In cazul in care prelucrarea este efectuata in conformitate cu o obligatie legald a operatorului sau in cazul in care prelucrarea este necesar§ pertru indeplinirea unei sarcini care serveste unui interes public sau care face parte din exerdtarea autorittii_publice, prelucrarea ar trebui sé aiba un temei in dreptul Uniunii sau in dreptul intern. Prezentul requlament nu impune existenta unei leai specifice pentru fiecare prelucrare in parte. Poste fi suficient& o singuré lege drept temei pentru mai multe operatiuni de prelucrare efectuate in conformitate cu o obligatie legal’ a operatorului sau in cazul in care prelucrarea este necesard pentru indeplinirea unei sarcini care serveste unui interes public sau care face parte din exercitarea autorit3tii publice. De asemenea, ar trebui ca scopul prelucrari s3 fie stabil in dreptul Uniunii sau in dreptul intern. Mai mult dec&t at&t, dreptul respectiv ar putea sé specifice conditile generale ale prezentului requlament care reglementeaz’ legalitatea relucr&rii datelor cu caracter personal, s& determine specificttile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac dbiectul prelucrarii, a persoanelor vizate, a entitatilor crora le pot fi divulaate datele cu caracter personal, a limitérilor in functie de scop, a perioadei de stocare si a altor masuri pentru a garanta o prelucrare legal’ si echitabilg. De asemenea, ar tretui s4 se stabileasc’ in dreptul Uniunii sau in dreptul intern dac& operatorul care indeplineste 0 sarcin’ care serveste unui interes public sau care face parte din exercitarea autoritti publice ar trebui s& fie o autoritate public’ sau o alt persoané fizicS sau juridicd quvernata de dreptul public sau, atunci cdnd motive de interes ublic justificd acest lucru, inclusiv in scopuri medicale, precum s&ndtatea public’ si protectia social, precum si gestionarea servicilor de asistenté medicalé, de dreptul privat, cum ar fi 0 asociatie profesional, (46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s& fie consideraté legala in cazul in care este necesar’ in scopul asigurarii protectiel unui interes care este esential pentru viata persoanei vizate sau pentru viata une ate persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vtale ale unei alte persoane fizice ar trebui efectuat& numai in cazul in care prelucrarea nu se poate baza in mod evident pe un alt temei juridic, Unele tipuri de prelucrare pot servi atat unor motive importante de interes public, c&t si intereselor vitale ale persoanei vizate, de exemplu in cazul in care prelucrarea este _necesar’3 in scopuri umanitare, inclusiv in vederea monitoizarii unei epidemii si a raspandirii acesteia sau in situatii de urgente umanitare, in special in situatii de dezastre naturale sau provocate de om. (47}Interesele leaitime ale unui operator, inclusiv cele ale unui operator cBruia fi pot fi divulgate datele cu caracter personal sau ale unei terte parti, pot constitui un temei juridicpentru prelucrare, cu conditia s& nu prevaleze interesele sau drepturile si libertatile fundamentale ale persoanel vizate, lund in considerare asteptérile rezonabile ale persoanelor vizate bazate pe relatia acestora cu operatorul. Acest interes legitim ar putea exista, de ‘exemplu, atunci cand exist o rdatie relevanta si adecvata intre persoana vizata si operator, cum ar fi cazul in care persoana vizatd este un client al operatorului sau se aflé in serviciul acestuia. in orice caz, existenta unui interes legitim ar necesita o evaluare atent, care s8 stabileascd inclusiv dac3 0 persoan’ vizata poate preconiza in mod rezonabil, in momentul si ‘in contextul colectérii datelor cu caracter personal, posibilitatea prelucrarii in acest scop. Interesele si drepturile fundamentale ale persoanei vizate ar putea prevala in special in raport Cu interesul operatorului de date atunci cénd datele cu caractes personal sunt prelucrate in circumstante in care persoanele vizate nu preconizeaz’ in mod rezonabil o prelucrare Ulterioar8. Intrucat legiuitorul trebuie s8 furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de c&tre autortatile publice, temeiul juridic respectiv nu ar trebui s8 se aplice prelucrérii de c&tre autorit’tile publice in indeplinirea sarcinilor care le revin Prelucrarea de date cu caracter personal strict necesara in scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date in cauzi. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerat& ca fiind desfasuraté pentru un interes leaitim. (48)0peratorii care fac parte dintr-un grup de intreprinderi sau insttutii afiiate unui organism central pot avea un interes legitim de a transmite date cu caracter personal in cadrul grupului de intreprinderi in scopuri administrative interne, inclusiv in scopul prelucr&ri datelor cu caracter personal ale clientilor sau angaiatilor. Principle generale ale transferului de date cu caracter personal, in cadrul unui grup de intreprinderi, cétre o intreprindere situat3 intr-o tard terta rman neschimbate. (49/Prelucrarea datelor cu caracter personal in masura strict necesara si proportionala in scopul asigur’rii securitati retelelor si a informatillor, si anume capacitatea unei retele sau a Uunui sistem de informatii de a face faté, la un anumit nivel de incredere, evenimentelor accidentale sau actiunilor ilegale sau réu_intentionate care compromit disponibiltatea, autenticitatea, integritatea si confidentialitatea datelor cu caracter personal stocate sau transmise, precum si securitatea servicilor conexe oferite de aceste retele si sisteme, sau accesibile prin intermediul acestora, de c&tre autoritatile publice, echipele de interventie in caz de urgent’ informatic’, echipele de interventie in cazul producerii unor incidente care afecteazA securitatea informatica, furnizorii de retele si servicii de comunicatii electronice, recum si de c&tre furnizorii de servicii si tehnoloaii de securitate, constituie un interes legitim al operatorului de date in cauz’. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la retelele de comunicatii electronice si a difuzarii de coduri dSun8toare si oprirea atacurilor de "blocare a serviciului", precum si prevenirea daunelor aduse calculatoarelor si sistemelor de comunicatii electronice. (50)Prelucrarea datelor cu caracter personal in alte scopuri decat scopurile pentru care datele cu caracter personal au fost initial colectate ar trebui sd fie permis’ doar atunci cand prelucrarea este compatibilé cu scopurile respective pentru care datele cu caracter personal au fost inital colectate. In acest caz nu este necesar un temg juridic separat de cel pe baza Céruia a fost permis colectarea datelor cu caracter personal. in cazul in care prelucrarea este necesar’ pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulté din exercitarea autorit&tii publice cu care este investit operator, dreptul Uniunii sau. dreptul intern poate stabili si specifica sarcinile si scopurile pentru care prelucrarea ulterioar8 ar trebui considerat’ a fi compatibilé si legald. Prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintific3 sau istoric& ori in scopuri statistice ar trebui considerat8 ca reprezentand operatiuni de prelucrare leaale compatibile, Temeiul juridic prevazut in dreptul Uniunii sau in dreptul intern pentru preluaarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioard. Pentru a stabili dac& scopul prelucrarii ulterioare este compatibil cu scopul pentru care au fost colectate inital datele cu caracter personal, operatorul, dup ce a indeplinit toate cerintele privind legalitatea prelucrariinitiale, ar trebui s& tind seama, printre altele, de orice legdturd intre respectivele scopuri si scopurile prelucrari ulterioare preconizate, de contextul in care au fost colectate datele cu caracter personal, in special de asteptarile rezonabile ale persoanelor vizate, bazate pe relatia lor cu operatorul, in ceea ce priveste utiizarea ulterioaré a datelor,de natura datelor cu caracter personal, de consecintele prelucrérii ulterioare preconizate asupra persoanelor vizate, precum si de existenta aarantilor corespunzdtoare atat in cadrul operatiunilor de prelucrare initiale, cét si in cadrul operatiunilor de prelucrare ulterioare preconizate. Tn cazul in care persoana vizatd si-a dat consimt&méntul sau prelucrarea se bazeaz’ pe dreptul Uniunii sau pe dreptul inter, care constituie 0 m&sur& necesar8 si proportional8 intr societate democratic’ pentru a proteja, in special, obiective importante de interes publi general, operatorul ar trebui s& ab’ posibilitatea de a preluc in continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. In orice caz, aplicarea principilor stabilite de prezentul regulament si, in special, informarea pessoanel vizate cu privire la aceste alte scopuri si la drepturile sale, inclusiv dreptul la opozitie, ar trebui s& fie aarantate. Indicarea unor posibile infractiuni sau amenintéri la adresa sgurantei publice de cétre operator si transmiterea catre 0 autoritate competenté a datelor cu caracter personal relevante in cazuri individuale sau in mai multe cazuri legate de aceeasi infractiune sau de aceleasi amenintéri la adresa siqurantei publice ar trebui considerata ca fiind in interesul legitim urmarit de operator. Cu toate acestea, 0 astfel de transmitere in interesul legitim al operatorului sau prelucrarea ulterioard a datelor cu caracter personal ar trebui intercisé in azul in care prelucrarea nu este compatibild cu 0 obligatie legal8, profesionala sau cu o alt obligatie de pastrare a confidentialitati (51atele cu caracter personal care sunt, prin natura lor, deosebit de sensibile in ceea ce priveste drepturile si libert&tile fundamentale necesité ‘o protectie specificé, deoarece contextul prelucrarii acestora ar putea genera riscuri considerabile la adresa drepturilor si libertitior fundamentale. Aceste date cu caracter personal ar trebui s& includ’ datele cu caracter personal care dezvaluie originea rasialé sau etnicd, utilizarea termenului "origine rasial8" in prezentul regulament neimplicdnd 0 acceptare de care Uniune a teorillor care urmresc s stabileasc’ existenta unor rase umane separate. Préucrarea fotografilor nu ar ‘trebui sa fie considerata in mod sistematic ca fiind 0 prelucrare de categorii speciale de date cu caracter personal, intrucdt fotografie intr& sub incidenta definitiei datelor biometrice doar ‘in cazurile in care sunt prelucrate prin mijloace tehnice specfice care permit identificarea Uunic’3 sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu exceptia cazului jin care prelucrarea este permis’ in cazuri specifice prevazute de prezentul requlament, tindnd seama de faptul c& dreptul statelor membre poate prevedea dispozitii specifice cu privire la protectia datelor in scopul adaptarii aplicérii normelor din prezentul regulament in vederea respectarii unei obligati legale sau a indepliniri unei sarcini care serveste unui interes public sau care rezulté din exercitarea autorit3tii publice cu care este investit operatorul. Pe lang cerintele specifice pentru o astfel de prelucrare, ar trebui s& se aplice principle generale si alte norme prevazute de prezentul regulament, in special in ceea ce priveste conditile pentru prelucrarea legal. Ar trebui prevazute in mod explicit derogéri de la interdictia general de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci cand persoana vizata isi da consimtaméntul explicit sau in ceea ce priveste nevoile specifice in special atunci cand prelucrarea este efectuat in cadrul unor activitéti leatime de c&tre anumite asociatii sau fundatii al cBror scop este de a permite exercitarea libertatilor fundamentale. (52Derogarea de la interdictia privind prelucrarea categorilor speciale de date cu caracter personal ar trebui s8 fie permis’, de asemenea, in cazul in care dreptul Uniunii sau dreptul intern prevede acest lucru si ar trebui s& fac’ obiectul unor garantii adecvate, astfel incdt s& fie protejate datele cu caracter personal si alte drepturi fundamentale, atunci cand acest lucru se justificd din motive de interes public, in special in cazul prelucr&rii datelor cu caracter personal in domeniul legislatiei privind ocuparea fortei de munc&, protectia socialé, inclusiv pensille, precum si in scopuri de securitate, supraveghere si alert in materie de sénatate, pentru prevenirea sau controlul bollor transmisibile si a altor amenintéri grave la adresa s8n3t8tii. Aceast’ derogare poate fi acordati in scopuri medical, inclusiv s8natatea public’ si gestionarea servicilor de asistents medical, in special in vederea asiqurérii calitatii si eficientei din punctul de vedere al costurilor ale procedurilor utilizate pentru: solutionarea cererilor de prestati si servici in cadrul sistemului de asigurari de s&natate, sau tn scopuri de arhivare in interes public, in scopuri de cercetare stintfic8 sau istoric& ori in scopur statistce, De asemenea, prelucrarea nor asemenea date cu caracter persona ar trebui permis, printr-© derogare, atunci cand este necesar’ pentru constatarea, exercitarea sau apararea unui drept in justite, indiferent dac’ are loc in cadrul unei proceduri in fata unei instante sau in cadrul unei proceduri administrative sau a unei proceduri extrajudiciare. (53 ategorile speciale de date cu caracter personal care necesit’ un nivel mai ridicat de protectie ar trebui prelucrate doar in scopuri legate de s4ndtate atunci cand este necesar pentru realizarea acestor scopuri in beneficiul persoanelor fice si al societ8tii in general, in special in contextul gestionsiiiservicilor si sistemelor de sinatate sau de asistentS socials, inclusiv prelucrarea acestor date de citre autoritatile de management si de c&tre autoritatile centrale nationale din domeniul s&natatii in scopul controlului calitatii, furnizérii de informatii de gestiune si al supraveaherii generale a sistemului de s8ndtate sau de asistent’ social’ la nivel national si local, precum si in contextul asiqur&rii continuitati asistentei medicale sau sociale si a asistentei medicale transfrontaliere ori in scoputi de securitate, supraveghere si alert’ in materie de s&ndtate ori in scopuri de arhivare in interes public, in scopuri de cercetare stiintificd sau istorica ori in scopuri statistice in temeiul dreptului Uniunii sau al dreptului intern, care trebuie s& urmreascd un obiectiv de interes public, precum si in cazul studiilor realizate in interes public in domeniul sanatatii publice. Prin urmare, prezentul requlament ar trebui s& prevad8 conditii armonizate pentru prelicrarea categorillor speciale de date cu caracter personal privind s8natatea, in ceea ce priveste nevoile specfice, in special atunci cand prelucrarea acestor date este efectuatd in anumite scopuri legate de séndtate de Bre persoane care fac obiectul unei obligatiileaale de a p8stra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui s8 prevad& m&suri specifice si adecvate pentru a proteja drepturile fundamentale si datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui s& aib& posibilitatea de a mentine sau de a introduce conditii suplimentare, inclusiv restricti, in ceea ce priveste prelucrarea datelor genetice, a datelor biometrice sau a datelor privind séndtatea. Totusi, acest lucru nu ar trebui sé impiedice libera circulatie a datelor cu caracter personal in cadrul Uniunii atunci cand aceste conditii se aplicS prelucr&ri transfrontaliere a unor astfel de date. (54¥Prelucrarea categorilor speciale de date cu caracter personal poate fi necesar& din motive de interes public in domeniile s8nat8tii publice, f8r& consimt3mantul persoanei vizate. O astfel de prelucrare ar trebui conditionata de masuri adecvate si specifice destinate sé protejeze drepturile si libertatile persoanelor fizice. In acest context, conceptul de "séndtate public" ar trebui interpretat astfel cum este definit in Requlamentul (CE) nr. 1338/2008 al Parlamentului European si al Consiliului (*), si anume toate elementele referitoare la sénatate si anume starea de s&ndtate, inclusiv morbiditatea sau handicapul, factorii determinanti care au efect asupra st&rii de slndtate, necesititle in domeniul asistentei medicale, resursele alocate asistentei medicale, furnizarea asistentei medicale si asigurarea accesului universal la aceasta, precum si cheltuielle si sursele de finantare in domeniul s8n8tatii si cauzele mortalitatii. Aceasta prelucrare a datelor privind sénatatea din motive de interes public nu ar trebui s8 duc la prelucrarea acestor date in alte scopuri de citre parti terte, cum ar fi angajatorii sau societ3tile de asigurari si bancile. @)Regulamentul (CE) nr. 1338/2008 al Parlamentului European si al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sinatatea public8, precum si la s8natatea si siquranta la locul de muncé (JO L 354, 31.12.2008, p. 70). (55in plus, prelucrarea datelor cu caracter personal de catre autorittile publice in vederea realizérii obiectivelor prevazute de dreptul constitutional sau de dreptul international public, ale asociatillor religioase recunoscute oficial se efectueaz’ din motive de interes public. (563in cazul in care, in cadrul activtatilor electorale, functionzrea sistemului democratic necesita, intr-un stat membru, ca partidele politice s& colecteze date cu caracter personal privind opinile politice ale persoanelor, prelucrarea unor astfel de date poate fi permis’ din motive de interes public, cu condita s& se prevad’ garantile corespunzatoare. (57)Pac’ datele cu caracter personal prelucrate de un operator nu i permit acestuia si identifice 0 persoand fizic3, operatorul de date nu ar trebui s4 aib& obligatia de a obtine informatii suplimentare in vederea identificdrii persoanei vizate, cu unicul scop de a respecta oricare dintre dispozitile prezentului regulament. Cu toate acestea, operatorul nu ar trebui s8 refuze s& preia informatie suplimentare furnizate de persoana vizat& cu scopul de a sprifini exercitarea drepturilor acesteia. Identificarea ar trebui s& includ identificarea digitalé a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleasi acreditéri