Sunteți pe pagina 1din 123

CONSILIUL Bruxelles, 27 ianuarie 2012 (14.

02)
UNIUNII EUROPENE (OR. en)

5853/12
Dosar interinstituional:
2012/0011 (COD)

DATAPROTECT 9
JAI 44
MI 58
DRS 9
DAPIX 12
FREMP 7
COMIX 61
CODEC 219

PROPUNERE
Surs: Comisia European
Data: 27 ianuarie 2012
Nr. doc. Csie: COM(2012) 11 final
Subiect: Propunere de regulament al Parlamentului European i al Consiliului privind
protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal
i libera circulaie a acestor date (Regulament general privind protecia
datelor)

n anex, se pune la dispoziia delegaiilor o propunere din partea Comisiei, transmis printr-o not
de nsoire din partea dlui Jordi AYET PUIGARNAU, director, ctre dl Uwe CORSEPIUS,
Secretar General al Consiliului Uniunii Europene.

________________________

Anex: COM(2012) 11 final

5853/12 /cm 1
DG H 2B RO
COMISIA EUROPEAN

Bruxelles, 25.1.2012
COM(2012) 11 final

2012/0011 (COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN I AL CONSILIULUI

privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal


i libera circulaie a acestor date (Regulament general privind protecia datelor)

(Text cu relevan pentru SEE)

{SEC(2012) 72 final}
{SEC(2012) 73 final}
EXPUNERE DE MOTIVE

1. CONTEXTUL PROPUNERII
Prezenta expunere de motive descrie n detaliu noua propunere de cadru juridic privind
protecia datelor cu caracter personal n UE, prevzut n Comunicarea COM (2012) 9 final1.
Noul cadru legislativ propus const n dou propuneri legislative:
o propunere de regulament al Parlamentului European i al Consiliului privind protecia
persoanelor fizice referitor la prelucrarea datelor cu caracter personal i libera circulaie a
acestor date (Regulament general privind protecia datelor) i
o propunere de directiv a Parlamentului European i a Consiliului privind protecia
persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile
competente n scopul prevenirii, identificrii, investigrii sau urmririi penale a
infraciunilor sau al executrii pedepselor i libera circulaie a acestor date2.
Prezenta expunere de motive se refer la propunerea de regulament general privind protecia
datelor.
Documentul care st la baza legislaiei UE existente privind protecia datelor cu caracter
personal, Directiva 95/46/CE3, a fost adoptat n 1995, aceasta avnd dou obiective: protejarea
dreptului fundamental la protecia datelor i garantarea liberei circulaii a datelor cu caracter
personal ntre statele membre. Aceasta a fost completat de Deciziacadru 2008/977/JAI, un
instrument general, la nivelul Uniunii, n scopul proteciei datelor cu caracter personal n
domeniul cooperrii poliieneti i judiciare n materie penal4.
Evoluiile tehnologice rapide au generat noi provocri n domeniul proteciei datelor cu
caracter personal. Amploarea schimbului i a colectrii de date a crescut spectaculos.
Tehnologia permite att societilor private, ct i autoritilor publice s utilizeze date cu
caracter personal la un nivel fr precedent n cadrul activitilor desfurate. Din ce n ce mai
multe persoane fizice la nivel mondial fac publice informaii cu caracter personal. Tehnologia
a transformat att economia, ct i viaa social.
Consolidarea ncrederii n mediul online este esenial pentru dezvoltarea economic. Lipsa
de ncredere i determin pe consumatori s ezit s cumpere online i s apeleze la noi
servicii. Aceasta poate conduce la ncetinirea dezvoltrii utilizrilor inovatoare ale noilor
tehnologii. Prin urmare, protecia datelor cu caracter personal joac un rol central n cadrul
Agendei digitale pentru Europa5 i, n mod mai general, n cadrul Strategiei Europa 20206.
Articolul 16 alineatul (1) din Tratatul privind funcionarea Uniunii Europene (TFUE), astfel
cum a fost introdus prin Tratatul de la Lisabona, stabilete principiul conform cruia orice
persoan are dreptul la protecia datelor cu caracter personal care o privesc. Mai mult, prin
articolul 16 alineatul (2) din TFUE, Tratatul de la Lisabona a introdus un temei juridic
specific pentru adoptarea de norme n materie de protecie a datelor cu caracter personal.
1
Protecia vieii private ntr-o lume interconectat - Un cadru european privind protecia
datelor pentru secolul 21, COM (2012) 9 final.
2
COM(2012) 10 final.
3
Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind
protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i libera
circulaie a acestor date, JO L 281, 23.11.1995, p. 31.
4
Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecia datelor cu
caracter personal prelucrate n cadrul cooperrii poliieneti i judiciare n materie penal, JO L 350,
30.12.2008, p. 60 (denumit n continuare decizia-cadru).
5
COM(2010) 245 final.
6
COM(2010) 2020 final.

RO 1 RO
Articolul 8 din Carta drepturilor fundamentale a Uniunii Europene consacr protecia datelor
cu caracter personal ca drept fundamental.
Consiliul European a invitat Comisia s evalueze funcionarea instrumentelor UE privind
protecia datelor i s prezinte, dac este cazul, alte iniiative legislative i fr caracter
legislativ1. n rezoluia sa privind Programul de la Stockholm, Parlamentul European2 a salutat
iniiativa unui regim cuprinztor de protecie a datelor n UE i, printre altele, a fcut apel la
revizuirea deciziei-cadru. Comisia a subliniat n planul su de aciune pentru punerea n
aplicare a programului de la Stockholm3, necesitatea de a se asigura c dreptul fundamental la
protecia datelor cu caracter personal este aplicat n mod consecvent n contextul tuturor
politicilor UE.
n comunicarea sa privind O abordare global a proteciei datelor cu caracter personal n
Uniunea European4, Comisia a concluzionat c UE are nevoie de o politic mai
cuprinztoare i mai coerent privind dreptul fundamental la protecia datelor cu caracter
personal.
Cadrul actual rmne n continuare satisfctor n ceea ce privete obiectivele i principiile,
ns acesta nu a mpiedicat fragmentarea modului n care protecia datelor cu caracter personal
este pus n aplicare pe ntreg teritoriul Uniunii, incertitudinea juridic i percepia public
larg rspndit conform creia exist riscuri semnificative, n special asociate cu activitatea
online5. Din acest motiv, ar trebui elaborat un cadru mai solid i mai coerent privind protecia
datelor n UE, care, mpreun cu o aplicare riguroas a normelor n acest domeniu, vor
permite economiei digitale s se dezvolte pe tot cuprinsul pieei interne, vor facilita deinerea
controlului de ctre persoane asupra propriilor date i vor consolida securitatea juridic i
practic pentru operatorii economici i autoritile publice.

2. REZULTATELE CONSULTRILOR CU PRILE INTERESATE I ALE


EVALURII IMPACTULUI
Prezenta iniiativ este rezultatul unor ample consultri cu principalele pri interesate privind
o revizuire a actualului cadru juridic privind protecia datelor cu caracter personal, care au
durat peste doi ani, incluznd o conferin la nivel nalt desfurat n mai 20096 i dou faze
ale consultrii publice:
n perioada 9 iulie - 31 decembrie 2009, consultarea referitoare la cadrul juridic privind
dreptul fundamental la protecia datelor cu caracter personal. Comisia a primit 168 de
rspunsuri, din care 127 de la persoane fizice, organizaii i asociaii profesionale i 12 de
la autoritile publice7;
n perioada 4 noiembrie 2010 - 15 ianuarie 2011, consultarea privind abordarea
cuprinztoare a Comisiei cu privire la protecia datelor cu caracter personal n Uniunea
European. Comisia a primit 305 de rspunsuri, din care 54 de la ceteni, 31 de la

1
Programul de la Stockholm O Europ deschis i sigur n serviciul cetenilor i pentru
protecia acestora, JO C 115, 4.5.2010, p. 1.
2
Rezoluia Parlamentului European privind Comunicarea Comisiei ctre Parlamentul European
i Consiliu Un spaiu de libertate, securitate i justiie n serviciul cetenilor Programul de la
Stockholm, adoptat la 25 noiembrie 2009 [P7_TA (2009) 0090].
3
COM(2010) 171 final.
4
COM(2010) 609 final.
5
Eurobarometrul special (EB) 359 - Protecia datelor i identitatea electronic n UE (2011):
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .
6
http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.
7
Contribuiile care nu au caracter confidenial pot fi consultate pe site-ul internet al Comisiei.
http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

RO 2 RO
autoritile publice i 220 de la organizaiile private, n special asociaii de afaceri i
organizaii neguvernamentale1.
De asemenea, s-au desfurat consultri specifice cu principalele pri interesate; n iunie i
iulie 2010, au fost organizate evenimente specifice cu autoritile statelor membre i cu
prile interesate din sectorul privat, precum i cu organizaii din domeniul proteciei vieii
private, a datelor i a consumatorilor2. n noiembrie 2010, vicepreedintele Comisiei
Europene, Viviane Reding, a organizat o mas rotund privind reforma n materie de protecie
a datelor. La 28 ianuarie 2011 (Ziua proteciei datelor), Comisia European i Consiliul
Europei au organizat o conferin comun la nivel nalt pentru a discuta aspecte referitoare la
reforma cadrului juridic al UE, precum i la necesitatea unor standarde comune privind
protecia datelor la nivel mondial3. Dou conferine privind protecia datelor au fost gzduite
de preediniile ungar i polonez ale Consiliului la 16-17 iunie 2011 i, respectiv, la
21 septembrie 2011.
Pe tot parcursul anului 2011, s-au organizat ateliere i seminarii pe teme specifice. n ianuarie,
ENISA4a organizat un atelier privind notificrile referitoare la nclcarea securitii datelor n
Europa5. n februarie, Comisia a organizat un atelier cu autoritile din statele membre pentru
a discuta aspecte legate de protecia datelor n domeniul cooperrii poliieneti i judiciare n
materie penal, inclusiv punerea n aplicare a deciziei-cadru, iar Agenia pentru Drepturi
Fundamentale a Uniunii Europene a organizat o reuniune de consultare cu prile interesate
privind protecia datelor i a vieii private. La 13 iulie 2011, a avut loc o dezbatere cu
autoritile naionale pentru protecia datelor pe tema aspectelor-cheie ale reformei. Cetenii
UE au fost consultai prin intermediul unui sondaj Eurobarometru organizat n perioada
noiembrie-decembrie 20106. De asemenea, a fost lansat a serie de studii7. Grupul de lucru
pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal8 a
furnizat mai multe avize i informaii utile Comisiei9. De asemenea, Autoritatea European
1
Contribuiile care nu au caracter confidenial pot fi consultate pe site-ul internet al Comisiei.
http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
2
http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.
3
http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.
4
Agenia European pentru Securitatea Reelelor Informatice i a Datelor, care se ocup cu
chestiuni n materie de securitate legate de reelele de comunicaii i sistemele informatice.
5
A se vedea http://www.enisa.europa.eu/act/it/data-breach-notification.
6
Eurobarometrul special (EB) 359 - Protecia datelor i identitatea electronic n UE (2011):
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
7
A se vedea Study on the economic benefits of privacy enhancing technologies (Studiu privind
beneficiile economice ale tehnologiilor de consolidare a proteciei vieii private) i Comparative study
on different approaches to new privacy challenges, in particular in the light of technological
developments (Studiu comparativ privind diversele abordri ale noilor provocri din domeniul proteciei
vieii private, n special n lumina noilor dezvoltri tehnologice), ianuarie 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf)..
8
Grupul de lucru a fost nfiinat n 1996 (prin articolul 29 din Directiva 95/46/CE), avnd un
caracter consultativ i fiind format din reprezentani ai autoritilor naionale de supraveghere a
proteciei datelor (DPA), ai Autoritii Europene pentru Protecia Datelor (AEPD) i ai Comisiei.
Pentru mai multe informaii cu privire la activitile grupului de lucru, a se vedea
http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
9
A se vedea, n special, urmtoarele avize: cel privind Viitorul proteciei vieii private [2009,
Grupul de lucru (GL) 168]; cel privind conceptele de operator i persoana mputernicit de ctre
operator (1/2010, GL 169); cel privind publicitatea comportamental online (2/2010, GL 171); cel
privind principiul responsabilitii (3/2010, GL 173); cel privind dreptul aplicabil (8/2010, GL 179) i
cel privind consimmntul (15/2011, GL 187). La cererea Comisiei, Grupul de lucru pentru protecia
persoanelor n ceea ce privete prelucrarea datelor cu caracter personal a adoptat, de asemenea,
urmtoarele trei recomandri: cea privind notificrile, cea privind datele sensibile i cea privind punerea
concret n aplicare a articolului 28 alineatul (6) din Directiva privind protecia datelor. Documentele
pot fi consultate la adresa: http://ec.europa.eu/justice/data-protection/article-
29/documentation/index_en.htm.

RO 3 RO
pentru Protecia Datelor a emis un aviz cuprinztor privind problemele ridicate n
comunicarea Comisiei din noiembrie 20101.
Parlamentul European a aprobat, prin rezoluia sa din 6 iulie 2011, un raport care susinea
abordarea Comisiei n legtur cu reforma cadrului privind protecia datelor2. La
24 februarie 2011, Consiliul Uniunii Europene a adoptat concluzii n care sprijin n mare
msur intenia Comisiei de a reforma cadrul privind protecia datelor i aprob numeroase
elemente ale abordrii Comisiei. De asemenea, Comitetul Economic i Social European s-a
declarat n favoarea unei revizuiri a Directivei 95/46/CE, sprijinind obiectivul Comisiei de a
asigura o aplicare mai coerent a normelor UE n materie de protecie a datelor3 n toate
statele membre4.
Pe parcursul consultrilor privind abordarea global, o mare majoritate a prilor interesate au
fost de acord c principiile generale rmn valabile, ns este necesar adaptarea cadrului
actual pentru a rspunde mai bine provocrilor generate de dezvoltarea rapid a noilor
tehnologii (n special, cele online) i de globalizarea n continu cretere, meninnd totodat
neutralitatea tehnologic a cadrului juridic. Fragmentarea actual a proteciei datelor cu
caracter personal n Uniunea European a fcut obiectul unor critici vehemente, n special din
partea prilor interesate din domeniul economic care au solicitat o mai mare securitate
juridic i armonizarea normelor privind protecia datelor cu caracter personal. n
conformitate cu opinia prilor, complexitatea normelor privind transferurile internaionale de
date cu caracter personal constituie un impediment considerabil pentru operaiunile
desfurate, deoarece acestea trebuie s transfere n mod regulat date cu caracter personal din
UE ctre alte pri ale lumii.
n conformitate cu politica sa privind o mai bun legiferare, Comisia a realizat o evaluare a
impactului privind politicile alternative. Studiul a avut la baz trei obiective de politic:
mbuntirea dimensiunii privind piaa intern a proteciei datelor, o exercitare mai eficient
de ctre persoanele fizice a drepturilor pe care le au n materie de protecie a datelor i
elaborarea unui cadru cuprinztor i coerent care acoper toate domeniile de competen ale
Uniunii, inclusiv cooperarea poliieneasc i judiciar n materie penal. Au fost evaluate trei
opiuni de politic cu grade de intervenie diferite: prima opiune consta n aducerea unor
modificri legislative minime i n utilizarea unor comunicri interpretative i a unor msuri
de sprijin n materie de politici, cum ar fi programe de finanare i instrumente tehnice; a
doua opiune cuprindea un set de dispoziii legislative care s abordeze toate aspectele
identificate n studiu, iar a treia opiune consta n centralizarea proteciei datelor la nivelul UE
prin intermediul unor norme precise i detaliate cu privire la toate sectoarele, precum i
crearea unei agenii a UE pentru monitorizarea i punerea n aplicare a dispoziiilor.
n conformitate cu metodologia consacrat a Comisiei, fiecare opiune de politic a fost
evaluat cu ajutorul unui grup de coordonare interservicii n ceea ce privete eficiena acesteia
n vederea ndeplinirii obiectivelor de politic, impactul su economic asupra prilor
interesate (inclusiv asupra bugetului instituiilor UE), impactul su social i efectele acesteia
asupra drepturilor fundamentale. Nu a fost analizat impactul asupra mediului. n urma analizei
impactului global al diferitelor opiuni, a fost privilegiat o opiune de politic care se
bazeaz pe cea de-a doua opiune menionat anterior, la care se adaug anumite elemente din
cadrul celorlalte opiuni i care este ncorporat n prezenta propunere. Conform studiului de
1
Aceasta este disponibil pe website-ul AEPD: http://www.edps.europa.eu/EDPSWEB.
2
Rezoluia PE din 6 iulie 2011 referitoare la o abordare global a proteciei datelor cu caracter
personal n Uniunea European [2011/2025 (INI),
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-
0323+0+DOC+XML+V0//RO (raportor: MP Axel Voss (DE/PPE)].
3
SEC (2012) 72.
4
CESE 999/2011.

RO 4 RO
impact, punerea n aplicare a acestei opiuni va conduce, printre altele, la mbuntiri
considerabile n ceea ce privete securitatea juridic pentru operatorii de date i ceteni, la
reducerea sarcinilor administrative, la o aplicare mai coerent a legislaiei privind protecia
datelor n Uniune, la posibilitatea efectiv a persoanelor de a-i exercita drepturile n materie
de protecie a datelor, la protejarea datelor cu caracter personal n cadrul UE i la o
mbuntire a eficienei n ceea ce privete supravegherea i controlul aplicrii normelor n
acest domeniu. De asemenea, se ateapt ca punerea n aplicare a opiunilor de politic
preferate s contribuie la ndeplinirea obiectivului Comisiei privind simplificarea i reducerea
sarcinii administrative i a obiectivelor Agendei digitale pentru Europa, Planului de aciune
de la Stockholm i Strategiei Europa 2020.
Comitetul de evaluare a impactului a emis, la 9 septembrie 2011, un aviz cu privire la
proiectul de evaluare a impactului, pe baza cruia i-au fost aduse urmtoarele modificri:
au fost clarificate obiectivele cadrului juridic actual (msura n care au fost atinse sau nu),
precum i obiectivele reformei preconizate;
au fost adugate mai multe dovezi i explicaii/clarificri suplimentare la seciunea privind
definirea problemelor;
a fost adugat o seciune privind proporionalitatea;
au fost pe deplin revizuite toate calculele i estimrile privind sarcina administrativ din
scenariul de baz i din opiunea preferat, iar relaia dintre costurile notificrilor i
costurile generale ale fragmentrii a fost clarificat (inclusiv anexa 10);
au fost mai bine precizate impacturile asupra microntreprinderilor i asupra
ntreprinderilor mici i mijlocii, n special cele privind desemnarea unor responsabili cu
protecia datelor i realizarea unor studii de impact privind protecia datelor.
Raportul privind studiul de impact i rezumatul acestuia sunt publicate mpreun cu
propunerile.

3. ELEMENTELE JURIDICE ALE PROPUNERII


3.1. Temei juridic
Prezenta propunere se bazeaz pe articolul 16 din TFUE, care este noul temei juridic pentru
adoptarea normelor n materie de protecie a datelor introduse prin Tratatul de la Lisabona.
Aceast dispoziie permite adoptarea unor norme privind protecia persoanelor fizice cu
privire la prelucrarea datelor cu caracter personal de ctre statele membre, atunci cnd
desfoar activiti care intr n domeniul de aplicare a dreptului Uniunii. De asemenea,
permite adoptarea de norme referitoare la libera circulaie a datelor cu caracter personal,
inclusiv datele prelucrate de statele membre sau entiti private.
Se consider c regulamentul este instrumentul juridic cel mai adecvat pentru definirea
cadrului privind protecia datelor cu caracter personal n Uniune. Aplicabilitatea direct a unui
regulament n conformitate cu articolul 288 din TFUE va reduce fragmentarea legislativ i
va oferi o mai mare securitate juridic prin introducerea unui ansamblu armonizat de reguli de
baz, contribuind la mbuntirea proteciei drepturilor fundamentale ale persoanelor i la
funcionarea pieei interne.
Trimiterea la articolul 114 alineatul (1) din TFUE este necesar doar pentru modificarea
Directivei 2002/58/CE, n msura n care directiva respectiv prevede, de asemenea, dispoziii
referitoare la protecia intereselor legitime ale abonailor care sunt persoane juridice.

RO 5 RO
3.2. Subsidiaritate i proporionalitate
n conformitate cu principiului subsidiaritii [articolul 5 alineatul (3) din TUE], se iau msuri
la nivelul Uniunii numai dac obiectivele urmrite nu pot fi realizate suficient de bine de ctre
statele membre i, prin urmare, avnd n vedere amploarea i efectele msurilor propuse,
obiectivele pot fi realizate mai bine la nivelul Uniunii. n lumina problemelor subliniate mai
sus, analiza principiului subsidiaritii indic necesitatea unor msuri la nivelul UE, pe baza
urmtoarelor motive:
dreptul la protecia datelor cu caracter personal, prevzut la articolul 8 din Carta drepturilor
fundamentale a Uniunii Europene, necesit acelai nivel de protecie a datelor pe tot
cuprinsul Uniunii. Absena unor norme comune ale UE ar crea riscul unor niveluri diferite
de protecie n statele membre i al apariiei unor restricii privind fluxurile
transfrontaliere de date cu caracter personal ntre statele membre cu standarde diferite n
materie de protecie a datelor;
datele cu caracter personal sunt transferate din ce n ce mai rapid dincolo de graniele
naionale, att interne, ct i externe. n plus, exist dificulti practice n aplicarea
legislaiei privind protecia datelor, fiind necesar o mai bun cooperare ntre statele
membre i autoritile acestora, care trebuie organizat la nivelul UE pentru a se asigura
aplicarea uniform a dreptului Uniunii. De asemenea, UE este cea mai n msur s asigure
n mod efectiv i consecvent acelai nivel de protecie a persoanelor atunci cnd datele lor
cu caracter personal sunt transferate ctre ri tere;
statele membre nu pot atenua n mod individual problemele care apar n situaia actual, n
special cele legate de fragmentarea legislaiilor naionale. Prin urmare, apare necesitatea
specific de a institui un cadru armonizat i coerent, care s permit transferarea cu
uurin a datelor cu caracter personal dintr-un stat membru n altul, n cadrul UE,
asigurndu-se n acelai timp o protecie eficient pentru toate persoanele fizice pe ntreg
teritoriul UE;
aciunile legislative propuse la nivelul UE vor fi mai eficace dect aciuni similare la
nivelul statelor membre, datorit naturii i amplorii problemelor, care nu sunt limitate la
unul sau mai multe state membre.
Principiul proporionalitii prevede ca fiecare intervenie s vizeze un obiectiv i s nu
depeasc ceea ce este necesar pentru ndeplinirea sa. Acest principiu a stat la baza elaborrii
prezentei propuneri, ncepnd cu identificarea i evaluarea opiunilor de politic alternative i
pn la redactarea propunerii legislative.
3.3. Rezumat al aspectelor legate de drepturile fundamentale
Dreptul la protecia datelor cu caracter personal este prevzut la articolul 8 din Carta
drepturilor fundamentale a Uniunii Europene, articolul 16 din TFUE i articolul 8 din
Convenia european a drepturilor omului. Aa cum subliniaz Curtea de Justiie a UE1,
dreptul la protecia datelor cu caracter personal nu este, totui, un drept absolut, ci trebuie s
fie luat n considerare n raport cu funcia sa n societate2. Protecia datelor este strns legat
de respectarea vieii private i a celei de familie, protejate prin articolul 7 din cart. Acest
lucru este reflectat n articolul 1 alineatul (1) din Directiva 95/46/CE care prevede c statele
1
Curtea de Justiie a UE, hotrrea din 9.11.2010 n cauzele conexate C-92/09 i C-93/09
Volker und Markus Schecke i Eifert, Rep., 2010, p. I-0000.
2
n conformitate cu articolul 52 alineatul (1) din cart, pot fi impuse limitri privind exercitarea
dreptului la protecia datelor, att timp ct acestea sunt prevzute prin lege, respect substana acestor
drepturi i liberti i, sub rezerva principiului proporionalitii, sunt necesare i numai dac rspund
efectiv obiectivelor de interes general recunoscute de Uniune sau necesitii protejrii drepturilor i
libertilor celorlali.

RO 6 RO
membre trebuie s protejeze drepturile i libertile fundamentale ale persoanelor fizice i, n
special, dreptul acestora la respectarea vieii private cu privire la prelucrarea datelor cu
caracter personal.
Este posibil s fie afectate i alte drepturi fundamentale consacrate n cart: libertatea de
exprimare (articolul 11 din cart); libertatea de a desfura o activitate comercial
(articolul 16); dreptul la proprietate i, n special, protecia proprietii intelectuale
[articolul 17 alineatul (2)]; interzicerea oricrei discriminri bazate, printre altele, pe motive
de ras, origine etnic, caracteristici genetice, religie sau convingeri, opinii politice sau de
orice alt natur, un handicap sau orientare sexual (articolul 21); drepturile copilului
(articolul 24); dreptul la un nivel ridicat de protecie a sntii umane (articolul 35); dreptul
de acces la documente (articolul 42); dreptul la o cale de atac eficient i la un proces
echitabil (articolul 47).
3.4. Explicarea detaliat a propunerii
3.4.1. CAPITOLUL I - DISPOZIII GENERALE
Articolul 1 definete obiectul regulamentului, i, precum articolul 1 din Directiva 95/46/CE,
stabilete cele dou obiective prevzute de regulament.
Articolul 2 stabilete domeniul material de aplicare al regulamentului.
Articolul 3 definete domeniul teritorial de aplicare a regulamentului.
Articolul 4 conine definiiile termenilor utilizai n regulament. Unele definiii sunt preluate
din Directiva 95/46/CE, n timp ce altele sunt modificate, completate cu elemente
suplimentare sau nou introduse (nclcarea datelor cu caracter personal, pe baza
articolului 2 litera (h) din Directiva 2002/58/CE asupra confidenialitii i comunicaiilor
electronice1, astfel cum a fost modificat prin Directiva 2009/136/CE2, date genetice, date
biometrice, date privind sntatea, sediu principal, reprezentant, ntreprindere, grup
de ntreprinderi, reguli corporatiste obligatorii, copil, a crui definiie se bazeaz pe
Convenia Naiunilor Unite privind drepturile copilului3, i autoritate de supraveghere).
n definiia noiunii de consimmnt, se adaug criteriul explicit pentru a se evita orice
paralelism care poate crea confuzie cu noiunea de consimmnt neechivoc i pentru a
dispune de o definiie unic i coerent a consimmntului, n vederea garantrii faptului c
persoana n cauz i d consimmntul n deplin cunotin de cauz.
3.4.2. CAPITOLUL II PRINCIPII
Articolul 5 enun principiile legate de prelucrarea datelor cu caracter personal, care
corespund celor prevzute la articolul 6 din Directiva 95/46/CE. Noile elemente adugate
sunt, n special, principiul transparenei, clarificarea principiului minimizrii datelor i
instituirea unei responsabiliti globale a operatorului.

1
Directiva 2002/58/CE a Parlamentului European i a Consiliului din 12 iulie 2002 privind
prelucrarea datelor personale i protejarea confidenialitii n sectorul comunicaiilor publice
(Directiva asupra confidenialitii i comunicaiilor electronice), JO L 201, 31.7.2002, p. 37.
2
Directiva 2009/136/CE a Parlamentului European i a Consiliului din 25 noiembrie 2009 de
modificare a Directivei 2002/22/CE privind serviciul universal i drepturile utilizatorilor cu privire la
reelele i serviciile de comunicaii electronice, a Directivei 2002/58/CE privind prelucrarea datelor
personale i protejarea confidenialitii n sectorul comunicaiilor publice i a Regulamentului (CE) nr.
2006/2004 privind cooperarea dintre autoritile naionale nsrcinate s asigure aplicarea legislaiei n
materie de protecie a consumatorului (Text cu relevan pentru SEE), JO L 337, 18.12.2009, p. 11.
3
Adoptat i deschis spre semnare, ratificare i aderare prin Rezoluia Adunrii generale a
Organizaiei Naiunilor Unite 44/25 din 20.11.1989.

RO 7 RO
Articolul 6 prezint, pe baza articolului 7 din Directiva 95/46/CE, criteriile privind legalitatea
prelucrrii, fiind descrise n detaliu diverse aspecte ale acestora, cum ar fi criteriul privind
echilibrul intereselor, precum i respectarea obligaiilor juridice i a interesului public.
Articolul 7 clarific condiiile n care consimmntul constituie un temei juridic valabil
pentru legalitatea prelucrrii.
Articolul 8 stabilete condiii suplimentare pentru legalitatea prelucrrii datelor cu caracter
personal ale copiilor n ceea ce privete serviciile societii informaionale care sunt oferite
direct acestora.
Articolul 9 prevede, pe baza articolului 8 din Directiva 95/46/CE, interdicia general privind
prelucrarea categoriilor speciale de date cu caracter personal i excepiile de la aceast regul
general.
Articolul 10 clarific faptul c operatorul nu este obligat s obin informaii suplimentare n
vederea identificrii persoanei vizate cu unicul scop de a respecta una dintre dispoziiile
prezentului regulament.
3.4.3. CAPITOLUL III - DREPTURILE PERSOANEI VIZATE
3.4.3.1. Seciunea 1 Transparen i modaliti
Articolul 11 introduce obligaia pe care o au operatorii de a furniza informaii transparente,
uor accesibile i inteligibile, aceast dispoziie fiind inspirat, n special, din Rezoluia de la
Madrid privind standardele internaionale n materie de protecie a datelor cu caracter
personal i a vieii private1.
Articolul 12 stabilete obligaia operatorului de a prevedea proceduri i mecanisme pentru
exercitarea drepturilor persoanei vizate, inclusiv mijloace pentru introducerea unor cereri pe
cale electronic, stabilirea unui termen pentru oferirea unui rspuns la o cerere a persoanei
vizate i motivarea refuzurilor.
Articolul 13 prevede, pe baza articolului 12 litera (c) din Directiva 95/46/CE, drepturile
referitoare la destinatari care sunt extinse astfel nct s includ toi destinatarii, inclusiv
operatorii asociai i persoanele mputernicite de ctre operator.
3.4.3.2. Seciunea 2 Informare i acces la date
Articolul 14 prevede, pe baza articolelor 10 i 11 din Directiva 95/46/CE, obligaiile n
materie de informare ale operatorului fa de persoana vizat i furnizeaz informaii
suplimentare, inclusiv privind perioada de stocare a datelor i dreptul de a nainta o plngere,
n ceea ce privete transferurile internaionale i sursa de provenien a datelor. De asemenea,
articolul menine posibilele derogri cuprinse n Directiva 95/46/CE, de exemplu, lipsa
obligaiei de informare n cazul n care nregistrarea sau comunicarea datelor sunt prevzute n
mod expres de legislaie. Aceast situaie s-ar putea aplica, de exemplu, n cadrul procedurilor
desfurate de autoritile din domeniul concurenei, de administraiile fiscale sau vamale sau
de serviciile competente n materie de securitate social.
Articolul 15 prevede dreptul de acces al persoanei vizate la datele sale cu caracter personal, pe
baza articolului 12 litera (a) din Directiva 95/46/CE la care se adaug elemente noi, cum ar fi
informarea persoanelor vizate cu privire la perioada de stocare a datelor, la dreptul acestora
privind rectificarea i tergerea datelor, precum i la dreptul de a depune o plngere.

1
Adoptat n cadrul Conferinei internaionale a comisarilor pentru protecia datelor i a vieii
private din 5 noiembrie 2009. De asemenea, conform articolului 13 alineatul (3) din propunerea de
regulament privind Legislaia european comun n materie de vnzare [COM (2011) 635 final].

RO 8 RO
3.4.3.3. Seciunea 3 Rectificare i tergere
Articolul 16 prevede, pe baza articolului 12 litera (b) din Directiva 95/46/CE, dreptul
persoanei vizate la rectificarea datelor.
Articolul 17 confer persoanei vizate dreptul de a fi uitat i dreptul la tergerea datelor cu
caracter personal. Articolul dezvolt i descrie dreptul la tergerea datelor prevzut la
articolul 12 litera (b) din Directiva 95/46/CE, stabilind condiiile care stau la baza dreptului
de a fi uitat, inclusiv obligaia operatorului care a fcut publice datele cu caracter personal de
a informa prile tere cu privire la cererea persoanei vizate privind tergea orice linkuri ctre
datele sale cu caracter personal, sau orice copie sau reproducere a acestora. De asemenea,
articolul integreaz dreptul de limitare a prelucrrii datelor n anumite cazuri, evitnd
termenul echivoc de blocare.
Articolul 18 introduce dreptul persoanei vizate la portabilitatea datelor, adic de a transfera
date de la un sistem electronic de procesare la altul, fr a fi mpiedicat de ctre operator s
fac acest lucru. Ca o condiie preliminar i pentru a mbunti n continuare accesul
persoanelor la datele lor cu caracter personal, articolul prevede dreptul de a obine datele
respective din partea operatorului ntr-o form structurat i ntr-un format electronic utilizat
n mod curent.
3.4.3.4. Seciunea 4 - Dreptul la opoziie i crearea de profiluri
Articolul 19 prevede dreptul la opoziie al persoanei vizate. Acesta are la baz articolul 14 din
Directiva 95/46/CE, la care aduce unele modificri, inclusiv n ceea ce privete sarcina probei
i aplicarea acesteia n cazul marketingului direct.
Articolul 20 se refer la dreptul persoanei vizate de a nu fi supus unei msuri bazate pe
crearea de profiluri. Acesta are la baz articolul 15 alineatul (1) din Directiva 95/46 privind
deciziile individuale automatizate, cu unele modificri i garanii suplimentare, lund n
considerare Recomandarea Consiliului Europei referitoare la crearea de profiluri1.

3.4.3.5. Seciunea 5 - Restricii


Articolul 21 precizeaz msura n care Uniunea sau statele membre pot menine sau introduce
restricii cu privire la principiile stabilite la articolul 5 i cu privire la drepturile persoanei
vizate, prevzute la articolele 11 - 20 i la articolul 32. Aceast dispoziie se bazeaz pe
articolul 13 din Directiva 95/46/CE i pe cerinele care deriv din Carta drepturilor
fundamentale a Uniunii Europene i din Convenia european pentru aprarea drepturilor
omului i a libertilor fundamentale, astfel cum au fost interpretate de ctre Curtea de
Justiie a Uniunii Europene i Curtea European a Drepturilor Omului.

3.4.4. CAPITOLUL IV OPERATORUL I PERSOANA MPUTERNICIT DE CTRE


OPERATOR
3.4.4.1. Seciunea 1 Obligaii generale
Articolul 22 ia n considerare dezbaterea privind un principiu al responsabilitii i descrie
n detaliu obligaia operatorului de a respecta dispoziiile prezentului regulament i de a
demonstra acest lucru, inclusiv prin intermediul adoptrii de politici interne i de mecanisme
care s garanteze aceast conformitate.
Articolul 23 stabilete obligaiile operatorului care decurg din principiile privind protecia
datelor ncepnd cu momentul conceperii i protecia implicit a datelor.

1
CM/Rec (2010) 13.

RO 9 RO
Articolul 24 se refer la operatorii asociai i clarific responsabilitile acestora n ceea ce
privete relaiilor lor interne i cele cu persoana vizat.
Articolul 25 prevede obligaia ca, n anumite condiii, operatorii care i au sediul n afara
Uniunii s i desemneze un reprezentant n cadrul Uniunii, n cazul n care regulamentul se
aplic activitilor de prelucrare a datelor desfurate de acetia.
Articolul 26 clarific poziia i obligaiile persoanelor mputernicite de ctre operator,
bazndu-se, n parte, pe articolul 17 alineatul (2) din Directiva 95/46/CE, la care adaug
elemente noi, inclusiv faptul c o persoan mputernicit care prelucreaz date ntr-un alt mod
dect cel prevzut de instruciunile date de operator trebuie considerat ca fiind un operator
asociat.
Articolul 27 privind prelucrarea datelor sub autoritatea operatorului i a persoanei
mputernicite de ctre operator se bazeaz pe articolul 16 din Directiva 95/46/CE.
Articolul 28 introduce obligaia pentru operatori i persoanele mputernicite de ctre operator
de a pstra o documentaie a operaiunilor de prelucrare aflate n responsabilitatea lor, n locul
unei notificri generale a autoritii de supraveghere prevzute la articolul 18 alineatul (1) i
la articolul 19 din Directiva 95/46/CE.
Articolul 29 clarific obligaiile operatorului i ale persoanei mputernicite de operator n ceea
ce privete cooperarea cu autoritatea de supraveghere.
3.4.4.2. Seciunea 2 Securitatea datelor
Articolul 30 prevede, pe baza articolului 17 alineatul (1) din Directiva 95/46/CE, obligaia ca
operatorul i persoana mputernicit de ctre operator s pun n aplicare msurile adecvate
pentru securizarea prelucrrii datelor, extinznd aceast obligaie la persoanele mputernicite
de ctre operator, indiferent de tipul de contract ncheiat cu operatorul.
Articolele 31 i 32 introduc obligaia de a notifica nclcarea securitii datelor cu caracter
personal, care se ntemeiaz pe nclcarea securitii datelor cu caracter personal prevzut la
articolul 4 alineatul (3) din Directiva 2002/58/CE asupra confidenialitii i comunicaiilor
electronice.
3.4.4.3. Seciunea 3 Evaluare a impactului cu privire la protecia datelor i autorizaie
prealabil
Articolul 33 introduce obligaia operatorilor i a persoanelor mputernicite de ctre operator
de a efectua o evaluare a impactului cu privire la protecia datelor naintea desfurrii unor
operaiuni riscante de prelucrare a datelor.
Articolul 34, care dezvolt conceptul de verificare prealabil prevzut la articolul 20 din
Directiva 95/46/CE, se refer la cazurile n care autorizarea de ctre autoritatea de
supraveghere i consultarea acesteia sunt obligatorii nainte de prelucrarea datelor.
3.4.4.4. Seciunea 4 Responsabilul cu protecia datelor
Articolul 35 introduce obligativitatea desemnrii unui responsabilul cu protecia datelor
pentru sectorul public i, n sectorul privat, pentru ntreprinderile mari sau n cazurile n care
activitile principale ale operatorului sau ale persoanei mputernicite de ctre operator
constau n operaiuni de prelucrare a datelor care necesit o monitorizare regulat i
sistematic. Aceast dispoziie are la baz articolul 18 alineatul (2) din Directiva 95/46/CE,
care prevedea posibilitatea ca statele membre s introduc o astfel de cerin n locul cerinei
de notificare general.
Articolul 36 definete funcia de responsabil cu protecia datelor.

RO 10 RO
Articolul 37 prevede sarcinile principale ale responsabilului cu protecia datelor.
3.4.4.5. Seciunea 5 Coduri de conduit i certificare
Articolul 38 se refer la codurile de conduit, bazndu-se pe conceptul de la articolul 27
alineatul (1) din Directiva 95/46/CE i clarific coninutul codurilor i al procedurilor,
mputernicind Comisia s decid asupra validitii generale a codurilor de conduit.
Articolul 39 introduce posibilitatea stabilirii unor mecanisme de certificare, precum i a unor
sigilii i mrci n domeniul proteciei datelor.

3.4.5. TRANSFERUL DATELOR CU CARACTER PERSONAL CTRE RI TERE SAU


ORGANIZAII INTERNAIONALE
Articolul 40 prevede, ca principiu general, c respectarea obligaiilor menionate la acest
capitol este obligatorie pentru orice transferuri de date cu caracter personal ctre ri tere sau
organizaii internaionale, inclusiv transferurile ulterioare.
Articolul 41 stabilete, pe baza articolului 25 din Directiva 95/46/CE, criteriile, condiiile i
procedurile pentru adoptarea de ctre Comisie a unei decizii privind caracterul adecvat al
nivelului de protecie. Criteriile care vor fi luate n considerare n evaluarea efectuat de
Comisie cu privire la gradul de adecvare al nivelului de protecie includ, n mod explicit,
respectarea statului de drept, accesul la justiie i controlul independent. n forma actual,
articolul confirm n mod explicit posibilitatea Comisiei de a evalua nivelul de protecie
asigurat de un teritoriu sau de un sector de prelucrare a datelor dintr-o ar ter.
Articolul 42 prevede ca transferurile ctre rile tere, cu privire la care Comisia nu a adoptat
o decizie privind caracterul adecvat al nivelului de protecie, s prezinte garanii
corespunztoare, n special clauze standard de protecie a datelor, reguli corporatiste
obligatorii i clauze contractuale. Posibilitatea de a face uz de clauzele standard ale Comisiei
de protecie a datelor se bazeaz pe articolul 26 alineatul (4) din Directiva 95/46/CE. Ca
element de noutate, n prezent, astfel de clauze standard de protecie a datelor ar putea fi, de
asemenea, adoptate de o autoritate de supraveghere i declarate ca fiind general valabile de
ctre Comisie. n prezent, regulile corporatiste obligatorii sunt menionate n mod specific n
textul legislativ. Opiunea privind clauzele contractuale ofer o anumit flexibilitate
operatorului sau persoanei mputernicite de operator, sub rezerva autorizrii prealabile de
ctre autoritile de supraveghere.
Articolul 43 descrie mai detaliat condiiile aplicabile transferurilor n baza regulilor
corporatiste obligatorii, n temeiul practicilor i cerinelor actuale ale autoritilor de
supraveghere.
Articolul 44 definete i clarific, pe baza dispoziiilor existente la articolul 26 din
Directiva 95/46/CE, derogrile aplicabile n cazul realizrii unui transfer de date. Aceast
dispoziie se aplic, n special, transferurilor de date solicitate i necesare din motive
importante, de interes public, de exemplu n cazul transferurilor internaionale de date ntre
autoritile de concuren, administraiile fiscale sau vamale sau ntre servicii competente n
materie de securitate social sau de gestionare a pescuitului. n plus, un transfer de date poate,
n situaii limitate, s fie justificat de un interes legitim al operatorului sau al persoanei
mputernicite de ctre operator, dar numai dup evaluarea i documentarea circumstanelor
operaiunii de transfer respective.
Articolul 45 prevede n mod explicit elaborarea unor mecanisme de cooperare internaional
privind protecia datelor cu caracter personal ntre Comisie i autoritile de supraveghere din
rile tere, n special cele considerate ca asigurnd un nivel de protecie adecvat, lund n
considerare recomandarea Organizaiei pentru Cooperare i Dezvoltare Economic (OCDE)

RO 11 RO
privind cooperarea transfrontalier n aplicarea legislaiei privind protejarea confidenialitii
din 12 iunie 2007.
3.4.6. CAPITOLUL VI - AUTORITI INDEPENDENTE DE SUPRAVEGHERE
3.4.6.1. Seciunea 1 Statut independent
Articolul 46 prevede, pe baza articolului 28 alineatul (1) din Directiva 95/46/CE, obligaia ca
statele membre s instituie autoriti de supraveghere, extinznd sfera de aplicare a misiunilor
acestora astfel nct s cuprind cooperarea ntre ele i cooperarea cu Comisia.
Articolul 47 clarific condiiile de garantare a independenei autoritilor de supraveghere,
prin aplicarea jurisprudenei Curii de Justiie a Uniunii Europene1 i, de asemenea,
inspirndu-se din articolul 44 din Regulamentul (CE) nr. 45/20012.
Articolul 48 prevede condiiile generale aplicabile membrilor autoritii de supraveghere, prin
aplicarea jurisprudenei relevante3 i, de asemenea, inspirndu-se din articolul 42
alineatele (2) - (6) din Regulamentul (CE) nr. 45/2001.
Articolul 49 prezint normele privind instituirea autoritii de supraveghere, pe care statele
membre trebuie s le prevad pe cale legislativ.
Articolul 50 prevede dispoziiile privind secretul profesional aplicabile membrilor i
personalului autoritii de supraveghere, acestea fiind bazate pe articolul 28 alineatul (7) din
Directiva 95/46/CE.
3.4.6.2. Seciunea 2 Atribuii i competene
Articolul 51 definete competena autoritilor de supraveghere. Regula general, bazat pe
articolul 28 alineatul (6) din Directiva 95/46/CE (competena pe teritoriul propriului stat
membru), este completat de ctre o nou competen, cea de autoritate principal, n cazul n
care acelai operator sau aceeai persoan mputernicit de ctre operator este numit n mai
multe state membre pentru a se asigura o aplicare uniform (ghieu unic). Atunci cnd
acioneaz n capacitatea lor judiciar, instanele sunt scutite de obligativitatea controlului de
ctre autoritatea de supraveghere, ns nu de aplicarea normelor de fond n materie de
protecie a datelor.
Articolul 52 prevede atribuiile autoritii de supraveghere, inclusiv audierea i examinarea
plngerilor, precum i sensibilizarea publicului cu privire la riscurile, normele, garaniile i
drepturile cu privire la prelucrarea datelor cu caracter personal.
Articolul 53 prevede funciile autoritii de supraveghere, bazndu-se parial pe articolul 28
alineatul (3) din Directiva 95/46/CE i pe articolul 47 din Regulamentul (CE) nr. 45/2001, la
care adaug unele elemente noi, inclusiv funcia de a sanciona infraciunile administrative.
Articolul 54 prevede, pe baza articolului 28 alineatul (5) din Directiva 95/46/CE, obligaia ca
autoritile de supraveghere s elaboreze rapoarte anuale de activitate.

1
Curtea de Justiie a UE, hotrrea din 9.3.2010, Comisia/Germania, cauza C-518/07, ECR
2010 p. I1885.
2
Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie
2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre
instituiile i organele comunitare i privind libera circulaie a acestor date; JO L 008, 12.1.2001, p. 1.
3
Op. cit, nota de subsol 34.

RO 12 RO
3.4.7. CAPITOLUL VII COOPERARE I COEREN
3.4.7.1. Seciunea 1 Cooperarea
Articolul 55 introduce, pe baza articolului 28 alineatul (6) al doilea paragraf din
Directiva 95/46/CE, norme explicite privind asistena reciproc obligatorie, inclusiv
sanciunile n cazul nerespectrii unei solicitri din partea altei autoriti de supraveghere.
Articolul 56 introduce, pe baza articolului 17 din Decizia 2008/615/JAI1, norme privind
operaiunile comune, inclusiv dreptul autoritilor de supraveghere de a participa la astfel de
operaiuni.
3.4.7.2. Seciunea 2 Coerena
Articolul 57 introduce un mecanism pentru asigurarea coerenei n scopul aplicrii uniforme a
operaiunilor de prelucrare a datelor referitoare la persoane vizate n mai multe state membre.
Articolul 58 stabilete procedurile i condiiile pentru solicitarea unui aviz al Comitetului
european pentru protecia datelor.
Articolul 59 se refer la avizele Comisiei privind aspecte abordate n cadrul mecanismului
pentru asigurarea coerenei, care pot fie s confirme avizul Comitetului european pentru
protecia datelor, fie s fie contrare acestui aviz, i privind proiectul de msuri transmis de
autoritatea de supraveghere. n cazul n care chestiunea a fost ridicat de ctre Comitetul
european pentru protecia datelor, n conformitate cu articolul 58 alineatul (3), Comisia este
susceptibil s-i exercite puterea de apreciere i s emit un aviz ori de cte ori este necesar.
Articolul 60 se refer la deciziile Comisiei prin care se solicit autoritii competente s i
suspende proiectul de msuri n cazul n care acest lucru este necesar pentru a se asigura
aplicarea corect a prezentului regulament.
Articolul 61 prevede posibilitatea adoptrii de msuri provizorii pe baza unei proceduri de
urgen.
Articolul 62 definete cerinele privind adoptarea actelor de punere n aplicare ale Comisie n
cadrul mecanismului pentru asigurarea coerenei.
Articolul 63 prevede obligativitatea aplicrii msurilor prevzute de o autoritate de
supraveghere n toate statele membre n cauz, preciznd c aplicarea mecanismului pentru
asigurarea coerenei este o condiie prealabil pentru valabilitatea juridic i aplicarea msurii
respective.

3.4.7.3. Seciunea 3 Comitetul european pentru protecia datelor


Articolul 64 instituie Comitetul european pentru protecia datelor, compus din efii
autoritilor de supraveghere din fiecare stat membru i cei ai Autoritii Europene pentru
Protecia Datelor. Comitetul european pentru protecia datelor nlocuiete Grupul de lucru
pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter personal,
nfiinat n temeiul articolului 29 din Directiva 95/46/CE. Articolul clarific faptul c, n ceea
ce privete Comisia, aceasta nu este membr a Comitetului european pentru protecia datelor,
ns are dreptul de a participa la activitile acestuia i de a fi reprezentat n cadrul su.
Articolul 65 subliniaz i clarific independena Comitetului european pentru protecia
datelor.

1
Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperrii
transfrontaliere, n special n domeniul combaterii terorismului i a criminalitii transfrontaliere, JO L
210, 6.8.2008, p. 1.

RO 13 RO
Articolul 66 descrie, pe baza articolului 30 alineatul (1) din Directiva 95/46/CE, sarcinile
Comitetului european pentru protecia datelor i prevede elemente suplimentare care reflect
extinderea domeniului de activitate al Comitetului att n interiorul, ct i n afara Uniunii.
Articolul prevede faptul c, pentru a fi capabil s reacioneze n situaii de urgen, Comisia
are posibilitatea de a solicita un aviz ntr-un anumit termen.
Articolul 67 prevede, pe baza articolului 30 alineatul (6) din Directiva 95/46/CE, obligaia
Comitetului european pentru protecia datelor de a prezenta un raport anual cu privire la
activitile sale.
Articolul 68 stabilete procedurile de luare a deciziilor aplicate de Comitetul european pentru
protecia datelor, inclusiv obligaia acestuia de a adopta un regulament de procedur care ar
trebui s cuprind i mecanismele sale de funcionare.
Articolul 69 cuprinde dispoziiile privind preedintele i vicepreedinii Comitetului
european pentru protecia datelor.
Articolul 70 stabilete sarcinile preedintelui.
Articolul 71 prevede c secretariatul Comitetului european pentru protecia datelor trebuie s
fie asigurat de Autoritatea European pentru Protecia Datelor i precizeaz sarcinile
secretariatului.
Articolul 72 prezint normele privind confidenialitatea.
3.4.8. CAPITOLUL VIII CI DE ATAC, RSPUNDERE I SANCIUNI
Articolul 73 prevede, pe baza articolului 28 alineatul (4) din Directiva 95/46/CE, dreptul
oricrei persoane vizate de a depune o plngere la o autoritate de supraveghere. De asemenea,
acesta specific organismele, organizaiile sau asociaiile care pot depune o plngere n
numele persoanelor vizate sau, n cazul unei nclcri a securitii datelor cu caracter
personal, independent de o plngere naintat de o persoan vizat.
Articolul 74 se refer la dreptul de a exercita o cale de atac mpotriva unei autoriti de
supraveghere. Acesta se bazeaz pe dispoziia cu caracter general prevzut la articolul 28
alineatul (3) din Directiva 95/46/CE. Articolul 74 prevede, n special, o cale de atac care s
oblige autoritatea de supraveghere s acioneze ca urmare a unei plngeri i clarific
competena instanelor din statul membru n care este stabilit autoritatea de supraveghere. De
asemenea, prevede posibilitatea autoritii de supraveghere din statul membru n care
persoana vizat i are reedina de a introduce aciuni, n numele persoanelor vizate, n faa
instanelor unui alt stat membru n care este stabilit autoritatea de supraveghere.
Articolul 75 se refer la dreptul de a exercita o cale de atac mpotriva unui operator sau unei
persoane mputernicite de ctre operator, pe baza articolului 22 din Directiva 95/46/CE, i
prevede opiunea de a se adresa instanelor din statul membru n care prtul i are reedina
sau din statul membru n care i are reedina persoana vizat. n cazul n care o procedur
privind aceeai chestiune este n curs de examinare n cadrul mecanismului pentru asigurarea
coerenei, instana i poate suspenda procedurile, cu excepia cazurilor de urgen.
Articolul 76 prevede norme comune aplicabile aciunilor n instan, inclusiv dreptul
organismelor, organizaiilor sau asociaiilor de a reprezenta persoanele vizate n faa
instanelor, dreptul autoritilor de supraveghere de a aciona n justiie i obligativitatea
informrii instanelor cu privire la procedurile paralele n alt stat membru, precum i

RO 14 RO
posibilitatea ca, n acest caz, instanele s suspende procedura1. Este prevzut obligaia
statelor membre de a asigura o soluionare rapid a aciunilor n justiie2.
Articolul 77 descrie dreptul la despgubiri i rspunderea. Acesta se bazeaz pe articolul 23
din Directiva 95/46/CE, extinznd acest drept pentru a cuprinde prejudiciile cauzate de
operatori i clarific responsabilitatea operatorilor asociai i a persoanelor mputernicite de
ctre operator.
Articolul 78 prevede obligaia ca statele membre s stabileasc norme referitoare la
sanciunile aplicabile n cazul nclcrii dispoziiilor regulamentului i s se asigure c
acestea sunt puse n aplicare.
Articolul 79 prevede obligaia tuturor autoritilor de supraveghere de a sanciona
infraciunile administrative enumerate n cadrul articolului, prin impunerea de amenzi pn la
o anumit valoare maxim, innd cont de circumstanele fiecrui caz n parte.

3.4.9. CAPITOLUL IX - DISPOZIII REFERITOARE LA SITUAII SPECIFICE DE


PRELUCRARE A DATELOR
Articolul 80 prevede obligaia statelor membre de a pune n practic excepii i derogri de la
anumite dispoziii ale regulamentului n cazul n care acestea sunt necesare pentru a crea un
echilibru ntre dreptul la protecia datelor cu caracter personal i dreptul la libertatea de
exprimare. Acesta se bazeaz pe articolul 9 din Directiva 95/46/CE, astfel cum a fost
interpretat de Curtea de Justiie a UE3.
Articolul 81 prevede obligaia statelor membre ca, pe lng condiiile pentru categoriile
speciale de date, s asigure msuri de protecie specifice n cazul prelucrrii datelor n scopuri
medicale.
Articolul 82 autorizeaz statele membre s adopte legi specifice privind prelucrarea datelor cu
caracter personal n contextul ocuprii unui loc de munc.
Articolul 83 prevede condiii specifice pentru prelucrarea datelor cu caracter personal n
scopuri de cercetare istoric, statistic i tiinific.
Articolul 84 autorizeaz statele membre s adopte norme specifice privind accesul
autoritilor de supraveghere la datele cu caracter personal i n incintele unor entiti, n
cazul n care operatorii sunt supui obligaiei de pstrare a confidenialitii.
Articolul 85 autorizeaz bisericile, n temeiul articolului 17 din Tratatul privind funcionarea
Uniunii Europene, s aplice n continuare normele cuprinztoare existente n materie de
protecie a datelor, dac acestea sunt n conformitate cu prezentul regulament.
3.4.10. CAPITOLUL X ACTE DELEGATE I ACTE DE PUNERE N APLICARE
Articolul 86 conine dispoziiile standard privind exercitarea delegrii n conformitate cu
articolul 290 din TFUE. Acesta din urm autorizeaz legiuitorul s delege Comisiei
1
Pe baza articolului 5 alineatul (1) din Decizia-cadru 2009/948/JAI a Consiliului din 30
noiembrie 2009 privind prevenirea i soluionarea conflictelor referitoare la exercitarea competenei n
cadrul procedurilor penale, JO L 328, 15/12/2009, p. 42 i a articolului 13 alineatul (1) din
Regulamentul (CE) nr. 1/2003 al Consiliului din 16 decembrie 2002 privind punerea n aplicare a
normelor de concuren prevzute la articolele 81 i 82 din tratat, JO L 1, 4.1.2003, p. 1.
2
Pe baza articolului 18 alineatul (1) din Directiva 2000/31/CE a Parlamentului European i a
Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societii informaionale, n
special ale comerului electronic, pe piaa intern (directiva privind comerul electronic) (JO L 178,
17.7.2000, p. 1).
3
n ceea ce privete interpretarea Curii de Justiie a UE, a se vedea, de exemplu, hotrrea din
16 decembrie 2008 n cauza Satakunnan Markkinaprssi i Satamedia (C-73/07, Culegere 2008, p. I-
9831).

RO 15 RO
competena de a adopta acte fr caracter legislativ cu domeniu de aplicare general, care
completeaz sau modific anumite elemente neeseniale ale unui act legislativ (acte
cvasilegislative).
Articolul 87 cuprinde dispoziii privind procedura comitetului necesar pentru a acorda
Comisiei competene de executare, n cazurile n care, n conformitate cu articolul 291 din
TFUE, sunt necesare condiii uniforme de punere n aplicare a actelor obligatorii din punct de
vedere juridic ale Uniunii. n acest caz, este aplicabil procedura de examinare.

3.4.11. CAPITOLUL XI - DISPOZIII FINALE


Articolul 88 abrog Directiva 95/46/CEE.
Articolul 89 ofer clarificri cu privire la relaia cu Directiva 2002/58/CE asupra
confidenialitii i comunicaiilor electronice, aducndu-i o serie de modificri.
Articolul 90 prevede obligaia Comisiei de a evalua regulamentul i de a prezenta rapoarte
conexe.
Articolul 91 stabilete data intrrii n vigoare a regulamentului i definete o etap de
tranziie n ceea ce privete data aplicrii acestuia.

4. IMPLICAIILE BUGETARE
Implicaiile bugetare specifice ale propunerii se refer la sarcinile atribuite Autoritii
Europene pentru Protecia Datelor, astfel cum se specific n fia financiar legislativ care
nsoete prezenta propunere. Aceste implicaii necesit reprogramarea rubricii 5 din cadrul
financiar multianual.
Propunerea nu are implicaii asupra cheltuielilor operaionale.
Fia financiar legislativ care nsoete prezenta propunere de regulament vizeaz
implicaiile bugetare pentru regulamentul n sine i pentru Directiva privind protecia datelor
n domeniul poliienesc i judiciar.

RO 16 RO
2012/0011 (COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN I AL CONSILIULUI

privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal


i libera circulaie a acestor date (Regulament general privind protecia datelor)

(Text cu relevan pentru SEE)

PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE,


avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 16
alineatul (2) i articolul 114 alineatul (1),
avnd n vedere propunerea Comisiei Europene,
dup transmiterea proiectului de act legislativ ctre parlamentele naionale,
avnd n vedere avizul Comitetului Economic i Social European1,
dup consultarea Autoritii Europene pentru Protecia Datelor2,
hotrnd n conformitate cu procedura legislativ ordinar,
ntruct:
(1) Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal
este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale
a Uniunii Europene i articolul 16 alineatul (1) din tratat prevd c orice persoan are
dreptul la protecia datelor cu caracter personal care o privesc.
(2) Prelucrarea datelor cu caracter personal este n serviciul ceteanului; principiile i
normele privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter
personal ar trebui, indiferent de cetenia sau de locul de reedin al persoanelor
fizice, s respecte drepturile i libertile fundamentale ale acestora, n special dreptul
la protecia datelor cu caracter personal. Aceasta ar trebui s contribuie la realizarea
unui spaiu de libertate, securitate i justiie i a unei uniuni economice, la progresul
economic i social, la consolidarea i convergena economiilor n cadrul pieei interne
i la bunstarea persoanelor fizice.
(3) Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995
privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter
personal i libera circulaie a acestor date3 vizeaz armonizarea nivelului de protecie
a drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete
activitile de prelucrare i garantarea liberei circulaii a datelor cu caracter personal
ntre statele membre.
(4) Integrarea economic i social care rezult din funcionarea pieei interne a condus la
o cretere substanial a fluxurilor transfrontaliere. Schimbul de date ntre actorii
economici i sociali, publici i privai s-a intensificat n ntreaga Uniune. Conform
1
JO C , , p. .
2
JO C , , p. .
3
JO L 281, 23.11.1995, p. 31.

RO 17 RO
dreptului Uniunii, autoritile naionale sunt chemate s coopereze i s fac schimb
de date cu caracter personal pentru a putea s i ndeplineasc atribuiile sau s
execute sarcini n numele unei autoriti ntr-un alt stat membru.
(5) Evoluiile tehnologice rapide i globalizarea au generat noi provocri pentru protecia
datelor cu caracter personal. Amploarea schimbului i a colectrii de date a crescut
spectaculos. Tehnologia permite att societilor private, ct i autoritilor publice s
utilizeze date cu caracter personal la un nivel fr precedent n cadrul activitilor lor.
Din ce n ce mai multe persoane fizice fac publice la nivel mondial informaii cu
caracter personal. Tehnologia a transformat deopotriv economia i viaa social i
necesit facilitarea n continuare a liberei circulaii a datelor n cadrul Uniunii i a
transferului ctre ri tere i organizaii internaionale, asigurnd, totodat, un nivel
ridicat de protecie a datelor cu caracter personal.
(6) Aceste evoluii impun construirea unui cadru solid i mai coerent n materie de
protecie a datelor n Uniune, nsoit de o aplicare riguroas a normelor, lund n
considerare importana crerii unui climat de ncredere care va permite economiei
digitale s se dezvolte pe piaa intern. Persoanele fizice ar trebui s aib control
asupra propriilor date cu caracter personal, iar securitatea juridic i practic pentru
persoane fizice, operatori economici i autoriti publice ar trebui s fie consolidat.
(7) Obiectivele i principiile Directivei 95/46/CE rmn solide, dar aceasta nu a prevenit
fragmentarea modului n care protecia datelor este pus n aplicare n Uniune,
incertitudinea juridic i percepia public larg rspndit conform creia exist riscuri
semnificative pentru protecia persoanelor fizice care au legtur, n special, cu
activitatea online. Diferenele dintre nivelurile de protecie a drepturilor i libertilor
persoanelor fizice, n special a dreptului la protecia datelor cu caracter personal, n
ceea ce privete prelucrarea datelor cu caracter personal permis n statele membre pot
mpiedica libera circulaie a datelor cu caracter personal n ntreaga Uniune. Aceste
diferene pot constitui, prin urmare, un obstacol n desfurarea de activiti
economice la nivelul Uniunii, pot denatura concurena i pot mpiedica autoritile s
ndeplineasc responsabilitile care le revin n temeiul dreptului Uniunii. Aceast
diferen ntre nivelurile de protecie este cauzat de existena unor deosebiri n ceea
ce privete transpunerea i aplicarea Directivei 95/46/CE.
(8) Pentru a se asigura un nivel consecvent i ridicat de protecie a persoanelor fizice i
pentru a se ndeprta obstacolele din calea circulaiei datelor cu caracter personal,
nivelul proteciei drepturilor i libertilor persoanelor fizice n ceea ce privete
prelucrarea unor astfel de date trebuie s fie echivalent n toate statele membre.
Aplicarea consecvent i omogen a normelor n materie de protecie a drepturilor i
libertilor fundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor
cu caracter personal ar trebui s fie asigurat n ntreaga Uniune.
(9) Protecia efectiv a datelor cu caracter personal n ntreaga Uniune necesit nu numai
consolidarea i detalierea drepturilor persoanelor vizate i a obligaiilor celor care
prelucreaz i decid prelucrarea datelor cu caracter personal, ci i competene
echivalente pentru monitorizarea i asigurarea conformitii cu normele de protecie a
datelor cu caracter personal i sanciuni echivalente pentru autorii infraciunilor n
statele membre.
(10) Articolul 16 alineatul (2) din tratat mandateaz Parlamentul European i Consiliul s
stabileasc normele privind protecia persoanelor fizice referitor la prelucrarea datelor
cu caracter personal, precum i normele privind libera circulaie a acestor date.

RO 18 RO
(11) n vederea asigurrii unui nivel uniform de protecie pentru persoanele fizice n
ntreaga Uniune i a prentmpinrii discrepanelor care mpiedic libera circulaie a
datelor n cadrul pieei interne, este necesar un regulament n scopul de a furniza
securitate juridic i transparen pentru operatorii economici, inclusiv
microntreprinderile i ntreprinderile mici i mijlocii, precum i de a oferi
persoanelor fizice n toate statele membre acelai nivel de drepturi garantate din punct
de vedere juridic, de obligaii i de responsabiliti pentru operatori i persoanele
mputernicite de acetia, pentru a se asigura o monitorizare coerent a prelucrrii
datelor cu caracter personal, sanciuni echivalente n toate statele membre, precum i
cooperarea efectiv a autoritilor de supraveghere ale diferitelor state membre. Pentru
a se lua n considerare situaia specific a microntreprinderilor i a ntreprinderilor
mici i mijlocii, prezentul regulament include mai multe derogri. n plus, instituiile
i organismele Uniunii, statele membre i autoritile lor de supraveghere sunt
ncurajate s ia n considerare necesitile specifice ale microntreprinderilor i ale
ntreprinderilor mici i mijlocii n aplicarea prezentului regulament. Noiunea de
microntreprinderi i de ntreprinderi mici i mijlocii ar trebui s se bazeze pe
Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea
microntreprinderilor i a ntreprinderilor mici i mijlocii.
(12) Protecia conferit de prezentul regulament vizeaz persoanele fizice, indiferent de
cetenia sau de locul de reedin al acestora, n ceea ce privete prelucrarea datelor
cu caracter personal. Referitor la prelucrarea datelor care privesc persoane juridice i,
n special, ntreprinderi cu personalitate juridic, inclusiv numele i tipul de persoan
juridic i detaliile de contact ale persoanei juridice, protecia conferit de prezentul
regulament nu ar trebui s poat fi invocat de nicio persoan. Aceasta ar trebui s se
aplice, de asemenea, n cazul n care numele persoanei juridice conine numele uneia
sau mai multor persoane fizice.
(13) Protecia persoanelor fizice ar trebui s fie neutr din punct de vedere tehnologic i s
nu depind de tehnicile utilizate, n caz contrar, crendu-se un risc serios de eludare.
Protecia persoanelor fizice ar trebui s se aplice prelucrrii datelor cu caracter
personal prin mijloace automate, precum i prelucrrii manuale, n cazul n care datele
sunt cuprinse sau destinate s fie cuprinse ntr-un sistem de eviden. Dosarele sau
seturile de dosare, precum i copertele acestora, care nu sunt structurate n
conformitate cu criterii specifice, nu ar trebui s intre n domeniul de aplicare a
prezentului regulament.
(14) Prezentul regulament nu se refer nici la chestiuni de protecie a drepturilor i
libertilor fundamentale, nici la libera circulaie a datelor referitoare la activiti care
nu intr n domeniul de aplicare a dreptului Uniunii, nici la prelucrarea datelor cu
caracter personal de ctre instituiile, organismele, oficiile i ageniile Uniunii, care
fac obiectul Regulamentului (CE) nr. 45/20011, i nici la prelucrarea datelor cu
caracter personal de ctre statele membre atunci cnd desfoar activiti legate de
politica extern i de securitate comun a Uniunii.
(15) Prezentul regulament nu ar trebui s se aplice prelucrrii datelor cu caracter personal
de ctre o persoan fizic, care sunt exclusiv personale sau casnice, cum ar fi
corespondena i repertoriul de adrese, fr niciun scop lucrativ i, prin urmare, fr
nicio legtur cu o activitate profesional sau comercial. Exceptarea ar trebui, de
asemenea, s nu aplice operatorilor sau persoanelor mputernicite de ctre operatori
care furnizeaz mijloacele de prelucrare a datelor cu caracter personal pentru astfel de
activiti personale sau casnice.
1
JO L 8, 12.1.2001, p. 1.

RO 19 RO
(16) Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal
de ctre autoritile competente n scopul prevenirii, identificrii, investigrii sau
urmririi penale a infraciunilor sau al executrii pedepselor i libera circulaie a
acestor date fac obiectul unui instrument juridic specific la nivelul Uniunii. Prin
urmare, prezentul regulament nu ar trebui s se aplice activitilor de prelucrare n
aceste scopuri. Cu toate acestea, datele prelucrate de ctre autoritile publice n
temeiul prezentului regulament, n cazul n care sunt utilizate n scopul prevenirii,
identificrii, investigrii sau urmririi penale a infraciunilor sau al executrii
pedepselor ar trebui s fie reglementate de un instrument juridic mai specific la nivelul
Uniunii (Directiva XX/YYY).
(17) Prezentul regulament nu ar trebui s aduc atingere aplicrii Directivei 2000/31/CE, n
special normelor privind rspunderea furnizorilor intermediari de servicii prevzute la
articolele 12 - 15 din directiva menionat.
(18) Prezentul regulament permite luarea n considerare a principiului accesului publicului
la documente oficiale, n aplicarea dispoziiilor prevzute de acesta.
(19) Orice prelucrare n Uniune a datelor cu caracter personal n cadrul activitilor unui
sediu al unui operator sau al unei persoane mputernicite de ctre operator ar trebui
efectuat n conformitate cu prezentul regulament, indiferent dac procesul de
prelucrare n sine are loc sau nu n cadrul Uniunii. Stabilirea implic exercitarea
efectiv i real a unei activiti n cadrul unor nelegeri stabile. Forma juridic a
unor astfel de nelegeri, prin intermediul unei sucursale sau al unei filiale cu
personalitate juridic, nu este factorul determinant n aceast privin.
(20) Pentru a se asigura c persoanele fizice nu sunt lipsite de protecia la care au dreptul n
temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale
persoanelor vizate care i au reedina n Uniune de ctre un operator care nu este
stabilit n Uniune ar trebui s fac obiectul prezentului regulament n cazul n care
activitile de prelucrare au legtur cu oferirea de bunuri sau servicii unor astfel de
persoane vizate sau cu monitorizarea comportamentului acestor persoane vizate.
(21) Pentru a se determina dac o activitate de prelucrare poate fi considerat ca
monitorizare a comportamentului persoanelor vizate, ar trebui s se analizeze dac
persoanele fizice sunt urmrite pe internet cu tehnici de prelucrare a datelor care
constau n aplicarea unui profil unei persoane fizice, n special n scopul de a lua
decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la
preferinele personale, comportamentele i atitudinile acesteia.
(22) n cazul n care legislaia naional a unui stat membru se aplic n temeiul dreptului
internaional public, prezentul regulament ar trebui s se aplice, de asemenea, unui
operator care nu este stabilit n Uniune, ci, de exemplu, ntr-o misiune diplomatic sau
ntr-un oficiu consular al unui stat membru.
(23) Principiile proteciei ar trebui s se aplice oricrei informaii referitoare la o persoan
identificat sau identificabil. Pentru a se determina dac o persoan este
identificabil, ar trebui s se ia n considerare toate mijloacele care pot fi utilizate n
mod rezonabil fie de ctre operator, fie de ctre orice alt persoan n scopul
identificrii persoanei fizice respective. Principiile proteciei datelor nu ar trebui s se
aplice datelor anonimizate astfel nct persoana vizat s nu mai fie identificabil.
(24) Atunci cnd utilizeaz servicii online, persoanele fizice pot fi asociate cu identificatorii
online furnizai de dispozitivele, aplicaiile, instrumentele i protocoalele lor, cum ar
fi adresele IP sau identificatorii cookie. Acetia pot lsa urme care, combinate cu

RO 20 RO
identificatorii unici i alte informaii primite de servere, pot fi utilizate pentru crearea
de profiluri ale persoanelor fizice i pentru identificarea lor. Prin urmare, numerele de
identificare, datele de localizare, identificatorii online sau ali factori specifici nu
trebuie neaprat s fie considerai ca atare date cu caracter personal n toate
circumstanele.
(25) Consimmntul ar trebui acordat n mod explicit prin orice metod corespunztoare
care permite manifestarea liber, specific i informat a voinei persoanei vizate, fie
printr-o declaraie sau printr-un act neechivoc al acesteia, asigurndu-se c persoana
fizic este contient de faptul c i d consimmntul pentru prelucrarea datelor cu
caracter personal, inclusiv prin bifarea unei csue atunci cnd viziteaz un site
internet sau prin orice alt declaraie sau aciune care indic n mod clar n acest
context acceptarea de ctre persoana vizat a prelucrrii propuse a datelor sale cu
caracter personal. Prin urmare, absena unui rspuns sau a unei aciuni nu ar trebui s
constituie un consimmnt. Consimmntul ar trebui s vizeze toate activitile de
prelucrare efectuate n acelai scop sau n aceleai scopuri. n cazul n care
consimmntul persoanei vizate trebuie acordat n urma unei cereri electronice,
aceasta trebuie s fie clar i concis i s nu perturbe n mod inutil utilizarea
serviciului pentru care se acord consimmntul.
(26) Datele cu caracter personal referitoare la sntate ar trebui s includ, n special, toate
datele avnd legtur cu starea de sntate a persoanei vizate; informaii privind
nscrierea persoanei fizice pentru acordarea de servicii medicale; informaii privind
plile pentru asisten medical efectuate de persoana fizic sau privind eligibilitatea
acesteia pentru acordarea de asisten medical; un numr, simbol sau semn distinctiv
atribuit unei persoane fizice pentru identificarea unic a acesteia n scopuri medicale;
orice informaii privind persoana fizic respectiv colectate n cadrul furnizrii de
servicii de sntate pentru aceasta; informaii rezultate din testarea sau examinarea
unei pri a corpului sau a unei substane corporale, inclusiv eantioane de material
biologic; identificarea unei persoane ca furnizor de asisten medical pentru persoana
fizic respectiv sau orice informaii privind, de exemplu, o boal, un handicap, un
risc de mbolnvire, un tratament clinic sau o boal, istoricul medical, tratamentul
clinic sau starea psihologic sau biomedical efectiv a persoanei vizate, indiferent de
sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un
dispozitiv medical sau un test de diagnostic in vitro.
(27) Sediul principal al unui operator n Uniune ar trebui s fie determinat conform unor
criterii obiective i ar trebui s implice exercitarea efectiv i real a unor activiti de
gestionare care s determine principalele decizii cu privire la scopurile, condiiile i
mijloacele de prelucrare n cadrul unor nelegeri stabile. Acest criteriu nu ar trebui s
depind de realizarea efectiv a prelucrrii datelor cu caracter personal n locul
respectiv; prezena i utilizarea mijloacelor tehnice i a tehnologiilor de prelucrare a
datelor cu caracter personal sau activitile de prelucrare nu constituie, n sine, un
astfel de sediu principal i, prin urmare, nu sunt criteriul determinant n acest sens.
Sediul principal al persoanei mputernicite de ctre operator ar trebui s fie locul n
care se afl administraia central a acestuia n Uniune.
(28) Un grup de ntreprinderi ar trebui cuprind o ntreprindere care exercit controlul i
ntreprinderile controlate de aceasta, n cadrul cruia ntreprinderea care exercit
controlul ar trebui s fie ntreprinderea care poate exercita o influen dominant
asupra celorlalte ntreprinderi, de exemplu, n temeiul proprietii, al participrii
financiare sau al regulilor care o reglementeaz sau al competenei de a pune n
aplicare normele n materie de protecie a datelor cu caracter personal.

RO 21 RO
(29) Copii au nevoie de o protecie specific a datelor lor cu caracter personal, ntruct pot
fi mai puin contieni de riscurile, consecinele, garaniile i drepturile lor n ceea ce
privete prelucrarea datelor cu caracter personal. Pentru a se determina condiiile n
care o persoan fizic este minor, prezentul regulament ar trebui s preia definiia
stabilit n Convenia Organizaiei Naiunilor Unite privind drepturile copilului.
(30) Orice prelucrare a datelor cu caracter personal ar trebui s fie legal, echitabil i
transparent n raport cu persoanele fizice vizate. n special, scopurile specifice n care
datele sunt prelucrate ar trebui s fie explicite i legitime i s fie determinate la
momentul colectrii datelor. Datele ar trebui s fie adecvate, relevante i limitate la
minimum necesar scopurilor n care datele sunt prelucrate; aceasta necesit, n special,
asigurarea faptului c datele colectate nu sunt excesive i c perioada pentru care
datele sunt stocate este limitat strict la minimum. Datele cu caracter personal ar trebui
prelucrate doar n cazul n care scopul prelucrrii nu ar putea fi ndeplinit prin alte
mijloace. Ar trebui s fie luate toate msurile rezonabile pentru a se asigura c datele
cu caracter personal care sunt inexacte sunt rectificate sau terse. n vederea asigurrii
faptului c datele nu sunt pstrate mai mult timp dect este necesar, ar trebui s se
stabileasc de ctre operator termene pentru tergere sau revizuire periodic.
(31) Pentru ca prelucrarea datelor cu caracter personal s fie legal, aceasta ar trebui
efectuat pe baza consimmntului persoanei n cauz sau n temeiul unui alt motiv
legitim, prevzut de lege, fie n prezentul regulament, fie n alt act legislativ al Uniunii
sau al statului membru la care se face referire n prezentul regulament.
(32) n cazul n care prelucrarea se bazeaz pe consimmntul persoanei vizate, sarcina
probei cu privire la faptul c persoana vizat i-a dat consimmntul pentru
operaiunea de prelucrare i revine operatorului. n special, n contextul unei declaraii
scrise cu privire la un alt aspect, garaniile ar trebui s asigure c persoana vizat este
contient de faptul c i-a dat consimmntul i n ce msur a fcut acest lucru.
(33) Pentru a se asigura consimmntul liber, ar trebui s se precizeze c un consimmnt
nu constituie un temei juridic valabil n cazul n care persoana fizic nu dispune cu
adevrat de libertatea de a alegere i ulterior nu poate s refuze sau s i retrag
consimmntul fr a fi prejudiciat.
(34) Consimmntul nu ar trebui s constituie un temei juridic valabil pentru prelucrarea
datelor cu caracter personal n cazul n care exist un dezechilibru evident ntre
persoana vizat i operator. Acest lucru este valabil, n special, atunci cnd persoana
vizat se afl ntr-o situaie de dependen n raport cu operatorul, printre altele, n
cazul n care datele cu caracter personal ale angajailor sunt prelucrate de ctre
angajator n contextul ocuprii unui loc de munc. n cazul n care operatorul este o
autoritate public, nu ar exista un dezechilibru dect n ceea ce privete operaiuni
specifice de prelucrare a datelor n cadrul crora autoritatea public poate impune o
obligaie n temeiul competenelor sale publice relevante, iar consimmntul nu poate
fi considerat ca fiind acordat n mod liber, inndu-se cont de interesul persoanei
vizate.
(35) Prelucrarea ar trebui s fie legal n cazul n care este necesar n cadrul unui contract
sau n vederea ncheierii unui contract.
(36) n cazul n care prelucrarea este efectuat n conformitate cu o obligaie legal a
operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei
sarcini de interes public sau n exercitarea autoritii publice, prelucrarea ar trebui s
aib un temei juridic n dreptul Uniunii sau n legislaia unui stat membru care
ndeplinete cerinele prevzute de Carta drepturilor fundamentale a Uniunii

RO 22 RO
Europene, pentru orice limitare a drepturilor i libertilor. De asemenea, este de
competena dreptului Uniunii sau a legislaiei naionale s determine dac operatorul
care ndeplinete o sarcin de interes public sau n exercitarea autoritii publice ar
trebui s fie o administraie public sau alt persoan fizic sau juridic de drept
public sau privat, cum ar fi o asociaie profesional.
(37) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s fie considerat
legal n cazul n care este necesar n scopul asigurrii proteciei unui interes care este
esenial pentru viaa persoanei vizate.
(38) Interesele legitime ale unui operator pot constitui un temei juridic pentru prelucrare, cu
condiia s nu prevaleze interesele sau drepturile i libertile fundamentale ale
persoanei vizate. Aceasta ar necesita o evaluare atent, n special n cazul n care
persoana vizat este un minor, ntruct minorii necesit o protecie specific. Persoana
vizat ar trebui s aib dreptul gratuit la opoziie n ceea ce privete prelucrarea, din
motive legate de situaia sa particular. Pentru a se asigura transparena, operatorul ar
trebui s aib obligaia de a informa n mod explicit persoana vizat cu privire la
interesele legitime urmrite i dreptul la opoziie i, de asemenea, ar trebui s aib
obligaia de a documenta aceste interese legitime. ntruct legiuitorul trebuie s
furnizeze temeiul juridic pentru prelucrarea datelor de ctre autoritile publice, acest
temei juridic nu ar trebui s se aplice prelucrrii de ctre autoritile publice n
ndeplinirea sarcinilor care le revin.
(39) Prelucrarea datelor n msura strict necesar n scopul asigurrii securitii reelelor i
a informaiilor, i anume capacitatea unei reele sau a unui sistem de informaii de a
face fa, la un anumit nivel de ncredere, evenimentelor accidentale sau aciunilor
ilegale sau ru intenionate care compromit disponibilitatea, autenticitatea, integritatea
i confidenialitatea datelor stocate sau transmise, precum i securitatea serviciilor
conexe oferite de aceste reele i sisteme sau accesibile prin intermediul acestora, de
ctre autoritile publice, echipele de intervenie n caz de urgen informatic
(CERT), echipele de intervenie n cazul producerii unor incidente care afecteaz
securitatea informatic (CSIRT), furnizorii de reele i servicii de comunicaii
electronice, precum i de ctre furnizorii de servicii i tehnologii de securitate,
constituie un interes legitim al operatorului de date n cauz. Acesta ar putea include,
de exemplu, prevenirea accesului neautorizat la reelele de comunicaii electronice i a
difuzrii de coduri duntoare i oprirea atacurilor de blocare a serviciului, precum
i prevenirea daunelor aduse calculatoarelor i sistemelor de comunicaii electronice.
(40) Prelucrarea datelor cu caracter personal n alte scopuri ar trebui s fie permis doar
atunci cnd prelucrarea este compatibil cu scopurile n care datele au fost iniial
colectate, n special n cazul n care prelucrarea este necesar n scopuri de cercetare
istoric, statistic sau tiinific. n cazul n care cellalt scop nu este compatibil cu
scopul iniial n care datele sunt colectate, operatorul ar trebuie s obin
consimmntul persoanei vizate cu privire la acest alt scop sau ar trebui s ntemeieze
prelucrarea legal pe un alt motiv legitim, n special n cazul n care acest fapt este
prevzut de dreptul Uniunii sau de legislaia statului membru care se aplic
operatorului. n orice caz, aplicarea principiilor stabilite de prezentul regulament i, n
special, informarea persoanei vizate cu privire la aceste alte scopuri ar trebui s fie
garantat.
(41) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile i de
vulnerabile n ceea ce privete drepturile fundamentale sau viaa privat, necesit o
protecie specific. Astfel de date nu ar trebui s fie prelucrate, cu excepia cazului n
care persoana vizat i d consimmntul explicit. Cu toate acestea, derogri de la

RO 23 RO
interdicia respectiv ar trebui prevzute n mod explicit n ceea ce privete nevoile
specifice, n special atunci cnd prelucrarea este efectuat n cadrul activitilor
legitime de ctre anumite asociaii sau fundaii al cror scop este de a permite
exercitarea libertilor fundamentale.
(42) Derogarea de la interdicia prelucrrii categoriilor de date sensibile ar trebui s fie
permis, de asemenea, n cazul n care este prevzut de lege, sub rezerva unor garanii
corespunztoare, pentru a se asigura protecia datelor cu caracter personal i a altor
drepturi fundamentale, atunci cnd motive de interes public justific acest lucru i, n
special, n scopuri medicale, inclusiv sntatea public, protecia social i gestionarea
serviciilor de asisten medical, n special n scopul garantrii calitii i eficienei
din punct de vedere al costurilor n ceea ce privete procedurile utilizate pentru
soluionarea cererilor de prestaii i servicii n sistemul asigurrilor de sntate sau n
scopuri de cercetare istoric, statistic i tiinific.
(43) n plus, prelucrarea datelor cu caracter personal de ctre autoritile publice n vederea
realizrii obiectivelor prevzute de dreptul constituional sau de dreptul internaional
public, ale asociaiilor religioase recunoscute oficial se efectueaz din motive de
interes public.
(44) n cazul n care, n cadrul activitilor electorale, funcionarea sistemului democratic
necesit, ntr-un stat membru, ca partidele politice s colecteze date privind opiniile
politice ale persoanelor, prelucrarea unor astfel de date poate fi permis din motive de
interes public, cu condiia s se prevad garaniile corespunztoare.
(45) Dac datele prelucrate de ctre un operator nu i permit acestuia s identifice o
persoan fizic, operatorul de date nu ar trebui s aib obligaia de a obine informaii
suplimentare n vederea identificrii persoanei vizate, cu unicul scop de a respecta una
dintre dispoziiile prezentului regulament. n cazul unei cereri de acces, operatorul ar
trebui s aib dreptul de a solicita persoanei vizate mai multe informaii pentru a putea
s localizeze datele cu caracter personal pe care le caut persoana respectiv.
(46) Principiul transparenei prevede c orice informaii care se adreseaz publicului sau
persoanei vizate ar trebui s fie uor accesibile i uor de neles i c se utilizeaz un
limbaj simplu i clar. Acesta este important n special n cazul n care, n situaii cum
ar fi publicitatea online, multitudinea actorilor i complexitatea, din punct de vedere
tehnologic, a practicii, este dificil ca persoana vizat s tie i s se neleag dac
datele cu caracter personal care o privesc sunt colectate, de ctre cine i n ce scop.
ntruct copiii necesit o protecie specific, orice informaii i orice comunicare, n
cazul n care prelucrarea vizeaz n mod specific un minor, ar trebui s fie exprimate
ntr-un limbaj simplu i clar, astfel nct acesta s l poat nelege cu uurin.
(47) Ar trebui prevzute modaliti de facilitare a exercitrii de ctre persoana vizat a
drepturile sale stipulate de prezentul regulament, inclusiv mecanismele de a solicita, n
mod gratuit, n special, accesul la date, rectificarea i tergerea acestora, precum i
exercitarea dreptului la opoziie. Operatorul ar trebui s fie aib obligaia de a
rspunde cererilor persoanelor vizate ntr-un termen fix i, n cazul n care nu se
conformeaz cererii persoanei vizate, s motiveze acest refuz.
(48) Conform principiilor prelucrrii echitabile i transparente, persoana vizat ar trebui s
fie informat, n special, cu privire la existena unei operaiuni de prelucrare i la
scopurile acesteia, durata stocrii datelor, existena dreptului de acces, rectificare sau
tergere a datelor i dreptul de a nainta o plngere. Atunci cnd datele sunt colectate
de la persoana vizat, aceasta ar trebui, de asemenea, s fie informat dac are
obligaia de a furniza datele i care sunt consecinele n cazul unui refuz.

RO 24 RO
(49) Informaiile n legtur cu prelucrarea datelor cu caracter personal referitoare la
persoana vizat ar trebui furnizate acesteia la momentul colectrii sau, n cazul n care
datele nu sunt colectate de la persoana vizat, ntr-o perioad rezonabil, n funcie de
circumstanele cazului. n cazul n care datele pot fi divulgate n mod legitim unui alt
destinatar, persoana vizat ar trebui informat atunci cnd datele sunt divulgate pentru
prima dat destinatarului.
(50) Cu toate acestea, nu este necesar impunerea obligaiei respective n cazul n care
persoana vizat dispune deja de aceste informaii sau n cazul n care nregistrarea sau
divulgarea datelor este prevzut n mod expres de lege sau n cazul n care informarea
persoanei vizate se dovedete imposibil sau implic eforturi disproporionate. Acesta
din urm ar putea fi cazul n special atunci cnd prelucrarea se efectueaz n scopuri de
cercetare istoric, statistic sau tiinific; n aceast privin, pot fi luate n
considerare numrul persoanelor vizate, vechimea datelor i msurile compensatorii
adoptate.
(51) Orice persoan ar trebui s aib dreptul de acces la datele colectate care o privesc i de
a exercita acest drept cu uurin, pentru a fi informat cu privire la prelucrare i
pentru a verifica legalitatea acesteia. Orice persoan vizat ar trebui, prin urmare, s
aib dreptul de a cunoate i de a i se comunica, n special, n ce scopuri sunt
prelucrate datele, pentru ce perioad, identitatea destinatarilor datelor, care este logica
de prelucrare a datelor i care ar putea fi, cel puin n cazul n care se bazeaz pe
crearea de profiluri, consecinele unei astfel de prelucrri. Acest drept nu ar trebui s
aduc atingere drepturilor i libertilor altora, inclusiv secretului comercial sau
proprietii intelectuale i, n special, drepturilor de autor care asigur protecia
programelor software. Cu toate acestea, consideraiile de mai sus nu ar trebui aib
drept rezultat refuzul de a furniza toate informaiile persoanei vizate.
(52) Operatorul ar trebui s ia toate msurile rezonabile pentru a verifica identitatea unei
persoane vizate care solicit acces la date, n special n contextul serviciilor online i
al identificatorilor online. Un operator nu ar trebui s rein datele cu caracter personal
n scopul exclusiv de a fi n msur s reacioneze la cereri poteniale.
(53) Orice persoan ar trebui s aib dreptul de rectificare a datelor cu caracter personal
care o privesc i dreptul de a fi uitat, n cazul n care pstrarea acestor date nu este
n conformitate cu prezentul regulament. n special, persoanele vizate ar trebui s aib
dreptul ca datele lor cu caracter personal s fie terse i s nu mai fie prelucrate, n
cazul n care datele nu mai sunt necesare pentru scopurile n care sunt colectate sau
sunt prelucrate, n cazul n care persoanele vizate i-au retras consimmntul pentru
prelucrare sau n cazul n care acestea se opun prelucrrii datelor cu caracter personal
care le privesc sau n cazul n care prelucrarea datelor cu caracter personal ale acestora
nu este conform cu prezentul regulament. Acest drept este relevant n special n cazul
n care persoana vizat i-a dat consimmntul cnd era minor i nu cunotea pe
deplin riscurile pe care le implic prelucrarea, iar ulterior dorete s elimine astfel de
date cu caracter personal, n special de pe internet. Cu toate acestea, pstrarea n
continuare a datelor ar trebui s fie permis n cazul n care este necesar n scopuri de
cercetare istoric, statistic i tiinific, din motive de interes public n domeniul
sntii publice, pentru exercitarea dreptului la libertatea de exprimare, atunci cnd
acest lucru este prevzut de lege sau n cazul n care exist un motiv pentru a
restriciona prelucrarea datelor, n loc ca acestea s fie terse.
(54) Pentru a se consolida dreptul de a fi uitat n mediul on-line, dreptul de tergere ar
trebui, de asemenea, s fie extins astfel nct un operator care a fcut publice date cu
caracter personal ar trebui s aib obligaia de a informa terii care prelucreaz astfel

RO 25 RO
de date c o persoan vizat le solicit s tearg orice linkuri ctre datele cu caracter
personal respective sau copii sau reproduceri ale acestora. n scopul asigurrii acestor
informaii, operatorul ar trebui s ia toate msurile rezonabile, inclusiv msuri tehnice,
n ceea ce privete datele de a cror publicare este responsabil. n legtur cu
publicarea datelor cu caracter personal de ctre un ter, operatorul ar trebui s fie
considerat responsabil de publicare, n cazul n care acesta a autorizat publicarea de
ctre ter.
(55) Pentru a se consolida n continuare controlul asupra propriilor date i dreptul lor de
acces, persoanele vizate ar trebui s aib dreptul, n cazul n care datele cu caracter
personal sunt prelucrate prin mijloace electronice ntr-un format structurat i utilizat n
mod curent, de a obine, de asemenea, o copie a datelor care le privesc ntr-un format
electronic utilizat n mod curent. Persoana vizat ar trebui, de asemenea, s fie
autorizat s transmit datele respective, pe care le-a furnizat, dintr-o aplicaie
automat, cum ar fi o reea social, ctre alta. Aceasta ar trebui s se aplice n cazul n
care persoana vizat a furnizat datele sistemului de prelucrare automat, pe baza
consimmntului su sau n cadrul executrii unui contract.
(56) n cazurile n care datele cu caracter personal ar putea fi prelucrate n mod legal n
scopul asigurrii proteciei intereselor vitale ale persoanei vizate sau din motive de
interes public, de exercitare a autoritii publice sau de urmrire a intereselor legitime
ale unui operator, orice persoan vizat ar trebui, cu toate acestea, s aib dreptul de a
se opune prelucrrii oricror date care o privesc. Sarcina probei ar trebui s revin
operatorului pentru a demonstra c interesele sale legitime pot prevala asupra
intereselor sau a drepturilor i libertilor fundamentale ale persoanei vizate.
(57) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de marketing
direct, persoana vizat ar trebui s aib gratuit dreptul la opoziie cu privire la o astfel
de prelucrare, care s poat fi invocat cu uurin i n mod efectiv.
(58) Orice persoan fizic ar trebui s aib dreptul de a nu fi supus unei msuri care se
bazeaz pe crearea de profiluri prin mijloace de prelucrare automat a datelor. Cu toate
acestea, o astfel de msur ar trebui s fie permis n cazul n care este autorizat n
mod expres de lege, este efectuat n cadrul ncheierii sau al executrii unui contract
sau n cazul n care persoana vizat i-a dat consimmntul. n orice caz, o astfel de
prelucrare ar trebui s fac obiectul unor garanii corespunztoare, inclusiv o
informare specific a persoanei vizate i dreptul de a obine intervenie uman, iar o
astfel de msur nu ar trebui s se refere la un minor.
(59) Dreptul Uniunii sau legislaia unui stat membru pot impune restricii ale principiilor
specifice, ale drepturilor de informare, acces, rectificare i tergere sau ale dreptului la
portabilitatea datelor, ale dreptului la opoziie, ale msurilor bazate pe crearea de
profiluri, precum i ale comunicrii unei nclcri a securitii datelor cu caracter
personal persoanei vizate i ale anumitor obligaii conexe ale operatorilor, n msura
n care acest lucru este necesar i proporional ntr-o societate democratic pentru a se
garanta sigurana public, inclusiv protecia vieii oamenilor, n special ca rspuns la
dezastre naturale sau provocate de om, prevenirea, investigarea i urmrirea penal a
infraciunilor sau a nclcrii eticii n cazul profesiunilor reglementate, alte interese
publice ale Uniunii sau ale unui stat membru, n special un interes economic sau
financiar important al Uniunii sau al unui stat membru, sau protecia persoanei vizate
sau a drepturilor i libertilor unor teri. Aceste restricii ar trebui s fie conforme cu
cerinele prevzute de Carta drepturilor fundamentale a Uniunii Europene i de
Convenia european pentru aprarea drepturilor omului i a libertilor fundamentale.

RO 26 RO
(60) Ar trebui s se stabileasc responsabilitatea i rspunderea general a operatorului
pentru orice prelucrare a datelor cu caracter personal efectuat de ctre acesta sau n
numele su. n special, operatorul ar trebui s asigure i s aib obligaia de a
demonstra conformitatea fiecrei operaiuni de prelucrare cu prezentul regulament.
(61) Protecia drepturilor i libertilor persoanelor vizate n ceea ce privete prelucrarea
datelor cu caracter personal necesit adoptarea de msuri tehnice i organizatorice
corespunztoare, att n momentul conceperii prelucrrii, ct i n cel al prelucrrii n
sine, pentru a se asigura ndeplinirea cerinelor prezentului regulament. n scopul
asigurrii i al demonstrrii conformitii cu prezentul regulament, operatorul ar trebui
s adopte politici interne i s pun n aplicare msuri corespunztoare, care s
respecte, n special, principiul lurii n considerare a proteciei datelor ncepnd cu
momentul conceperii i cel al proteciei implicite a datelor.
(62) Protecia drepturilor i libertilor persoanelor vizate, precum i responsabilitatea i
rspunderea operatorilor i a persoanei mputernicite de ctre operator, n ceea ce
privete, de asemenea, monitorizarea de ctre autoritile de supraveghere i msurile
adoptate de acestea, necesit o atribuire clar a responsabilitilor n temeiul
prezentului regulament, inclusiv n cazul n care un operator stabilete scopurile,
condiiile i mijloacele prelucrrii mpreun cu ali operatori sau n cazul n care o
operaiune de prelucrare este efectuat n numele unui operator.
(63) Atunci cnd un operator care nu este stabilit n Uniune prelucreaz date cu caracter
personal ale unor persoane vizate care i au reedina n Uniune, iar activitile de
prelucrare ale operatorului au legtur cu oferirea de bunuri i servicii unor astfel de
persoane vizate sau cu monitorizarea comportamentului acestora, operatorul ar trebui
s desemneze un reprezentant, cu excepia cazului n care operatorul este stabilit ntr-o
ar ter care asigur un nivel adecvat de protecie sau n care operatorul este o
ntreprindere mic sau mijlocie sau o autoritate public sau un organism public sau n
care operatorul ofer doar ocazional bunuri sau servicii unor astfel de persoane vizate.
Reprezentantul ar trebui s acioneze n numele operatorului, putnd fi contactat de
orice autoritate de supraveghere.
(64) Pentru a se stabili dac un operator ofer doar ocazional bunuri i servicii persoanelor
vizate care i au reedina n Uniune, ar trebui s se analizeze dac din ansamblul
activitilor desfurate de ctre operator rezult c oferirea de bunuri i servicii unor
astfel de persoane vizate este auxiliar activitilor principale respective.
(65) n vederea demonstrrii conformitii cu prezentul regulament, operatorul sau
persoana mputernicit de ctre operator ar trebui s documenteze fiecare operaiune
de prelucrare. Fiecare operator i fiecare persoan mputernicit de ctre operator ar
trebui s aib obligaia de a coopera cu autoritatea de supraveghere i de a pune la
dispoziia acesteia, la cerere, documentaia respectiv, pentru a putea fi utilizat n
scopul monitorizrii operaiunilor de prelucrare respective.
(66) n vederea meninerii securitii i a prevenirii prelucrrilor care ncalc dispoziiile
prezentului regulament, operatorul sau persoana mputernicit de ctre operator ar
trebui s evalueze riscurile inerente prelucrrii i s pun n aplicare msuri pentru
atenuarea acestor riscuri. Msurile respective ar trebui s asigure un nivel
corespunztor de securitate, lund n considerare stadiul actual al tehnologiei i
costurile punerii lor n aplicare n raport cu riscurile i natura datelor cu caracter
personal a cror protecie trebuie asigurat. Atunci cnd se stabilesc standarde tehnice
i msuri organizatorice menite s asigure securitatea prelucrrii, Comisia ar trebui s

RO 27 RO
promoveze neutralitatea tehnologic, interoperabilitatea i inovarea, i, dac este
cazul, cooperarea cu rile tere.
(67) Dac nu este soluionat la timp i ntr-un mod adecvat, o nclcare a securitii
datelor cu caracter personal poate cauza persoanei fizice n cauz pierderi economice
substaniale i daune sociale, inclusiv fraudarea identitii. Prin urmare, de ndat ce a
luat cunotin de producerea unei astfel de nclcri, operatorul ar trebui s o notifice
autoritii de supraveghere, fr ntrziere nejustificat i, dac este posibil, n termen
de 24 de ore. n cazul n care termenul de 24 de ore nu este respectat, o explicaie a
motivelor ntrzierii ar trebui s nsoeasc notificarea. Persoanele fizice ale cror date
cu caracter personal ar putea fi afectate negativ de nclcare ar trebui s fie notificate
fr ntrziere nejustificat pentru a putea s ia msurile de precauie necesare. Ar
trebui s se considere c o nclcare afecteaz n mod negativ datele cu caracter
personal sau viaa privat a unei persoane vizate n cazul n care aceasta ar putea avea
drept rezultat, de exemplu, furtul sau fraudarea identitii, vtmarea corporal,
umilirea grav sau afectarea reputaiei. Notificarea ar trebui s descrie natura nclcrii
securitii datelor cu caracter personal i s formuleze recomandri pentru persoana
fizic n cauz n scopul atenurii eventualelor efecte negative. Notificrile persoanelor
vizate ar trebui efectuate n cel mai scurt timp posibil n mod rezonabil i n strns
cooperare cu autoritatea de supraveghere, respectndu-se orientrile furnizate de
aceasta sau de alte autoriti competente (de exemplu, autoritile de aplicare a legii).
De exemplu, pentru ca persoanele vizate s poat atenua un risc imediat de
prejudiciere, acestea ar trebui notificate cu promptitudine, n timp ce necesitatea de a
pune n aplicare msuri corespunztoare mpotriva nclcrii n continuare a securitii
datelor sau mpotriva unor nclcri similare ale securitii datelor ar putea justifica un
termen mai ndelungat.
(68) Pentru a se determina dac o nclcare a securitii datelor cu caracter personal este
notificat fr ntrziere nejustificat autoritii de supraveghere i persoanei vizate, ar
trebui s se analizeze dac operatorul a implementat i a aplicat msuri tehnologice de
protecie i organizatorice corespunztoare n scopul de a stabili imediat dac s-a
produs o nclcare a securitii datelor cu caracter personal i de a informa cu
promptitudine autoritatea de supraveghere i persoana vizat, nainte de prejudicierea
intereselor sale personale i economice, lundu-se n considerare, n special, natura i
gravitatea nclcrii securitii datelor cu caracter personal, precum i consecinele i
efectele negative ale acesteia asupra persoanei vizate.
(69) La stabilirea de norme detaliate privind formatul i procedurile aplicabile notificrii
referitoare la nclcrile securitii datelor cu caracter personal, ar trebui s se acorde
atenia cuvenit circumstanelor n care a avut loc nclcarea, stabilindu-se inclusiv
dac protecia datelor cu caracter personal a fost sau nu a fost asigurat prin msuri
tehnice de protecie corespunztoare, care s limiteze efectiv probabilitatea fraudrii
identitii sau a altor forme de utilizare abuziv. n plus, astfel de norme i proceduri
ar trebui s in cont de interesele legitime ale autoritilor de aplicare a legii n
cazurile n care divulgarea timpurie ar putea ngreuna n mod inutil investigarea
circumstanelor n care a avut loc o nclcare.
(70) Directiva 95/46/CE prevede o obligaie general de a notifica prelucrarea datelor cu
caracter personal autoritilor de supraveghere. Cu toate c obligaia respectiv
genereaz sarcini administrative i financiare, aceasta nu contribuie ntotdeauna la
mbuntirea proteciei datelor cu caracter personal. Prin urmare, o astfel de obligaie
de notificare general nedifereniat ar trebui s fie abrogat i nlocuit cu proceduri
i mecanisme eficace care s pun accentul, n schimb, pe operaiunile de prelucrare

RO 28 RO
care pot prezenta riscuri specifice pentru drepturile i libertile persoanelor vizate
prin nsi natura lor, prin domeniul lor de aplicare sau prin scopurile lor. n astfel de
cazuri, operatorul sau persoana mputernicit de ctre operator ar trebui s efectueze,
nainte de prelucrare, o evaluare a impactului asupra proteciei datelor, care ar trebui s
includ, n special, msurile avute n vedere, garanii i mecanisme pentru asigurarea
proteciei datelor cu caracter personal i pentru demonstrarea conformitii cu
prezentul regulament.
(71) Aceasta ar trebui s se aplice, n special, sistemelor de eviden de mari dimensiuni
recent instituite, care au drept obiectiv prelucrarea unui volum considerabil de date cu
caracter personal la nivel regional, naional sau supranaional i care ar putea afecta
un numr mare de persoane vizate.
(72) n unele circumstane ar putea fi judicios i economic ca o evaluare a impactului
asupra proteciei datelor s aib o perspectiv mai extins dect cea a unui singur
proiect, de exemplu, n cazul n care autoriti sau organisme publice intenioneaz s
instituie o aplicaie sau o platform de prelucrare comun sau n cazul n care mai
muli operatori preconizeaz s introduc o aplicaie comun sau un mediu de
prelucrare comun n cadrul unui sector sau segment industrial sau pentru o activitate
orizontal utilizat pe scar larg.
(73) Evalurile impactului asupra proteciei datelor ar trebui efectuate de ctre o autoritate
public sau un organism public n cazul n care o astfel de evaluare nu a fost deja
realizat n contextul adoptrii legislaiei naionale pe care se bazeaz ndeplinirea
sarcinilor autoritii publice sau ale organismului public i care reglementeaz
anumite operaiuni sau serii de operaiuni de prelucrare n cauz.
(74) n cazul n care o evaluare a impactului asupra proteciei datelor arat c operaiunile
de prelucrare implic un nivel ridicat al riscurilor specifice pentru drepturile i
libertile persoanelor vizate, cum ar fi privarea persoanelor fizice de un drept, sau
prin utilizarea noilor tehnologii specifice, autoritatea de supraveghere ar trebui s fie
consultat, nainte de nceperea operaiunilor, cu privire la o prelucrare riscant care ar
putea s nu fie conform cu prezentul regulament i pentru a face propuneri n vederea
remedierii unei astfel de situaii. Aceast consultare ar trebui, de asemenea, s aib loc
n timpul elaborrii fie a unei msuri a parlamentului naional, fie a unei msuri
ntemeiate pe o astfel de msur legislativ, care definete natura prelucrrii i
stabilete garaniile corespunztoare.
(75) n cazul n care prelucrarea este efectuat n sectorul public sau n cazul n care, n
sectorul privat, prelucrarea este efectuat de o ntreprindere de mari dimensiuni sau n
cazul n care activitile de baz ale ntreprinderii, indiferent de dimensiunea acesteia,
implic operaiuni de prelucrare care necesit o monitorizare regulat i sistematic, o
persoan ar trebui s acorde asisten operatorului sau persoanei mputernicite de ctre
operator pentru monitorizarea conformitii, la nivel intern, cu prezentul regulament.
Aceti responsabilii cu protecia datelor, fie c sunt sau nu sunt angajai ai
operatorului, ar trebui s fie n msur s i ndeplineasc atribuiile i sarcinile n
mod independent.
(76) Asociaiile sau alte organisme care reprezint categorii de operatori ar trebui ncurajate
s elaboreze coduri de conduit, n limitele prezentului regulament, astfel nct s se
faciliteze aplicarea efectiv a prezentului regulament, lundu-se n considerare
caracteristicile specifice ale prelucrrii efectuate n anumite sectoare.
(77) Pentru a se mbunti transparena i conformitatea cu prezentul regulament, ar trebui
s se ncurajeze instituirea de mecanisme de certificare, precum i de sigilii i mrci n

RO 29 RO
materie de protecie a datelor, care s permit persoanelor vizate s evalueze rapid
nivelul de protecie a datelor aferent produselor i serviciilor relevante.
(78) Fluxurile transfrontaliere de date cu caracter personal sunt necesare pentru dezvoltarea
comerului internaional i a cooperrii internaionale. Creterea acestor fluxuri a
generat noi provocri i preocupri cu privire la protecia datelor cu caracter personal.
Cu toate acestea, n cazul n care se transfer date cu caracter personal din Uniune
ctre ri tere sau organizaii internaionale, nivelul de protecie a persoanelor fizice
garantat n Uniune prin prezentul regulament nu ar trebui s fie diminuat. n orice caz,
transferurile ctre rile tere nu pot fi efectuate dect n deplin conformitate cu
prezentul regulament.
(79) Prezentul regulament nu aduce atingere acordurilor internaionale ncheiate ntre
Uniune i ri tere n vederea reglementrii transferului de date cu caracter personal,
inclusiv garanii corespunztoare pentru persoanele vizate.
(80) Comisia poate decide, cu efect n ntreaga Uniune, c anumite ri tere sau un teritoriu
sau un sector de prelucrare dintr-o ar ter sau o organizaie internaional ofer un
nivel adecvat de protecie a datelor, furniznd astfel securitate juridic i uniformitate
n Uniune n ceea ce privete rile tere sau organizaiile internaionale care sunt
considerate a furniza un astfel de nivel de protecie. n aceste cazuri, transferurile de
date cu caracter personal ctre rile respective pot avea loc fr a fi necesar s se
obin o autorizaie suplimentar.
(81) n conformitate cu valorile fundamentale pe care se ntemeiaz Uniunea, n special
protecia drepturilor omului, Comisia ar trebui, n evaluarea sa referitoare la ara ter,
s ia n considerare modul n care aceasta respect statul de drept, accesul la justiie,
precum i normele i standardele internaionale n materie de drepturi ale omului.
(82) Comisia poate, de asemenea, s recunoasc faptul c o ar ter sau un teritoriu sau un
sector de prelucrare dintr-o ar ter sau o organizaie internaional nu ofer un nivel
adecvat de protecie a datelor. n consecin, transferul de date cu caracter personal
ctre ara ter respectiv ar trebui s fie interzis. n acest caz, ar trebui s se prevad
dispoziii pentru consultri ntre Comisie i astfel de ri tere sau organizaii
internaionale.
(83) n absena unei decizii privind caracterul adecvat al proteciei, operatorul sau persoana
mputernicit de ctre operator ar trebui s adopte msuri pentru a compensa lipsa
proteciei datelor ntr-o ar ter prin intermediul unor garanii corespunztoare
pentru persoana vizat. Astfel de garanii corespunztoare pot consta n utilizarea
regulilor corporatiste obligatorii, a clauzelor standard de protecie a datelor adoptate de
ctre Comisie, a clauzelor standard n materie de protecie a datelor adoptate de ctre o
autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de
supraveghere sau a altor msuri adecvate i proporionale care sunt justificate avnd n
vedere toate circumstanele aferente unei operaiuni de transfer de date sau unui set de
operaiuni de transfer de date i n cazurile autorizate de o autoritate de supraveghere.
(84) Posibilitatea ca operatorul sau persoana mputernicit de ctre operator s utilizeze
clauze standard n materie de protecie a datelor adoptate de ctre Comisie sau de ctre
o autoritate de supraveghere nu ar trebui s mpiedice operatorii sau persoanele
mputernicite de ctre acetia s includ clauze standard n materie de protecie a
datelor ntr-un contract mai amplu i nici s adauge alte clauze, att timp acestea ct
nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de ctre
Comisie sau de ctre o autoritate de supraveghere sau nu prejudiciaz drepturile sau
libertile fundamentale ale persoanelor vizate.

RO 30 RO
(85) Un grup corporatist ar trebui s poat utiliza regulile corporatiste obligatorii aprobate
pentru transferurile sale internaionale dinspre Uniune ctre organizaii din cadrul
aceluiai grup de ntreprinderi, atta timp ct astfel de reguli corporatiste includ
principii eseniale i drepturi exercitabile n scopul asigurrii unor garanii
corespunztoare pentru transferurile sau categoriile de transferuri de date cu caracter
personal.
(86) Ar trebui s se prevad posibilitatea de a se efectua transferuri n anumite circumstane
n care persoana vizat i-a dat consimmntul, n care transferul este necesar n
legtur cu un contract sau cu o aciune n justiie, n care motive importante de interes
public stabilite de dreptul Uniunii sau de legislaia unui stat membru impun acest lucru
sau n care transferul se efectueaz dintr-un registru instituit prin lege i destinat s fie
consultat de ctre public sau de ctre persoane care au un interes legitim. n acest ultim
caz, un astfel de transfer nu ar trebui s implice totalitatea datelor sau ansamblul
categoriilor de date coninute n registru, iar atunci cnd registrul este destinat s fie
consultat de ctre persoane care au un interes legitim, transferul ar trebui s fie efectuat
doar la cererea persoanelor respective sau dac acestea sunt destinatarii.
(87) Aceste derogri ar trebui s se aplice, n special, transferurilor de date solicitate i
necesare pentru protecia unor motive importante de interes public, de exemplu n
cazurile transferurilor internaionale de date ntre autoritile din domeniul
concurenei, ntre administraiile fiscale sau vamale, ntre autoritile de supraveghere
financiar, ntre serviciile competente n materie de securitate social sau ctre
autoritile competente n scopul prevenirii, identificrii, investigrii i urmririi
penale a infraciunilor.
(88) Transferurile care nu pot fi considerate ca fiind frecvente sau masive, ar putea, de
asemenea, s fie efectuate n scopul realizrii intereselor legitime urmrite de operator
sau de persoana mputernicit de ctre operator, dup ce acetia au evaluat toate
circumstanele aferente transferului de date. Pentru prelucrarea datelor n scopuri de
cercetare istoric, statistic i tiinific, ar trebui s se ia n considerare ateptrile
legitime ale societii cu privire la creterea nivelului de cunotine.
(89) n orice caz, atunci cnd Comisia nu a luat o decizie cu privire la nivelul adecvat de
protecie a datelor ntr-o ar ter, operatorul sau persoana mputernicit de ctre
operator ar trebui s utilizeze soluii care s ofere persoanelor vizate garania c vor
continua s beneficieze de drepturi fundamentale i garanii n ceea ce privete
prelucrarea datelor lor n Uniune, odat ce aceste date au fost transferate.
(90) Unele ri tere au adoptat legi, regulamente i alte instrumente legislative care au
drept obiectiv s reglementeze n mod direct activitile de prelucrare a datelor
persoanelor fizice i juridice aflate sub jurisdicia statelor membre. Aplicarea
extrateritorial a acestor legi, regulamente i alte instrumente legislative poate nclca
dreptul internaional i poate mpiedica asigurarea proteciei persoanelor fizice
garantat n Uniune prin prezentul regulament. Transferurile ar trebui s fie permise
numai n cazul ndeplinirii condiiilor prevzute de prezentul regulament pentru un
transfer ctre ri tere. Acesta ar putea fi cazul, inter alia, atunci cnd divulgarea este
necesar dintr-un motiv important de interes public recunoscut n dreptul Uniunii sau
n legislaia unui stat membru care se aplic operatorului. Condiiile n care exist un
motiv important de interes public ar trebui precizate pe larg de ctre Comisie ntr-un
act delegat.
(91) Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit
capacitatea persoanelor fizice de a-i exercita drepturile n materie de protecie a

RO 31 RO
datelor, n special pentru a-i asigura protecia mpotriva utilizrii sau a divulgrii
ilegale a acestor informaii. n acelai timp, autoritile de supraveghere pot constata
c se afl n imposibilitatea de a trata plngeri sau de a efectua investigaii referitoare
la activitile desfurate n afara frontierelor lor. Eforturile acestora de a conlucra n
context transfrontalier pot fi, de asemenea, ngreunate de insuficiena competenelor
de prevenire sau remediere, de caracterul eterogen al regimurilor juridice i de
existena unor obstacole de ordin practic, cum ar fi constrngerile n materie de
resurse. Prin urmare, este necesar s se promoveze o cooperare mai strns ntre
autoritile de supraveghere a proteciei datelor pentru a putea face schimb de
informaii i a desfura investigaii mpreun cu omologii lor internaionali.
(92) Instituirea n statele membre a unor autoriti de supraveghere care s i exercite
atribuiile n deplin independen este un element esenial al proteciei persoanelor
fizice n ceea ce privete prelucrarea datelor lor cu caracter personal. Statele membre
pot institui mai multe autoriti de supraveghere, pentru a reflecta structura lor
constituional, organizatoric i administrativ.
(93) n cazul n care un stat membru instituie mai multe autoriti de supraveghere, acesta
ar trebui s stabileasc prin lege mecanisme care s asigure participarea efectiv a
autoritilor de supraveghere respective la mecanismul pentru asigurarea coerenei.
Statul membru respectiv ar trebui, n special, s desemneze autoritatea de supraveghere
care ndeplinete funcia de punct unic de contact pentru participarea efectiv a acestor
autoriti la mecanism, n scopul asigurrii unei cooperri rapide i armonioase cu alte
autoriti de supraveghere, cu Comitetul european pentru protecia datelor i cu
Comisia.
(94) Fiecare autoritate de supraveghere ar trebui s beneficieze de resurse financiare i
umane adecvate, de localuri i de infrastructura necesar pentru ndeplinirea cu
eficacitate a sarcinilor lor, inclusiv a celor legate de asistena reciproc i cooperarea
cu alte autoriti de supraveghere n ntreaga Uniune.
(95) Condiiile generale pentru membrii autoritii de supraveghere ar trebui stabilite de
lege n fiecare stat membru i ar trebui, n special, s prevad c aceti membri ar
trebui s fie numii de parlamentul sau de guvernul statului membru i s includ
dispoziii privind calificarea personal i funcia membrilor respectivi.
(96) Autoritile de supraveghere ar trebui s monitorizeze aplicarea dispoziiilor prevzute
de prezentul regulament i s contribuie la aplicarea consecvent a acestuia n ntreaga
Uniune, n scopul asigurrii proteciei persoanelor fizice n ceea ce privete
prelucrarea datelor lor cu caracter personal i al facilitrii liberei circulaii a datelor cu
caracter personal n interiorul pieei interne. n acest sens, autoritile de supraveghere
ar trebui s coopereze reciproc i cu Comisia.
(97) n cazul n care, n Uniune, prelucrarea datelor cu caracter personal n cadrul
activitilor unui sediu al unui operator sau al unei persoane mputernicite de ctre
operator se efectueaz n mai multe state membre, o singur autoritate de supraveghere
ar trebui s aib competena de a monitoriza activitile operatorului sau ale persoanei
mputernicite de ctre operator n ntreaga Uniune i de a adopta deciziile aferente, n
scopul intensificrii aplicrii consecvente, al furnizrii securitii juridice i al
reducerii sarcinii administrative pentru astfel de operatori i de persoane mputernicite
de ctre operatori.
(98) Autoritatea competent, care furnizeaz un astfel de ghieu unic, ar trebui s fie
autoritatea de supraveghere a statului membru n care operatorul sau persoana
mputernicit de ctre operator i are sediul principal.

RO 32 RO
(99) Cu toate c prezentul regulament se aplic, de asemenea, activitilor instanelor
naionale, prelucrarea datelor cu caracter personal nu ar trebui s fie de competena
autoritilor de supraveghere, n cazul n care instanele i exercit atribuiile
judiciare, n scopul asigurrii proteciei independenei judectorilor n ndeplinirea
sarcinilor lor judiciare. Cu toate acestea, derogarea ar trebui s se limiteze strict la
activiti pur judiciare n cadrul aciunilor n instan i s nu se aplice altor activiti
n care judectorii ar putea fi implicai, n conformitate cu legislaia naional.
(100) Pentru a se asigura consecvena monitorizrii i a aplicrii prezentului regulament n
ntreaga Uniune, autoritile de supraveghere ar trebui s aib n fiecare stat membru
aceleai atribuii i competene efective, inclusiv competene de investigare, de
intervenie cu for juridic obligatorie, de decizie i sancionare, n special n cazul
plngerilor depuse de persoane fizice, precum i de a aciona n justiie. Competenele
de investigare ale autoritilor de supraveghere n ceea ce privete accesul n localuri
ar trebui exercitate n conformitate cu dreptul Uniunii i cu legislaia naional.
Aceasta se refer, n special, la cerina de a obine n prealabil o autorizare judiciar.
(101) Fiecare autoritate de supraveghere ar trebui s rspund plngerilor depuse de orice
persoan vizat i ar trebui s investigheze cazul. Investigaia n urma unei plngeri ar
trebui s fie efectuat, sub control judiciar, n msura n care este necesar, n funcie de
caz. Autoritatea de supraveghere ar trebui s informeze persoana vizat cu privire la
evoluia i soluionarea plngerii ntr-un termen rezonabil. n eventualitatea n care
cazul necesit o investigare suplimentar sau coordonarea cu o alt autoritate de
supraveghere, ar trebui s se furnizeze informaii intermediare persoanei vizate.
(102) Activitile de cretere a gradului de contientizare organizate pentru public de
autoritile de supraveghere ar trebui s includ msuri specifice care s vizeze
operatorii i persoanele mputernicite de ctre operatori, inclusiv microntreprinderile
i ntreprinderile mici i mijlocii, precum i persoanele vizate.
(103) Autoritile de supraveghere ar trebui s i acorde reciproc asisten n ndeplinirea
atribuiilor care le revin, pentru a se asigura consecvena aplicrii i a asigurrii
aplicrii prezentului regulament n piaa intern.
(104) Fiecare autoritate de supraveghere ar trebui s aib dreptul de a participa la operaiuni
comune ntre autoritile de supraveghere. Autoritatea de supraveghere creia i s-a
adresat solicitarea ar trebui s aib obligaia de a rspunde cererii ntr-un anumit
termen.
(105) Pentru a se asigura aplicarea consecvent a prezentului regulament n ntreaga Uniune,
ar trebui s se instituie un mecanism pentru asigurarea coerenei n cadrul cruia
autoritile de supraveghere i Comisia s coopereze. Acest mecanism ar trebui s se
aplice, n special, n cazul n care o autoritate de supraveghere intenioneaz s ia o
msur n ceea ce privete operaiunile de prelucrare care au legtur cu oferirea de
bunuri sau servicii persoanelor vizate n mai multe state membre sau cu monitorizarea
comportamentului unor astfel de persoane vizate sau care ar putea afecta n mod
substanial libera circulaie a datelor cu caracter personal. Mecanismul ar trebui s se
aplice, de asemenea, n cazul n care o autoritate de supraveghere sau Comisia solicit
ca aspectul respectiv s fie abordat n cadrul mecanismului pentru asigurarea
coerenei. Acest mecanism nu ar trebui s aduc atingere msurilor pe care Comisia le
poate adopta n exercitarea competenelor care i revin n temeiul tratatelor.
(106) n aplicarea mecanismului pentru asigurarea coerenei, Comitetul european pentru
protecia datelor ar trebui, ntr-un anumit termen, s emit un aviz n cazul n care o

RO 33 RO
majoritate simpl a membrilor si decide astfel sau n cazul n care o autoritate de
supraveghere sau Comisia solicit acest lucru.
(107) Pentru a se asigura conformitatea cu prezentul regulament, Comisia poate adopta un
aviz privind aspectul respectiv sau o decizie, prin care s se solicite autoritii de
supraveghere suspendarea proiectului su de msur.
(108) Este posibil s existe o necesitate urgent de a se aciona pentru asigurarea proteciei
intereselor persoanelor vizate, n special n cazul n care exist pericolul ca exercitarea
unui drept al unei persoane vizate s fie mpiedicat n mod considerabil. Prin urmare,
atunci cnd aplic mecanismul pentru asigurarea coerenei, o autoritate de
supraveghere ar trebui s poat adopta msuri provizorii, cu o anumit perioad de
valabilitate.
(109) Aplicarea acestui mecanism ar trebui s fie o condiie pentru valabilitatea juridic i
executarea deciziei respective de ctre o autoritate de supraveghere. n alte cazuri cu
relevan transfrontalier, autoritile de supraveghere n cauz ar putea s i acorde
reciproc asisten i s efectueze investigaii comune, pe baz bilateral sau
multilateral, fr declanarea mecanismului pentru asigurarea coerenei.
(110) La nivelul Uniunii, ar trebui s se nfiineze Comitetul european pentru protecia
datelor. Acesta ar trebui s nlocuiasc Grupul de lucru pentru protecia persoanelor n
ceea ce privete prelucrarea datelor cu caracter personal, instituit prin
Directiva 95/46/CE. Acesta ar trebui s fie format din efii autoritii de supraveghere
a fiecrui stat membru i din eful Autoritii Europene pentru Protecia Datelor.
Comisia ar trebui s participe la activitile sale. Comitetul european pentru protecia
datelor ar trebui s contribuie la aplicarea consecvent a prezentului regulament n
ntreaga Uniune, inclusiv prin oferirea de consultan Comisiei i prin promovarea
cooperrii autoritilor de supraveghere n ntreaga Uniune. Comitetul european pentru
protecia datelor ar trebui s acioneze n mod independent n exercitarea sarcinilor
sale.
(111) Orice persoan vizat ar trebui s aib dreptul de a depune o plngere la o autoritate de
supraveghere n orice stat membru i dreptul la o cale de atac, n cazul n care
consider c drepturile pe care le are n temeiul prezentului regulament sunt nclcate
sau n cazul n care autoritatea de supraveghere nu reacioneaz la o plngere sau nu
acioneaz atunci cnd o astfel de aciune este necesar pentru asigurarea proteciei
drepturilor persoanei vizate.
(112) Orice organism, organizaie sau asociaie care are drept obiectiv asigurarea proteciei
drepturilor i intereselor persoanelor vizate n ceea ce privete protecia datelor
acestora i este constituit() n conformitate cu legislaia unui stat membru ar trebui s
aib dreptul de a depune o plngere la o autoritate de supraveghere sau s exercite
dreptul la o cale de atac n numele persoanelor vizate sau s depun, independent de
plngerea naintat de o persoan vizat, o plngere n nume propriu n cazul n care
consider c a avut loc o nclcare a securitii datelor cu caracter personal.
(113) Orice persoan fizic sau juridic ar trebui s aib dreptul la o cale de atac mpotriva
deciziilor unei autoriti de supraveghere care o privesc. Aciunile iniiate mpotriva
unei autoriti de supraveghere ar trebui s fie aduse n faa instanelor statului
membru n care este stabilit autoritatea de supraveghere.
(114) Pentru a se consolida protecia judiciar a persoanelor vizate n situaiile n care
autoritatea de supraveghere competent este stabilit n alt stat membru dect cel n
care persoana vizat i are reedina, persoana vizat poate solicita oricrui organism,

RO 34 RO
oricrei organizaii sau oricrei asociaii care are drept obiectiv asigurarea proteciei
drepturilor i intereselor persoanelor vizate n ceea ce privete protecia datelor
acestora s introduc o aciune n numele su mpotriva autoritii de supraveghere
respective n faa instanei competente din cellalt stat membru.
(115) n situaiile n care autoritatea de supraveghere competent stabilit n alt stat membru
nu acioneaz sau a adoptat msuri insuficiente n legtur cu o plngere, persoana
vizat poate solicita autoritii de supraveghere din statul membru n care i are
reedina obinuit s introduc o aciune mpotriva autoritii de supraveghere
respective n faa instanei competente din cellalt stat membru. Autoritatea de
supraveghere poate decide, sub control judiciar, dac este sau nu este oportun s se dea
curs cererii.
(116) n ceea ce privete aciunile iniiate mpotriva unui operator sau unei persoane
mputernicite de ctre operator, reclamantul ar trebui s aib posibilitatea de a
introduce aciunea n faa instanelor din statele membre n care operatorul sau
persoana mputernicit de ctre operator are un sediu sau n care persoana vizat i
are reedina, cu excepia cazului n care operatorul este o autoritate public care
acioneaz n exercitarea competenelor sale publice.
(117) n cazul n care exist indicii conform crora aciuni paralele sunt pendinte n faa
instanelor din state membre diferite, instanele ar trebui s aib obligaia de a se
contacta reciproc. Instanele ar trebui s aib posibilitatea de a suspenda o aciune
atunci cnd o cauz paralel este pendinte n alt stat membru. Statele membre ar trebui
s se asigure c aciunile n justiie, pentru a fi eficiente, permit adoptarea rapid de
msuri n scopul remedierii sau al prevenirii nclcrii prezentului regulament.
(118) Orice daun pe care o persoan o poate suferi din cauza unei prelucrri ilegale ar trebui
s fie compensat de operator sau de persoana mputernicit de ctre operator, care
poate fi exonerat() de rspundere dac dovedete c nu este rspunztor
(rspunztoare) pentru prejudiciu, n special n cazul n care acesta (aceasta) stabilete
vina persoanei vizate sau n caz de for major.
(119) Ar trebui impuse sanciuni oricrei persoane, de drept privat sau public, care nu
respect prezentul regulament. Statele membre ar trebui s se asigure c sanciunile
sunt eficace, proporionale i cu efect de descurajare i ar trebui s adopte toate
msurile pentru punerea n aplicare a sanciunilor.
(120) Pentru consolidarea i armonizarea sanciunilor administrative n cazul nclcrii
prezentului regulament, fiecare autoritate de supraveghere ar trebui s aib competena
de a sanciona infraciunile administrative. Prezentul regulament ar trebui s indice
aceste infraciuni i limita maxim a amenzilor administrative aferente, care ar trebui
s fie stabilite n fiecare caz, proporional cu situaia specific, lundu-se n
considerare n mod corespunztor, n special, natura, gravitatea i durata nclcrii.
Mecanismul pentru asigurarea coerenei poate fi, de asemenea, utilizat n scopul
remedierii divergenelor n aplicarea sanciunilor administrative.
(121) Prelucrarea datelor cu caracter personal exclusiv n scopuri jurnalistice, artistice sau
literare ar trebui s ndeplineasc criteriile pentru aplicarea unor derogri de la
cerinele anumitor dispoziii din prezentul regulament, n vederea stabilirii unui
echilibru ntre dreptul la protecia datelor cu caracter personal i dreptul la libertatea
de exprimare i, mai ales, dreptul de a primi i de a comunica informaii, astfel cum
este garantat n special prin articolul 11 din Carta drepturilor fundamentale a Uniunii
Europene. Acest lucru ar trebui s se aplice n special prelucrrii datelor cu caracter
personal din domeniul audiovizualului, precum i din arhivele de tiri i din

RO 35 RO
bibliotecile de ziare. Prin urmare, statele membre ar trebui s adopte msuri legislative
care s prevad excepiile i derogrile necesare n vederea asigurrii echilibrului ntre
aceste drepturi fundamentale. Astfel de excepii i derogri ar trebui s fie adoptate de
statele membre n ceea ce privete principiile generale, drepturile persoanelor vizate,
operatorul i persoana mputernicit de operator, transferul de date cu caracter
personal ctre ri tere sau organizaii internaionale, autoritile de supraveghere
independente, precum i cooperarea i coerena. Acest lucru nu trebuie totui s
determine statele membre s stabileasc derogri de la celelalte dispoziii ale
prezentului regulament. Pentru a ine seama de importana dreptului la libertatea de
exprimare n fiecare societate democratic, este necesar ca noiunile legate de aceast
libertate, cum ar fi jurnalismul, s fie interpretate n sens larg. Prin urmare, n scopul
excepiilor i derogrilor care urmeaz s fie stabilite n prezentul regulament, statele
membre ar trebui s clasifice drept jurnalistice activitile al cror scop este de a
comunica publicului informaii, opinii i idei, indiferent de suportul utilizat pentru
transmiterea acestora. Aceste activiti nu ar trebui s se limiteze la cele desfurate de
societi de media i pot include activiti cu sau fr scop lucrativ.
(122) Prelucrarea datelor cu caracter personal privind sntatea, care reprezint o categorie
special de date necesitnd un nivel mai ridicat de protecie, poate fi adesea justificat
de o serie de motive legitime n beneficiul persoanelor i al societii n general, n
special n contextul asigurrii continuitii asistenei medicale transfrontaliere. Prin
urmare, prezentul regulament ar trebui s prevad condiii armonizate pentru
prelucrarea datelor cu caracter personal privind sntatea, sub rezerva unor garanii
specifice i corespunztoare menite s protejeze drepturile fundamentale i datele cu
caracter personal al persoanelor fizice. Acest lucru include dreptul persoanelor de a
avea acces la datele lor cu caracter personal privind sntatea, de exemplu datele din
registrele lor medicale coninnd informaii precum diagnostice, rezultate ale
examinrilor, evaluri ale medicilor curani i orice tratament sau intervenie
efectuat.
(123) Prelucrarea datelor cu caracter personal privind sntatea poate fi necesar din motive
de interes public n domeniile sntii publice, fr consimmntul persoanei vizate.
n acest context, conceptul de sntate public ar trebui interpretat astfel cum este
definit n Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al
Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la
sntatea public, precum i la sntatea i sigurana la locul de munc, adic toate
elementele referitoare la sntate i anume starea de sntate, inclusiv morbiditatea
sau handicapul, factorii determinani care au efect asupra strii de sntate, necesitile
n domeniul asistenei medicale, resursele alocate asistenei medicale, furnizarea
asistenei medicale i asigurarea accesului universal la aceasta, precum i cheltuielile
i sursele de finanare n domeniul sntii i cauzele mortalitii. Aceast prelucrare
a datelor cu caracter personal privind sntatea din motive de interes public nu ar
trebui s duc la prelucrarea acestor date n alte scopuri de ctre pri tere, cum ar fi
angajatorii, societile de asigurri i bncile.
(124) Principiile generale privind protecia persoanelor fizice n ceea ce privete prelucrarea
datelor cu caracter personal ar trebui s fie aplicabile i n contextul ocuprii forei de
munc. Prin urmare, pentru a reglementa activitile de prelucrare a datelor cu caracter
personal ale angajailor n contextul ocuprii forei de munc, statele membre ar trebui
s aib posibilitatea, n limitele stabilite de prezentul regulament, de a adopta pe cale
legislativ norme specifice de prelucrare a datelor cu caracter personal n sectorul
ocuprii forei de munc.

RO 36 RO
(125) Pentru a fi legal, prelucrarea datelor cu caracter personal n scopuri de cercetare
istoric, statistic sau tiinific ar trebui s respecte i alte dispoziii legislative
relevante, cum ar fi cele privind studiile clinice.
(126) n sensul prezentului regulament, cercetarea tiinific ar trebui s includ cercetarea
fundamental, cercetarea aplicat i cercetarea finanat din surse private i ar trebui,
n plus, s ia n considerare obiectivul Uniunii de creare a unui spaiu european de
cercetare, astfel cum este menionat la articolul 179 alineatul (1) din Tratatul privind
funcionarea Uniunii Europene.
(127) n ceea ce privete competenele autoritilor de supraveghere de a obine, de la
operator sau de la persoana mputernicit de operator, accesul la datele cu caracter
personal i accesul n cldirile sale, statele membre pot adopta, pe cale legislativ i n
limitele stabilite de prezentul regulament, norme specifice pentru garantarea secretului
profesional sau a altor obligaii echivalente, n msura n care acest lucru este necesar
pentru a asigura un echilibru ntre dreptul la protecia datelor cu caracter personal i o
obligaie de pstrare a secretului profesional.
(128) Conform articolului 17 din Tratatul privind funcionarea Uniunii Europene, prezentul
regulament respect i nu aduce atingere statutului de care beneficiaz, n temeiul
dreptului naional, bisericile i asociaiile sau comunitile religioase din statele
membre. Prin urmare, atunci cnd o biseric dintr-un stat membru aplic, la data
intrrii n vigoare a prezentului regulament, norme cuprinztoare de protecie a
persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal, aceste
norme existente ar trebui s se aplice n continuare, n msura n care se asigur
conformitatea lor cu prezentul regulament. Ar trebui s se solicite acestor biserici i
asociaii religioase s prevad instituirea unei autoriti de supraveghere complet
independente.
(129) Pentru a se realiza obiectivele prezentului regulament, i anume protejarea drepturilor
i libertilor fundamentale ale persoanelor fizice i, n special, dreptul acestora la
protecia datelor cu caracter personal, i pentru a se garanta libera circulaie a datelor
cu caracter personal pe teritoriul Uniunii, competena de a adopta acte n conformitate
cu articolul 290 din Tratatul privind funcionarea Uniunii Europene ar trebui s fie
delegat Comisiei. n special, ar trebui adoptate acte delegate n ceea ce privete
legalitatea prelucrrii; specificarea criteriilor i a condiiilor de obinere a
consimmntului unui minor; prelucrarea unor categorii speciale de date; specificarea
criteriilor i a condiiilor aplicabile cererilor n mod vdit excesive i taxelor pentru
exercitarea drepturilor persoanelor vizate; criteriile i cerinele aplicabile pentru
informarea persoanei vizate i dreptul de acces; dreptul de a fi uitat i dreptul la
tergere; msurile bazate pe crearea de profiluri; criteriile i cerinele privind
responsabilitatea operatorului i protecia datelor ncepnd cu momentul conceperii i
protecia implicit a datelor; persoana mputernicit de operator; criteriile i cerinele
privind documentaia i securitatea prelucrrii; criteriile i cerinele aplicabile pentru
stabilirea unei nclcri a securitii datelor cu caracter personal i pentru notificarea
acesteia ctre autoritatea de supraveghere, precum i circumstanele n care o nclcare
a securitii datelor cu caracter personal ar putea aduce atingere persoanei vizate;
criteriile i condiiile pentru operaiunile de prelucrare care necesit o evaluare a
impactului asupra proteciei datelor; criteriile i cerinele pentru determinarea unui
nivel ridicat al riscurilor specifice care necesit o consultare prealabil; desemnarea i
sarcinile responsabilului cu protecia datelor; codurile de conduit; criteriile i
cerinele privind mecanismele de certificare; criteriile i cerinele pentru transferurile
prin intermediul regulilor corporatiste obligatorii; derogrile aplicabile transferului;

RO 37 RO
sanciunile administrative; prelucrarea n scopuri medicale; prelucrarea n contextul
ocuprii forei de munc i prelucrarea n scopuri de cercetare istoric, statistic i
tiinific. Este deosebit de important ca, pe durata activitilor pregtitoare, Comisia
s desfoare consultri adecvate, inclusiv la nivel de experi. Atunci cnd pregtete
i elaboreaz acte delegate, Comisia trebuie s asigure transmiterea simultan, la timp
i n mod corespunztor a documentelor relevante ctre Parlamentul European i ctre
Consiliu.
(130) n vederea asigurrii unor condiii uniforme de punere n aplicare a prezentului
regulament, Comisia ar trebui investit cu competene de executare pentru a stabili:
formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; proceduri
standard i formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare
tip pentru informarea persoanei vizate; formulare tip i proceduri standard referitoare
la dreptul de acces; dreptul la portabilitatea datelor; formulare tip n ceea ce privete
responsabilitatea operatorului de a asigura protecia datelor ncepnd cu momentul
conceperii i protecia implicit a datelor; cerine specifice privind securitatea
prelucrrii; formatul i procedurile standard pentru notificarea unei nclcri a
securitii datelor cu caracter personal n atenia autoritii de supraveghere i pentru
comunicarea unei nclcri a securitii datelor cu caracter personal ctre persoana
vizat; standarde i proceduri pentru o evaluare a impactului asupra proteciei datelor;
formele i procedurile de autorizare prealabil i de consultare prealabil; standarde
tehnice i mecanisme de certificare; nivelul adecvat de protecie oferit de o ar ter,
de un teritoriu sau de un sector de prelucrare din ara ter respectiv sau de o
organizaie internaional; divulgrile de informaii neautorizate de dreptul Uniunii;
asistena reciproc; operaiunile comune; deciziile n cadrul mecanismului pentru
asigurarea coerenei. Competenele respective ar trebui s fie exercitate n
conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European i al
Consiliului din 16 februarie 2011 de stabilire a normelor i principiilor generale
privind mecanismele de control de ctre statele membre al exercitrii competenelor de
executare de ctre Comisie1. n acest context, Comisia ar trebui s ia n considerare
msuri specifice pentru microntreprinderi i pentru ntreprinderi mici i mijlocii.
(131) Procedura de examinare ar trebui s fie utilizat pentru a se stabili formulare tip legate
de obinerea consimmntului unui minor; proceduri standard i formulare tip pentru
exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei
vizate; formulare tip i proceduri standard referitoare la dreptul de acces; dreptul la
portabilitatea datelor; formulare tip n ceea ce privete responsabilitatea operatorului
de a asigura protecia datelor ncepnd cu momentul conceperii i protecia implicit a
datelor; cerine specifice privind securitatea prelucrrii; formatul i procedurile
standard pentru notificarea unei nclcri a securitii datelor cu caracter personal n
atenia autoritii de supraveghere i pentru comunicarea unei nclcri a securitii
datelor cu caracter personal ctre persoana vizat; standarde i proceduri pentru o
evaluare a impactului asupra proteciei datelor; formele i procedurile de autorizare
prealabil i de consultare prealabil; standarde tehnice i mecanisme de certificare;
nivelul adecvat de protecie oferit de o ar ter, de un teritoriu sau de un sector de
prelucrare din ara ter respectiv sau de o organizaie internaional; divulgrile de
informaii neautorizate de dreptul Uniunii; asistena reciproc; operaiunile comune;
deciziile n cadrul mecanismului pentru asigurarea coerenei, dat fiind c aceste acte
au un domeniu de aplicare general.
1
Regulamentul (UE) nr. 182/2011 al Parlamentului European i al Consiliului din 16 februarie
2011 de stabilire a normelor i principiilor generale privind mecanismele de control de ctre statele
membre al exercitrii competenelor de executare de ctre Comisie, JO L 55, 28.2.2011, p. 13.

RO 38 RO
(132) Comisia ar trebui s adopte acte de punere n aplicare imediat aplicabile atunci cnd
acest lucru se impune din motive imperative de urgen, n cazuri justificate n mod
corespunztor referitoare la o ar ter, un teritoriu sau un sector de prelucrare din
ara ter respectiv sau o organizaie internaional care nu asigur un nivel de
protecie adecvat i referitoare la aspectele comunicate de ctre autoritile de
supraveghere n cadrul mecanismului pentru asigurarea coerenei.
(133) Dat fiind c obiectivele prezentului regulament, i anume asigurarea unui nivel
echivalent de protecie a persoanelor i libera circulaie a datelor n ntreaga Uniune,
nu pot fi realizate n mod satisfctor de ctre statele membre i, prin urmare, avnd n
vedere amploarea i efectele aciunii, pot fi realizate mai bine la nivelul Uniunii,
Uniunea poate s adopte msuri n conformitate cu principiul subsidiaritii, astfel
cum este prevzut la articolul 5 din Tratatul privind Uniunea European. n
conformitate cu principiul proporionalitii, astfel cum este enunat la articolul
respectiv, prezentul regulament nu depete ceea ce este necesar pentru atingerea
acestui obiectiv.
(134) Directiva 95/46/CE ar trebui s fie abrogat prin prezentul regulament. Cu toate
acestea, deciziile Comisiei care au fost adoptate i autorizaiile care au fost emise de
autoritile de supraveghere pe baza Directivei 95/46/CE ar trebui s rmn n
vigoare.
(135) Prezentul regulament ar trebui s se aplice tuturor aspectelor referitoare la protecia
drepturilor i a libertilor fundamentale legate de prelucrarea datelor cu caracter
personal, care fac obiectul unor obligaii specifice cu acelai obiectiv ca cel stabilit n
Directiva 2002/58/CE, inclusiv obligaiile privind operatorul i drepturile persoanelor
fizice. Pentru a se clarifica relaia dintre prezentul regulament i
Directiva 2002/58/CE, aceasta din urm ar trebui s fie modificat n consecin.
(136) n ceea ce privete Islanda i Norvegia, prezentul regulament reprezint o dezvoltare a
dispoziiilor acquis-ului Schengen, n msura n care se aplic prelucrrii datelor cu
caracter personal de ctre autoritile implicate n punerea n aplicare a acquis-ului,
astfel cum prevede Acordul ncheiat de Consiliul Uniunii Europene i Republica
Islanda i Regatul Norvegiei privind asocierea acestora din urm la punerea n
aplicare, respectarea i dezvoltarea acquis-ului Schengen1.
(137) n ceea ce privete Elveia, prezentul regulament reprezint o dezvoltare a
dispoziiilor acquis-ului Schengen, n msura n care se aplic prelucrrii datelor cu
caracter personal de ctre autoritile implicate n punerea n aplicare a acquis-ului,
astfel cum prevede Acordul ntre Uniunea European, Comunitatea European i
Confederaia Elveian cu privire la asocierea Confederaiei Elveiene la punerea n
aplicare, respectarea i dezvoltarea acquis-ului Schengen2.
(138) n ceea ce privete Liechtenstein, prezentul regulament reprezint o dezvoltare a
dispoziiilor acquis-ului Schengen, n msura n care se aplic prelucrrii datelor cu
caracter personal de ctre autoritile implicate n punerea n aplicare a acquis-ului,
astfel cum prevede Protocolul ntre Uniunea European, Comunitatea European,
Confederaia Elveian i Principatul Liechtenstein privind aderarea Principatului
Liechtenstein la Acordul ntre Uniunea European, Comunitatea European i
Confederaia Elveian privind asocierea Confederaiei Elveiene la punerea n
aplicare, respectarea i dezvoltarea acquis-ului Schengen3.

1
JO L 176, 10.7.1999, p. 36.
2
JO L 53, 27.2.2008, p. 52.
3
JO L 160, 18.6.2011, p. 19.

RO 39 RO
(139) Avnd n vedere faptul c, aa cum a subliniat Curtea de Justiie a Uniunii Europene,
dreptul la protecia datelor cu caracter personal nu este un drept absolut, ci trebuie luat
n considerare n raport cu funcia pe care o ndeplinete n societate i echilibrat cu
alte drepturi fundamentale, n conformitate cu principiul proporionalitii, prezentul
regulament respect drepturile fundamentale i principiile recunoscute n Carta
drepturilor fundamentale a Uniunii Europene consacrat n tratate, n special dreptul la
respectarea vieii private i de familie, a reedinei i a secretului comunicaiilor,
dreptul la protecia datelor cu caracter personal, libertatea de gndire, de contiin i
de religie, libertatea de exprimare i de informare, libertatea de a desfura o activitate
comercial, dreptul la o cale de atac eficient i la un proces echitabil, precum i
diversitatea cultural, religioas i lingvistic.
ADOPT PREZENTUL REGULAMENT:
CAPITOLUL I
DISPOZIII GENERALE

Articolul 1
Obiect i obiective
1. Prezentul regulament stabilete normele referitoare la protecia persoanelor fizice n
ceea ce privete prelucrarea datelor cu caracter personal, precum i normele
referitoare la libera circulaie a datelor cu caracter personal.
2. Prezentul regulament asigur protecia drepturilor i a libertilor fundamentale ale
persoanelor fizice, n special dreptul acestora la protecia datelor cu caracter
personal.
3. Libera circulaie a datelor cu caracter personal n cadrul Uniunii nu poate fi limitat
sau interzis din motive legate de protecia persoanelor fizice n ceea ce privete
prelucrarea datelor cu caracter personal.

Articolul 2
Domeniul material de aplicare
1. Prezentul regulament se aplic prelucrrii datelor cu caracter personal, efectuate total
sau parial prin mijloace automatizate, precum i prelucrrii prin alte mijloace dect
cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de
eviden a datelor sau care sunt destinate s fac parte dintr-un sistem de eviden a
datelor.
2. Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal:
(a) n cadrul unei activiti care nu intr sub incidena dreptului Uniunii, n ceea ce
privete, mai ales, securitatea naional;
(b) de ctre instituiile, organele, oficiile i ageniile Uniunii;
(c) de ctre statele membre atunci cnd desfoar activiti care intr sub
incidena capitolului 2 din Tratatul privind Uniunea European;
(d) de ctre o persoan fizic, fr niciun interes lucrativ, n cadrul activitilor
sale exclusiv personale sau domestice;
(e) de ctre autoritile competente n scopul prevenirii, investigrii, identificrii
sau urmririi penale a infraciunilor sau al executrii sanciunilor penale.

RO 40 RO
3. Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE, n special a
normelor privind rspunderea furnizorilor de servicii intermediari, prevzute la
articolele 12 - 15 din directiva menionat.

Articolul 3
Domeniul teritorial de aplicare
1. Prezentul regulament se aplic prelucrrii datelor cu caracter personal n cadrul
activitilor unui sediu al unui operator sau al unei persoane mputernicite de
operator pe teritoriul Uniunii.
2. Prezentul regulament se aplic prelucrrii datelor cu caracter personal ale persoanelor
vizate care i au reedina n Uniune de ctre un operator care nu este stabilit n
Uniune, atunci cnd activitile de prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune sau
(b) urmrirea comportamentului acestora.
3. Prezentul regulament se aplic prelucrrii datelor cu caracter personal de ctre un
operator care nu este stabilit n Uniune, ci ntr-un loc n care legislaia naional a
unui stat membru se aplic n temeiul dreptului internaional public.

Articolul 4
Definiii
n sensul prezentului regulament:
(1) persoana vizat nseamn o persoan fizic identificat sau o persoan fizic ce
poate fi identificat, n mod direct sau indirect, prin mijloace care pot fi utilizate, cu o
probabilitate rezonabil, de operator sau de orice alt persoan fizic sau juridic, n
special prin referire la un numr de identificare, la date de localizare, la un
identificator online sau la unul sau mai muli factori specifici identitii fizice,
fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective;
(2) date cu caracter personal nseamn orice informaie privind o persoan vizat;
(3) prelucrare nseamn orice operaiune sau set de operaiuni efectuate asupra datelor
cu caracter personal sau seturilor de date cu caracter personal, cu sau fr utilizarea
de mijloace automatizate, cum ar fi culegerea, nregistrarea, organizarea, structurarea,
stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvluirea
prin transmitere, diseminarea sau punerea la dispoziie n orice alt mod, alinierea sau
combinarea, tergerea sau distrugerea;
(4) sistem de eviden a datelor nseamn orice set structurat de date cu caracter
personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate
sau repartizate dup criterii funcionale sau geografice;
(5) operator nseamn persoana fizic sau juridic, autoritatea public, agenia sau
orice alt organism care, singur sau mpreun cu altele, stabilete scopurile, condiiile
i mijloacele de prelucrare a datelor cu caracter personal; atunci cnd scopurile,
condiiile i mijloacele prelucrrii sunt stabilite prin dreptul Uniunii sau prin
legislaia unui stat membru, operatorul sau criteriile specifice pentru desemnarea
acestuia pot fi stabilite prin dreptul Uniunii sau prin legislaia unui stat membru;

RO 41 RO
(6) persoana mputernicit de operator nseamn persoana fizic sau juridic,
autoritatea public, agenia sau orice alt organism care prelucreaz datele cu caracter
personal n numele operatorului;
(7) destinatar nseamn persoana fizic sau juridic, autoritatea public, agenia sau
orice alt organism cruia i sunt transmise datele cu caracter personal;
(8) consimmntul persoanei vizate nseamn orice manifestare de voin, liber,
specific, informat i explicit, prin care persoana vizat accept, printr-o declaraie
sau printr-o aciune pozitiv fr echivoc, ca datele sale cu caracter personal s fie
prelucrate;
(9) nclcarea securitii datelor cu caracter personal nseamn o nclcare a securitii
care duce, n mod accidental sau ilegal, la distrugerea, pierderea, modificarea,
divulgarea neautorizat sau accesul neautorizat la datele cu caracter personal
transmise, stocate sau prelucrate n alt mod;
(10) date genetice nseamn toate datele, indiferent de tipul acestora, referitoare la
caracteristicile unei persoane, care sunt motenite sau dobndite ntr-un stadiu
precoce de dezvoltare prenatal;
(11) date biometrice nseamn orice date referitoare la caracteristicile fizice, fiziologice
sau comportamentale ale unei persoane, care permit identificarea unic a acesteia,
cum ar fi imaginile faciale sau datele dactiloscopice;
(12) date privind sntatea nseamn orice informaii legate de sntatea fizic sau
mental a unei persoane sau de acordarea de servicii medicale persoanei respective;
(13) sediu principal nseamn, n ceea ce privete operatorul, locul de stabilire al
acestuia pe teritoriul Uniunii, n care sunt luate principalele decizii privind scopurile,
condiiile i mijloacele de prelucrare a datelor cu caracter personal; n cazul n care
nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condiiile i
mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul n
care se desfoar principalele activiti de prelucrare n cadrul activitilor unui
sediu al unui operator din Uniune. n ceea ce privete persoana mputernicit de
operator, sediu principal nseamn locul administraiei sale centrale din Uniune;
(14) reprezentant nseamn orice persoan fizic sau juridic stabilit n Uniune,
desemnat explicit de ctre operator, care acioneaz i poate fi contactat n locul
operatorului de ctre orice autoritate de supraveghere i alte organisme din Uniune,
n ceea ce privete obligaiile care i revin operatorului n temeiul prezentului
regulament;
(15) ntreprindere nseamn orice entitate care desfoar o activitate economic,
indiferent de forma juridic a acesteia, cuprinznd, n special, persoane fizice i
juridice, parteneriate sau asociaii care desfoar n mod regulat o activitate
economic;
(16) grup de ntreprinderi nseamn o ntreprindere care exercit controlul i
ntreprinderile controlate de aceasta;
(17) reguli corporatiste obligatorii nseamn politicile n materie de protecie a datelor
cu caracter personal care trebuie respectate de ctre un operator sau o persoan
mputernicit de operator stabilit pe teritoriul unui stat membru al Uniunii, n ceea
ce privete transferurile sau seturile de transferuri de date cu caracter personal ctre
un operator sau o persoan mputernicit n una sau mai multe ri tere n cadrul
unui grup de ntreprinderi;

RO 42 RO
(18) minor nseamn orice persoan cu vrsta sub 18 ani;
(19) autoritate de supraveghere nseamn o autoritate public instituit de un stat
membru n conformitate cu articolul 46.
CAPITOLUL II
PRINCIPII

Articolul 5
Principii legate de prelucrarea datelor cu caracter personal
Datele cu caracter personal trebuie:
(a) s fie prelucrate n mod legal, echitabil i transparent fa de persoana vizat;
(b) s fie colectate n scopuri determinate, explicite i legitime i s nu fie
prelucrate ulterior ntr-un mod incompatibil cu aceste scopuri;
(c) s fie adecvate, pertinente i limitate la strictul necesar n ceea ce privete
scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dac i
att timp ct scopurile nu pot fi ndeplinite prin prelucrarea unor informaii
care nu implic date cu caracter personal;
(d) s fie exacte i actualizate; trebuie s se ia toate msurile necesare pentru a se
asigura c datele cu caracter personal care sunt inexacte, avnd n vedere
scopurile pentru care sunt prelucrate, s fie terse sau rectificate fr ntrziere;
(e) s fie pstrate ntr-o form care permite identificarea persoanelor vizate pe o
perioad care nu depete perioada necesar ndeplinirii scopurilor pentru
care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade
mai lungi n msura n care acestea vor fi prelucrate numai n scopuri de
cercetare istoric, statistic sau tiinific, n conformitate cu normele i
condiiile prevzute la articolul 83, i numai dac se efectueaz o reexaminare
periodic n vederea evalurii necesitii de a continua stocarea;
(f) s fie prelucrate sub rspunderea operatorului, care asigur i demonstreaz
conformitatea fiecrei operaiuni de prelucrare cu dispoziiile prezentului
regulament.

Articolul 6
Legalitatea prelucrrii
1. Prelucrarea datelor cu caracter personal este legal numai dac i n msura n care se
aplic cel puin una dintre urmtoarele condiii:
(a) persoana vizat i-a dat consimmntul pentru prelucrarea datelor sale cu
caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesar pentru executarea unui contract la care persoana
vizat este parte sau pentru executarea unor msuri precontractuale la cererea
persoanei vizate;
(c) prelucrarea este necesar n vederea ndeplinirii unei obligaii legale care i
revine operatorului;
(d) prelucrarea este necesar pentru a proteja interesele vitale ale persoanei vizate;

RO 43 RO
(e) prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui
interes public sau care rezult din exercitarea autoritii publice cu care este
nvestit operatorul;
(f) prelucrarea este necesar n scopul intereselor legitime urmrite de operator, cu
excepia cazului n care prevaleaz interesele sau drepturile i libertile
fundamentale ale persoanei vizate, care necesit protejarea datelor cu caracter
personal, n special atunci cnd persoana vizat este un minor. Acest lucru nu
se aplic n cazul prelucrrii efectuate de ctre autoritile publice n
ndeplinirea misiunii lor.
2. Prelucrarea datelor cu caracter personal necesar n scopuri de cercetare istoric,
statistic sau tiinific este legal sub rezerva condiiilor i a garaniilor prevzute
la articolul 83.
3. Temeiul juridic pentru prelucrarea menionat la alineatul (1) literele (c) i (e)
trebuie s fie prevzut n:
(a) dreptul Uniunii sau
(b) legislaia statului membru care se aplic operatorului.
Legislaia statului membru trebuie s urmreasc un obiectiv de interes public sau s
fie necesar n vederea protejrii drepturilor i libertilor celorlali, s respecte
substana dreptului de protecie a datelor cu caracter personal i s fie proporional
cu obiectivul legitim urmrit.
4. n cazul n care scopul prelucrrii ulterioare nu este compatibil cu scopul pentru care
au fost colectate datele cu caracter personal, prelucrarea trebuie s se bazeze pe un
temei juridic care presupune cel puin unul din considerentele menionate la
alineatul (1) literele (a) - (e). Acest lucru se aplic n special oricrei schimbri a
termenilor i condiiilor generale ale unui contract.
5. Comisia trebuie s fie abilitat s adopte acte delegate n conformitate cu articolul 86
n scopul detalierii condiiilor menionate la alineatul (1) litera (f) pentru diverse
sectoare i situaii de prelucrare a datelor, inclusiv n ceea ce privete prelucrarea
datelor cu caracter personal referitoare la un minor.

Articolul 7
Condiii privind consimmntul
1. Operatorul suport sarcina probei n ceea ce privete acordarea de ctre persoana
vizat a consimmntului pentru prelucrarea datelor sale cu caracter personal n
scopurile specificate.
2. n cazul n care consimmntul persoanei vizate urmeaz s fie acordat n contextul
unei declaraii scrise care se refer i la un alt aspect, solicitarea de a acorda
consimmntul trebuie s fie prezentat ntr-o form care o difereniaz de cellalt
aspect.
3. Persoana vizat are dreptul s i retrag n orice moment consimmntul.
Retragerea consimmntului nu afecteaz legalitatea prelucrrii efectuate pe baza
consimmntului nainte de retragerea acestuia.
4. Consimmntul nu reprezint un temei juridic pentru prelucrare atunci cnd exist
un dezechilibru semnificativ ntre poziia persoanei vizate i cea a operatorului.

RO 44 RO
Articolul 8
Prelucrarea datelor cu caracter personal ale minorilor
1. n sensul prezentului regulament, n ceea ce privete oferirea de servicii ale societii
informaionale n mod direct unui minor, prelucrarea datelor cu caracter personal ale
unui minor cu vrsta sub 13 ani este legal numai dac i n msura n care
consimmntul este acordat sau autorizat de printele sau de tutorele minorului.
Operatorul depune toate eforturile rezonabile pentru a obine consimmntul
verificabil, innd seama de tehnologiile disponibile.
2. Alineatul (1) nu afecteaz dreptul general al contractelor aplicabil n statele membre,
cum ar fi normele privind valabilitatea, ncheierea sau efectele unui contract n
legtur cu un minor.
3. Comisia este abilitat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i cerinelor referitoare la metodele de a obine
consimmntul verificabil menionate la alineatul (1). n acest sens, Comisia ia n
considerare msuri specifice pentru microntreprinderi i pentru ntreprinderi mici i
mijlocii.
4. Comisia poate s stabileasc formulare tip pentru metodele specifice de obinere a
consimmntului verificabil menionat la alineatul (1). Actele de punere n aplicare
respective se adopt n conformitate cu procedura de examinare prevzut la
articolul 87 alineatul (2).

Articolul 9
Prelucrarea categoriilor speciale de date cu caracter personal
1. Se interzice prelucrarea datelor cu caracter personal care dezvluie originea rasial
sau etnic, opiniile politice, religia sau convingerile, apartenena sindical, precum i
prelucrarea datelor genetice sau a datelor privind sntatea, viaa sexual,
condamnrile penale sau msurile de securitate conexe.
2. Alineatul (1) nu se aplic atunci cnd:
(a) persoana vizat i-a dat consimmntul pentru prelucrarea acestor date cu
caracter personal, n condiiile prevzute la articolele 7 i 8, cu excepia
cazului n care dreptul Uniunii sau legislaia unui stat membru prevede c
interdicia menionat la alineatul (1) nu poat fi ridicat de persoana vizat
sau
(b) prelucrarea este necesar n scopul respectrii obligaiilor i al exercitrii unor
drepturi specifice ale operatorului n domeniul dreptului muncii, n msura n
care acest lucru este autorizat de dreptul Uniunii sau de legislaia unui stat
membru care prevede garanii adecvate sau
(c) prelucrarea este necesar pentru protejarea intereselor vitale ale persoanei
vizate sau ale altei persoane, atunci cnd persoana vizat se afl n incapacitate
fizic sau juridic s-i dea consimmntul sau
(d) prelucrarea este efectuat, n cadrul activitilor lor legitime i cu garanii
adecvate, de ctre o fundaie, o asociaie sau orice alt organism cu scop
nelucrativ i cu specific politic, filozofic, religios sau sindical, cu condiia ca
prelucrarea s se refere numai la membrii sau la fotii membri ai organismului
respectiv sau la persoane cu care acesta are contacte permanente n legtur cu

RO 45 RO
scopurile sale i ca datele s nu fie comunicate terilor fr consimmntul
persoanelor vizate sau
(e) prelucrarea se refer la date cu caracter personal care sunt fcute publice n
mod manifest de ctre persoana vizat sau
(f) prelucrarea este necesar pentru constatarea, exercitarea sau aprarea unui drept
n instan sau
(g) prelucrarea este necesar pentru ndeplinirea unei sarcini de interes public,
executate n baza dreptului Uniunii sau a legislaiei unui stat membru, care
prevede msurile corespunztoare pentru protejarea intereselor legitime ale
persoanei vizate sau
(h) prelucrarea datelor privind sntatea este necesar n scopuri legate de sntate
i sub rezerva condiiilor i a garaniilor prevzute la articolul 81 sau
(i) prelucrarea este necesar n scopuri de cercetare istoric, statistic sau
tiinific, sub rezerva condiiilor i a garaniilor prevzute la articolul 83 sau
(j) prelucrarea datelor referitoare la condamnri penale sau la msuri de securitate
conexe se efectueaz fie sub controlul autoritii publice, fie atunci cnd
prelucrarea este necesar pentru conformarea cu o obligaie legal sau de
reglementare care i revine operatorului, fie pentru ndeplinirea unei sarcini
executate din considerente importante de interes public, n msura n care
prelucrarea este autorizat de dreptul Uniunii sau de legislaia unui stat
membru care prevede garanii adecvate. Un registru complet al condamnrilor
penale este inut numai sub controlul autoritii publice.
3. Comisia este abilitat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor, condiiilor i garaniilor corespunztoare pentru
prelucrarea categoriilor speciale de date cu caracter personal menionate la
alineatul (1), precum i derogrile prevzute la alineatul (2).

Articolul 10
Prelucrarea care nu permite identificarea
n cazul n care datele prelucrate de ctre un operator nu i permit acestuia s identifice o
persoan fizic, operatorul nu are obligaia de a obine informaii suplimentare pentru a
identifica persoana vizat numai n scopul respectrii unei dispoziii ale prezentului
regulament.
CAPITOLUL III
DREPTURILE PERSOANEI VIZATE
SECIUNEA 1
TRANSPAREN I MODALITI

Articolul 11
Transparena informaiilor i a comunicrilor
1. Operatorul aplic politici transparente i uor de accesat n ceea ce privete
prelucrarea datelor cu caracter personal i exercitarea drepturilor persoanelor vizate.
2. Operatorul transmite persoanei vizate orice informaie i orice comunicare cu privire
la prelucrarea datelor cu caracter personal ntr-o form inteligibil, utiliznd un

RO 46 RO
limbaj clar i simplu, adaptat n funcie de persoana vizat, n special pentru orice
informaie adresat n mod expres unui minor.

Articolul 12
Proceduri i mecanisme de exercitare a drepturilor persoanei vizate
1. Operatorul stabilete proceduri pentru furnizarea informaiilor prevzute la
articolul 14 i pentru exercitarea drepturilor persoanelor vizate menionate la
articolul 13 i la articolele 15 - 19. Operatorul prevede n special mecanisme pentru
facilitarea introducerii unei cereri privind aciunile menionate la articolul 13 i la
articolele 15 - 19. n cazul n care datele cu caracter personal fac obiectul unei
prelucrri automatizate, operatorul prevede, de asemenea, modalitile de introducere
a cererilor pe cale electronic.
2. Operatorul informeaz persoana vizat fr ntrziere i, cel trziu, n termen de o
lun de la primirea cererii, dac a fost luat vreo msur n temeiul articolului 13 i
al articolelor 15 - 19 i furnizeaz informaiile solicitate. Acest termen poate fi
prelungit cu nc o lun, n cazul n care mai multe persoanele vizate i exercit
drepturile i cooperarea acestora este necesar ntr-o msur rezonabil pentru a evita
eforturi inutile i disproporionate din partea operatorului. Informaiile sunt furnizate
n scris. n cazul n care persoana vizat introduce o cerere n format electronic,
informaiile sunt furnizate n format electronic, cu excepia cazului n care persoana
vizat solicit un alt format.
3. n cazul n care operatorul refuz s ia msuri la cererea persoanei vizate, acesta
informeaz persoana vizat cu privire la motivele refuzului i la posibilitile de a
depune o plngere n faa autoritii de supraveghere i de a introduce o cale de atac
n justiie.
4. Informaiile i msurile luate n contextul cererilor menionate la alineatul (1) sunt
gratuite. n cazul n care cererile sunt n mod vdit excesive, n special din cauza
caracterului lor repetitiv, operatorul poate percepe o tax pentru furnizarea
informaiilor sau pentru luarea msurilor solicitate ori poate s nu ia msurile
solicitate. n acest caz, operatorul suport sarcina probei n ceea ce privete
caracterul vdit excesiv al cererii.
5. Comisia este abilitat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i condiiilor privind cererile vdit excesive i taxele
menionate la alineatul (4).
6. Comisia poate stabili formulare tip i proceduri standard n ceea ce privete
comunicarea menionat la alineatul (2), inclusiv n format electronic. n acest sens,
Comisia ia n considerare msuri corespunztoare pentru microntreprinderi i pentru
ntreprinderi mici i mijlocii. Actele de punere n aplicare respective se adopt n
conformitate cu procedura de examinare prevzut la articolul 87 alineatul (2).

Articolul 13
Drepturi referitoare la destinatari
Operatorul comunic fiecrui destinatar cruia i-au fost dezvluite datele orice rectificare sau
tergere efectuat n conformitate cu articolele 16 i 17, cu excepia cazului n care acest
lucru se dovedete imposibil sau presupune un efort disproporionat.

RO 47 RO
SECIUNEA 2
INFORMARE I ACCES LA DATE

Articolul 14
Informaii pentru persoana vizat
1. Atunci cnd sunt colectate date cu caracter personal referitoare la o persoan vizat,
operatorul furnizeaz persoanei vizate cel puin urmtoarele informaii:
(a) identitatea i datele de contact ale operatorului i, dup caz, ale
reprezentantului operatorului i ale responsabilului cu protecia datelor;
(b) scopurile n care sunt prelucrate datele cu caracter personal, inclusiv condiiile
contractului i condiiile generale n cazul n care prelucrarea se ntemeiaz pe
articolul 6 alineatul (1) litera (b) i interesele legitime urmrite de operator n
cazul n care prelucrarea se ntemeiaz pe articolul 6 alineatul (1) litera (f);
(c) perioada n care vor fi stocate datele cu caracter personal;
(d) existena dreptului de a solicita operatorului accesul la datele cu caracter
personal referitoare la persoana vizat, precum i rectificarea sau tergerea
acestora, sau a dreptului de a se opune prelucrrii acestor date cu caracter
personal;
(e) dreptul de a depune o plngere n faa autoritii de supraveghere i datele de
contact ale autoritii de supraveghere;
(f) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
(g) dac este cazul, intenia operatorului de a efectua un transfer ctre o ar ter
sau o organizaie internaional i nivelul de protecie oferit de ara ter sau
de organizaia internaional respectiv, prin trimitere la o decizie a Comisiei
privind caracterul adecvat al nivelului de protecie;
(h) orice alt informaie necesar pentru garantarea unei prelucrri corecte fa de
persoana vizat, avnd n vedere circumstanele specifice n care sunt colectate
datele cu caracter personal.
2. n cazul n care datele cu caracter personal sunt colectate de la persoana vizat,
operatorul transmite persoanei vizate, n plus fa de informaiile menionate la
alineatul (1), informaii cu privire la caracterul obligatoriu sau voluntar al furnizrii
datelor cu caracter personal, precum i la eventualele consecine ale refuzului de a
furniza aceste date.
3. n cazul n care datele cu caracter personal nu sunt colectate de la persoana vizat,
operatorul transmite persoanei vizate, n plus fa de informaiile menionate la
alineatul (1), informaii privind sursele din care provin datele cu caracter personal.
4. Operatorul furnizeaz informaiile menionate la alineatele (1), (2) i (3):
(a) n momentul n care datele cu caracter personal sunt colectate de la persoana
vizat sau
(b) n cazul n care datele cu caracter personal nu sunt colectate de la persoana
vizat, n momentul nregistrrii acestora sau ntr-un termen rezonabil dup
colectare, innd seama de circumstanele specifice n care datele respective
sunt colectate sau prelucrate n alt mod sau dac se preconizeaz comunicarea

RO 48 RO
acestora ctre un alt destinatar, i cel trziu n momentul n care datele sunt
comunicate pentru prima dat.
5. Dispoziiile alineatelor (1) - (4) nu se aplic atunci cnd:
(a) persoana vizat deine deja informaiile menionate la alineatele (1), (2) i (3)
sau
(b) datele nu sunt colectate de la persoana vizat, iar furnizarea acestor informaii
se dovedete imposibil sau ar presupune un efort disproporionat sau
(c) datele nu sunt colectate de la persoana vizat, iar nregistrarea sau divulgarea
datelor este prevzut n mod expres de lege sau
(d) datele nu sunt colectate de la persoana vizat, iar furnizarea acestor informaii
aduce atingere drepturilor i libertilor altor persoane, astfel cum sunt definite
n dreptul Uniunii sau n legislaia unui stat membru, n conformitate cu
articolul 21.
6. n cazul menionat la alineatul (5) litera (b), operatorul prevede msuri
corespunztoare pentru protejarea intereselor legitime ale persoanei vizate.
7. Comisia este abilitat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor privind categoriile de destinatari menionate la
alineatul (1) litera (f), a cerinelor privind notificarea posibilitii de acces
menionate la alineatul (1) litera (g), a criteriilor privind informaiile suplimentare
necesare menionate la alineatul (1) litera (h) pentru sectoare i situaii specifice,
precum i a condiiilor i a garaniilor corespunztoare pentru derogrile prevzute
la alineatul (5) litera (b). n acest sens, Comisia ia n considerare msuri
corespunztoare pentru microntreprinderi i pentru ntreprinderi mici i mijlocii.
8. Comisia poate stabili formulare tip pentru transmiterea informaiilor menionate la
alineatele (1) - (3), innd seama, dac este cazul, de particularitile i nevoile
specifice ale diverselor sectoare i situaii de prelucrare a datelor. Actele de punere
n aplicare respective se adopt n conformitate cu procedura de examinare prevzut
la articolul 87 alineatul (2).

Articolul 15
Dreptul de acces al persoanei vizate
1. Persoana vizat are dreptul de a obine din partea operatorului, n orice moment, la
cerere, confirmarea faptului c datele sale cu caracter personal sunt sau nu prelucrate.
n cazul n care aceste date cu caracter personal sunt prelucrate, operatorul furnizeaz
urmtoarele informaii:
(a) scopurile prelucrrii;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari crora datele cu caracter personal
urmeaz s le fie divulgate sau le-au fost divulgate, n special dac destinatarii
sunt din ri tere;
(d) perioada n care vor fi stocate datele cu caracter personal;
(e) existena dreptului de a solicita operatorului rectificarea sau tergerea datelor
cu caracter personal referitoare la persoana vizat sau a dreptului de a se opune
prelucrrii acestor date;

RO 49 RO
(f) dreptul de a depune o plngere n faa autoritii de supraveghere i datele de
contact ale autoritii de supraveghere;
(g) comunicarea datelor cu caracter personal care sunt n curs de prelucrare i a
oricrei informaii disponibile cu privire la originea datelor;
(h) importana i consecinele preconizate ale prelucrrii, cel puin n cazul
msurilor menionate la articolul 20.
2. Persoana vizat are dreptul de a obine din partea operatorului comunicarea datelor
cu caracter personal care sunt n curs de prelucrare. n cazul n care persoana vizat
introduce o cerere n format electronic, informaiile sunt furnizate n format
electronic, cu excepia cazului n care persoana vizat solicit un alt format.
3. Comisia este abilitat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i cerinelor privind comunicarea ctre persoana vizat a
coninutului datelor cu caracter personal menionate la alineatul (1) litera (g).
4. Comisia poate specifica formele i procedurile standard pentru solicitarea i
acordarea accesului la informaiile menionate la alineatul (1), inclusiv pentru
verificarea identitii persoanei vizate i comunicarea datelor cu caracter personal
ctre persoana vizat, innd seama de particularitile i nevoile specifice pentru
diferitele sectoare i situaii de prelucrare a datelor. Actele de punere n aplicare
respective se adopt n conformitate cu procedura de examinare prevzut la
articolul 87 alineatul (2).
SECIUNEA 3
RECTIFICARE I TERGERE

Articolul 16
Dreptul la rectificare
Persoana vizat are dreptul de a obine de la operator rectificarea datelor sale cu caracter
personal care sunt inexacte. Persoana vizat are dreptul de a obine completarea datelor cu
caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraii corective
suplimentare.

Articolul 17
Dreptul de a fi uitat i de a fi ters
1. Persoana vizat are dreptul de a obine din partea operatorului tergerea datelor cu
caracter personal care o privesc i ncetarea difuzrii acestor date, n special n ceea
ce privete datele cu caracter personal care sunt puse la dispoziie de ctre persoana
vizat atunci cnd era minor, n cazul n care se aplic unul dintre urmtoarele
motive:
(a) datele nu mai sunt necesare pentru ndeplinirea scopurilor pentru care au fost
colectate sau prelucrate;
(b) persoana vizat i retrage consimmntul pe baza cruia are loc prelucrarea n
conformitate cu articolul 6 alineatul (1) litera (a) sau n cazul n care perioada
de stocare a datelor a expirat i nu exist niciun alt temei legal pentru
prelucrarea datelor;
(c) persoana vizat se opune prelucrrii datelor cu caracter personal n temeiul
articolului 19;

RO 50 RO
(d) prelucrarea datelor nu este conform cu prezentul regulament din alte motive.
2. n cazul n care operatorul menionat la alineatul (1) a fcut publice datele cu caracter
personal, acesta ia toate msurile rezonabile, inclusiv msuri tehnice, n ceea ce
privete datele de a cror publicare este responsabil, pentru a informa terii care
prelucreaz astfel de date c persoana vizat le solicit s tearg toate linkurile ctre
datele cu caracter personal i orice copie sau reproducere a acestora. n cazul n care
operatorul a autorizat un ter s publice date cu caracter personal, se consider c
operatorul este responsabil de publicarea datelor respective.
3. Operatorul efectueaz tergerea fr ntrziere, cu excepia cazului n care pstrarea
datelor cu caracter personal este necesar:
(a) pentru exercitarea dreptului la liber exprimare, n conformitate cu articolul 80;
(b) din motive de interes public n domeniul sntii publice, n conformitate cu
articolul 81;
(c) n scopuri istorice, statistice i tiinifice, n conformitate cu articolul 83;
(d) pentru respectarea obligaiei legale de a pstra datele cu caracter personal
prevzut n legislaia Uniunii sau a statului membru aplicabil operatorului;
legislaiile statelor membre trebuie s rspund unui obiectiv de interes public,
s respecte esena dreptului la protecia datelor cu caracter personal i s fie
proporionale cu obiectivul legitim urmrit;
(e) n cazurile prevzute la alineatul (4).
4. n loc s le tearg, operatorul limiteaz prelucrarea datelor cu caracter personal n
cazul n care:
(a) persoana vizat contest exactitatea acestor date, pentru o perioad care s i
permit operatorului s verifice exactitatea datelor;
(b) operatorul nu mai are nevoie de datele cu caracter personal pentru a-i
ndeplini atribuiile, dar acestea trebuie s fie pstrate ca dovad;
(c) prelucrarea acestora este ilegal, iar persoana vizat se opune tergerii datelor,
solicitnd, n schimb, restricionarea utilizrii lor;
(d) persoana vizat solicit transferul datelor cu caracter personal n alt sistem de
prelucrare automat a datelor, n conformitate cu articolul 18 alineatul (2).
5. Datele cu caracter personal menionate la alineatul (4) pot fi prelucrate, cu excepia
stocrii, doar n scop probatoriu, fie cu consimmntul persoanei vizate, fie pentru
protejarea drepturilor altor persoane fizice ori juridice fie pentru un obiectiv de
interes public.
6. n cazul n care prelucrarea datelor cu caracter personal este limitat n conformitate
cu alineatul (4), operatorul informeaz n acest sens persoana vizat nainte de
ridicarea restriciilor de prelucrare.
7. Operatorul pune n aplicare mecanisme pentru a asigura respectarea termenelor
stabilite pentru tergerea datelor cu caracter personal i/sau pentru o revizuire
periodic a necesitii de stocare a datelor.
8. n cazul n care se efectueaz tergerea, operatorul nu prelucreaz n niciun alt fel
datele personale.

RO 51 RO
9. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul de a detalia:
(a) criteriile i cerinele privind aplicarea alineatului (1) n anumite sectoare i n
anumite situaii de prelucrare a datelor;
(b) condiiile de tergere a linkurilor ctre datele cu caracter personal, a copiilor
sau a reproducerilor acestora de care dispun serviciile de comunicaii accesibile
publicului, astfel cum se menioneaz la alineatul (2);
(c) criteriile i condiiile de restricionare a prelucrrii datelor cu caracter personal
prevzute la alineatul (4).

Articolul 18
Dreptul la portabilitatea datelor
1. n cazul n care datele cu caracter personal sunt prelucrate electronic ntr-un format
structurat care este utilizat n mod curent, persoana vizat are dreptul s obin, din
partea operatorului, o copie a datelor care fac obiectul prelucrrii electronice ntr-un
format electronic structurat care este utilizat n mod curent i care permite persoanei
vizate s utilizeze ulterior aceste date.
2. n cazul n care persoana vizat a furnizat datele cu caracter personal i prelucrarea
se bazeaz pe consimmntul acesteia sau pe un contract, persoana vizat are
dreptul de a transmite aceste date cu caracter personal, precum i orice alt
informaie furnizat de persoana vizat i pstrat de un sistem automatizat de
prelucrare, ntr-un alt sistem, ntr-un format electronic care este utilizat n mod
curent, fr ca operatorul de la care sunt retrase datele cu caracter personal s poat
mpiedica acest lucru.
3. Comisia poate specifica formatul electronic prevzut la alineatul (1), precum i
normele tehnice, modalitile i procedurile de transmitere a datelor cu caracter
personal n conformitate cu alineatul (2). Actele de punere n aplicare respective se
adopt n conformitate cu procedura de examinare prevzut la articolul 87
alineatul (2).
SECIUNEA 4
DREPTUL LA OPOZIIE I CREAREA DE PROFILURI

Articolul 19
Dreptul la opoziie
1. n orice moment, persoana vizat are dreptul de a se opune, pe motive legate de
situaia special n care se afl, prelucrrii datelor cu caracter personal pe care se
bazeaz pe articolul 6 alineatul (1) literele (d), (e) i (f), cu excepia cazului n care
operatorul demonstreaz c motivele legitime i imperioase care justific prelucrarea
primeaz asupra intereselor sau a drepturilor i libertilor fundamentale ale
persoanei vizate.
2. Atunci cnd prelucrarea datelor cu caracter personal are drept scop marketingul
direct, persoana vizat are dreptul de a se opune gratuit prelucrrii datelor sale cu
caracter personal n acest scop. Acest drept este explicit oferit persoanei vizate, ntr-
un mod inteligibil, care s se poat distinge n mod clar de alte informaii.

RO 52 RO
3. n cazul n care exist o opoziie n conformitate cu alineatele (1) i (2), operatorul
nu mai utilizeaz sau nu mai prelucreaz respectivele datele cu caracter personal.

Articolul 20
Msuri bazate pe crearea de profiluri
1. Orice persoan fizic are dreptul de a nu fi supus unei msuri care produce efecte
juridice privind aceast persoan fizic sau care o afecteaz n mod semnificativ i
care se bazeaz exclusiv pe prelucrarea automat menit s evalueze anumite aspecte
personale privind aceast persoan fizic sau s analizeze ori s prevad, n special,
performanele persoanei fizice la locul de munc, situaia sa economic, locul n care
se afl, sntatea, preferinele personale, ncrederea de care se bucur sau
comportamentul acestuia.
2. Sub rezerva celorlalte dispoziii din prezentul regulament, o persoan poate fi supus
unei msuri de acest tip, astfel cum se prevede la alineatul (1), numai dac
prelucrarea datelor:
(a) se efectueaz n faza de ncheiere sau de executare a unui contract, atunci cnd
a fost acceptat cererea de ncheiere sau de executare a contractului, depus de
persoana vizat sau atunci cnd au fost invocate msuri corespunztoare
intereselor legitime ale persoanei vizate, cum ar fi dreptul de a obine
intervenie uman; sau
(b) este autorizat n mod expres de legislaia Uniunii sau a unui stat membru, care
prevede, de asemenea, msuri corespunztoare pentru protejarea intereselor
legitime ale persoanei vizate; sau
(c) se bazeaz pe consimmntul persoanei vizate, sub rezerva condiiilor
prevzute la articolul 7 i a unor garanii corespunztoare.
3. Prelucrarea automat a datelor cu caracter personal menite s evalueze anumite
aspecte personale referitoare la o persoan fizic nu se bazeaz exclusiv pe
categoriile speciale de date cu caracter personal la care se face referire la articolul 9.
4. n cazurile menionate la alineatul (2), informaiile pe care operatorul trebuie s le
furnizeze n temeiul articolului 14 includ informaii despre existena prelucrrii,
pentru o msur de tipul celei la care se face referire la alineatul (1), precum i
despre efectele preconizate ale acestei prelucrri asupra persoanei vizate.
5. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor aferente msurilor corespunztoare pentru
protejarea intereselor legitime ale persoanei vizate menionate la alineatul (2).
SECIUNEA 5
RESTRICII

Articolul 21
Restricii
1. Legislaia Uniunii sau a statului membru poate restrnge printr-o msur legislativ
domeniul de aplicare a obligaiilor i a drepturilor prevzute la articolul 5 literele (a)
- (e), la articolele 11 - 20 i la articolul 32, atunci cnd o astfel de restricie constituie
o msur necesar i proporional ntr-o societate democratic pentru a:
(a) garanta securitatea public;

RO 53 RO
(b) asigura prevenirea, cercetarea, depistarea i urmrirea n justiie a
infraciunilor;
(c) proteja alte interese publice ale Uniunii Europene sau ale unui stat membru, n
special un interes economic sau financiar important al Uniunii sau al unui stat
membru, inclusiv n domeniile monetar, bugetar i fiscal, precum i stabilitatea
i integritatea pieei;
(d) asigura prevenirea, investigarea, detectarea i punerea sub urmrire a nclcrii
eticii n cazul profesiunilor reglementate;
(e) asigura funcia de monitorizare, inspectare sau reglementare legat, chiar i
ocazional, de exercitarea autoritii publice n cazurile menionate la literele
(a), (b),(c) i (d);
(f) asigura protecia persoanei vizate sau a drepturilor i libertilor altora.
2. n special, orice msur legislativ menionat la alineatul (1) conine dispoziii
specifice, cel puin n ceea ce privete obiectivele care trebuie avute n vedere n
cadrul procesului de prelucrare i stabilirea operatorului.
CAPITOLUL IV
OPERATORUL I PERSOANA MPUTERNICIT DE CTRE
OPERATOR

SECIUNEA 1
OBLIGAII GENERALE

Articolul 22
Responsabilitatea operatorului
1. Operatorul adopt politici i pune n aplicare msuri adecvate pentru a garanta i a
putea demonstra c prelucrarea datelor cu caracter personal se efectueaz n
conformitate cu prezentul regulament.
2. Msurile prevzute la alineatul (1) cuprind n special:
(a) pstrarea documentaiei, n conformitate cu articolul 28;
(b) punerea n aplicare a cerinelor privind securitatea datelor prevzute la
articolul 30;
(c) efectuarea unei evaluri a impactului privind protecia datelor, n conformitate
cu articolul 33;
(d) respectarea cerinelor privind autorizarea prealabil sau consultarea prealabil a
autoritii de supraveghere, n conformitate cu articolul 34 alineatele (1) i (2);
(e) desemnarea unui responsabil cu protecia datelor, n conformitate cu
articolul 35 alineatul (1).
3. Operatorul pune n aplicare mecanisme pentru a asigura verificarea eficacitii
msurilor menionate la alineatele (1) i (2). Dac se dovedete a fi proporional,
aceast verificare va fi efectuat de auditori interni sau externi independeni.
4. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor msurilor corespunztoare menionate la

RO 54 RO
alineatul (1), altele dect cele menionate la alineatul (2), condiiile pentru verificare
i mecanismele de audit menionate la alineatul (3) i criteriile de proporionalitate
prevzute la alineatul (3), i n scopul de a prevedea msuri specifice pentru
microntreprinderi i pentru ntreprinderile mici i mijlocii.

Articolul 23
Protecia datelor ncepnd cu momentul conceperii i protecia implicit a datelor
1. Avnd n vedere stadiul actual al tehnicii i costurile de implementare, operatorul
pune n aplicare, att n momentul stabilirii mijloacelor de prelucrare, ct i pe
parcursul prelucrrii propriu-zise, msuri i proceduri tehnice i organizatorice
corespunztoare astfel nct prelucrarea s ndeplineasc cerinele prezentului
regulament i s asigure protecia drepturilor persoanei vizate.
2. Operatorul pune n aplicare mecanisme care garanteaz c, implicit, se prelucreaz
numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al
prelucrrii i c aceste date colectate sau pstrate nu depesc pragul minim necesar
pentru ndeplinirea acestor scopuri, att n ceea ce privete volumul datelor, ct i
perioada de stocare a acestora. n special, aceste mecanisme asigur c, implicit,
datele cu caracter personal nu sunt accesibile unui numr nelimitat de persoane.
3. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor aferente msurilor i mecanismelor de
certificare menionate la alineatele (1) i (2), n special n ceea ce privete cerinele
legate de protecia datelor ncepnd cu momentul conceperii aplicabile n cazul
tuturor sectoarelor, al produselor i al serviciilor.
4. Comisia poate stabili standarde tehnice pentru cerinele menionate la alineatele (1)
i (2). Actele de punere n aplicare respective se adopt n conformitate cu procedura
de examinare prevzut la articolul 87 alineatul (2).

Articolul 24
Operatori asociai
Atunci cnd un operator stabilete, mpreun cu ali operatori, scopul, condiiile i mijloacele
de prelucrare a datelor cu caracter personal, operatorii asociai stabilesc, de comun acord,
responsabilitile fiecruia n ceea ce privete ndeplinirea obligaiilor care le revin n temeiul
prezentului regulament, n special n ceea ce privete procedurile i mecanismele de
exercitare a drepturilor persoanelor vizate, prin intermediul unui acord ntre acestea.

Articolul 25
Reprezentanii operatorilor care nu i au sediul n Uniune
1. n situaia menionat la articolul 3 alineatul (2), operatorul desemneaz un
reprezentant n Uniune.
2. Prezenta obligaie nu se aplic:
(a) unui operator cu sediul ntr-o ar ter, n cazul n care Comisia a decis c
aceast ar ter asigur un nivel adecvat de protecie n conformitate cu
articolul 41; sau
(b) unei ntreprinderi cu mai puin de 250 de angajai; sau
(c) unei autoriti sau unui organism public; sau

RO 55 RO
(d) unui operator care furnizeaz numai ocazional bunuri sau servicii persoanelor
vizate care i au reedina pe teritoriul Uniunii.
3. Reprezentantul i are sediul n unul dintre statele membre n care i au reedina
persoanele vizate ale cror date cu caracter personal sunt prelucrate n legtur cu
furnizarea de bunuri i servicii sau a cror conduit este monitorizat.
4. Desemnarea unui reprezentant de ctre operator nu aduce atingere aciunilor n
justiie care ar putea fi introduse mpotriva operatorului nsui.

Articolul 26
Persoana mputernicit de ctre operator
1. n cazul n care o operaiune de prelucrare se realizeaz n numele operatorului,
operatorul alege o persoan mputernicit care ofer garanii suficiente pentru
punerea n aplicare a msurilor i a procedurilor tehnice i organizatorice adecvate,
astfel nct prelucrarea s respecte cerinele prevzute n prezentul regulament i s
asigure protecia drepturilor persoanei vizate, n special n ceea ce privete msurile
de securitate tehnic i de organizare privind prelucrarea care urmeaz s fie
efectuat, i vegheaz la respectarea acestor msuri.
2. Modul n care o persoan mputernicit de ctre operator efectueaz prelucrarea este
reglementat printr-un contract sau printr-un alt act juridic care oblig persoana
mputernicit de ctre operator n raport cu operatorul i care prevede, n special, c
persoana mputernicit de ctre operator:
(a) acioneaz numai la instruciunile operatorului, n special n cazul n care
transferul de date cu caracter personal utilizate este interzis;
(b) angajeaz numai personal care s-a angajat s respecte confidenialitatea sau
care sunt obligai prin lege s respecte confidenialitatea;
(c) adopt toate msurile necesare n conformitate cu articolul 30;
(d) recruteaz o alt persoan mputernicit de ctre operator numai cu autorizarea
prealabil a operatorului;
(e) n msura n care acest lucru este posibil, avnd n vedere caracterul prelucrrii,
creeaz, n acord cu operatorul, condiiile tehnice i organizatorice necesare
pentru ca operatorul s i ndeplineasc obligaia de a rspunde cererilor
privind exercitarea, de ctre persoana vizat, a drepturilor prevzute n
capitolul III;
(f) ajut operatorul s asigure respectarea obligaiilor prevzute la articolele 30 -
34;
(g) transmite operatorului toate rezultatele dup terminarea procesului de
prelucrare i nu prelucreaz n nici un alt mod datele cu caracter personal;
(h) pune la dispoziia operatorului i a autoritii de supraveghere toate
informaiile necesare pentru a se controla respectarea obligaiilor prevzute n
prezentul articol.
3. Operatorul i persoana mputernicit de ctre operator pstreaz o dovad scris a
instruciunilor prezentate de operator i a obligaiilor care i revin persoanei
mputernicite de ctre operator menionate la alineatul (2).

RO 56 RO
4. n cazul n care o persoan mputernicit de ctre operator prelucreaz datele cu
caracter personal ntr-un alt mod dect cel prevzut n instruciunile date de operator,
persoana mputernicit de ctre operator este considerat responsabil de prelucrarea
datelor n ceea ce privete prelucrarea respectiv i face obiectul dispoziiilor privind
operatorii asociai prevzute la articolul 24.
5. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor aferente responsabilitilor, drepturilor i
sarcinilor unei persoane mputernicite de ctre operator n conformitate cu
alineatul (1), precum i condiiilor care permit facilitarea procesului de prelucrare a
datelor cu caracter personal n cadrul unui grup de ntreprinderi, n special pentru
verificare i raportare.

Articolul 27
Desfurarea activitii de prelucrare sub autoritatea operatorului i a persoanei
mputernicite de ctre operator
Persoana mputernicit de ctre operator i orice persoan care acioneaz sub autoritatea
operatorului sau a persoanei mputernicite de ctre operator care are acces la datele cu caracter
personal nu le prelucreaz dect la cererea operatorului, cu excepia cazului n care legislaia
Uniunii sau a statului membru l oblig s fac acest lucru.

Articolul 28
Documentaia
1. Fiecare operator i persoan mputernicit de operator i, dac este cazul,
reprezentantul operatorului, pstreaz documentaia referitoare la toate operaiunile
de prelucrare derulate sub responsabilitatea sa.
2. Aceast documentaie cuprinde cel puin urmtoarele informaii:
(a) numele i datele de contact ale operatorului, sau ale oricrui operator asociat
sau ale oricrei persoane mputernicite de ctre operator, dac este cazul;
(b) numele i datele de contact ale responsabilului cu protecia datelor, dac este
cazul;
(c) scopul prelucrrii datelor, inclusiv interesele legitime urmrite de responsabilul
cu prelucrarea, atunci cnd prelucrarea se bazeaz pe articolul 6 alineatul (1)
litera (f);
(d) o descriere a categoriilor de persoane vizate i a categoriilor de date cu caracter
personal care le privesc;
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal,
inclusiv operatorii crora le sunt comunicate datele cu caracter personal n
interesul legitim pe care l urmresc;
(f) dac este cazul, transferurile de date ctre o ar ter sau o organizaie
internaional, inclusiv identificarea rii tere sau a organizaiei internaionale
respective i, n cazul transferurilor prevzute la articolul 44 alineatul (1)
litera (h), documentaia care dovedete existena unor garanii
corespunztoare;
(g) o indicaie general a termenelor-limit pentru tergerea diferitelor categorii de
date;

RO 57 RO
(h) descrierea mecanismelor prevzute la articolul 22 alineatul (3).
3. Operatorul i persoana mputernicit de ctre operator i, dac este cazul,
reprezentantul operatorului, pune documentaia la dispoziia autoritii de
supraveghere, la cererea acesteia.
4. Obligaiile menionate la alineatele (1) i (2) nu se aplic urmtoarelor categorii de
operatori i persoane mputernicite de ctre operatori:
(a) persoanelor fizice care prelucreaz date cu caracter personal fr vreun interes
comercial; sau
(b) ntreprinderilor sau organizaiilor cu mai puin de 250 de angajai care
prelucreaz date cu caracter personal doar ca o activitate auxiliar activitilor
sale principale.
5. Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor referitoare la documentaia la care se face
referire la alineatul (1), pentru a ine seama n special de responsabilitile
operatorului i ale persoanei mputernicite de ctre operator i, dac este cazul, de
responsabilitile reprezentantului operatorului.
6. Comisia poate s conceap formulare standard pentru documentele la care se face
referire la alineatul (1). Actele de punere n aplicare respective se adopt n
conformitate cu procedura de examinare prevzut la articolul 87 alineatul (2).

Articolul 29
Cooperarea cu autoritatea de supraveghere
1. Operatorul i persoana mputernicit de ctre operator i, dac este cazul,
reprezentantul operatorului, coopereaz, la cerere, cu autoritatea de supraveghere
pentru a-i ndeplini sarcinile care le revin, n special prin furnizarea informaiilor
menionate la articolul 53 alineatul (2) litera (a) i prin asigurarea accesului prevzut
la acelai alineat litera (b).
2. Ca urmare a exercitrii, de ctre autoritatea de supraveghere, a competenelor
prevzute la articolul 53 alineatul (2), operatorul i persoana mputernicit de ctre
operator rspund autoritii de supraveghere ntr-un termen rezonabil stabilit de ctre
autoritatea de supraveghere. Rspunsul include o descriere a msurilor adoptate i a
rezultatelor obinute, ca rspuns la observaiile autoritii de supraveghere.
SECIUNEA 2
SECURITATEA DATELOR

Articolul 30
Securitatea prelucrrii
1. Operatorul i persoana mputernicit de ctre operator pun n aplicare msuri tehnice
i organizatorice adecvate pentru a asigura un nivel de securitate, n concordan cu
riscurile pe care le presupune prelucrarea i cu caracterul datelor cu caracter personal
care trebuie protejate, avnd n vedere stadiul actual al tehnologiei i costurile
punerii lor n aplicare.
2. n urma unei evaluri a riscurilor, operatorul i persoana mputernicit de operator
adopt msurile prevzute la alineatul (1) pentru protejarea datelor cu caracter
personal mpotriva distrugerii accidentale sau ilegale ori a pierderii accidentale, i

RO 58 RO
pentru prevenirea oricrei forme de prelucrare ilegal, n special divulgarea, accesul
sau diseminarea neautorizat ori modificarea datelor cu caracter personal.
3. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor referitoare la msurile tehnice i
organizatorice prevzute la alineatele (1) i (2), stabilind inclusiv care este stadiul
actual al tehnologiei pentru anumite sectoare i n anumite situaii de prelucrare a
datelor, innd seama n special de evoluia tehnologiei i a soluiilor de proiectare
pentru protecia datelor ncepnd cu momentul conceperii i cel al proteciei
implicite a datelor, cu excepia cazului n care se aplic alineatul (4).
4. Comisia poate adopta, dac este cazul, acte de punere n aplicare pentru specificarea
cerinelor prevzute la alineatele (1) i (2) n diverse situaii, n special pentru a:
(a) preveni accesul neautorizat la date cu caracter personal;
(b) preveni orice act neautorizat de divulgare, citire, copiere, modificare, tergere
sau eliminare a datelor cu caracter personal;
(c) asigura verificarea legalitii operaiunilor de prelucrare.
Actele de punere n aplicare respective se adopt n conformitate cu procedura de
examinare prevzut la articolul 87 alineatul (2).

Articolul 31
Notificarea autoritii de supraveghere n cazul nclcrii securitii datelor cu caracter
personal
1. n cazul n care are loc o nclcare a securitii datelor cu caracter personal,
operatorul notific acest lucru autoritii de supraveghere fr ntrzieri nejustificate
i, n cazul n care este posibil, n termen de cel mult 24 de ore de la data la care a
luat cunotin de aceasta. Notificarea autoritii de supraveghere trebuie s fie
nsoit de o explicaie motivat n cazul n care aceasta nu are loc n termen de 24
de ore.
2. n conformitate cu articolul 26 alineatul (2) litera (f), persoana mputernicit de ctre
operator l previne i l informeaz pe operator imediat dup ce s-a constatat
nclcarea securitii datelor cu caracter personal.
3. Notificarea menionat la alineatul (1) trebuie cel puin:
(a) s descrie caracterul nclcrii securitii datelor cu caracter personal, inclusiv
categoriile i numrul persoanelor vizate n cauz i categoriile i numrul de
nregistrri de date n cauz;
(b) s comunice identitatea i datele de contact ale responsabilului cu protecia
datelor sau un alt punct de contact de unde se pot obine mai multe informaii;
(c) s recomande msuri de atenuare a eventualelor efecte negative ale nclcrii
securitii datelor cu caracter personal;
(d) s descrie consecinele nclcrii securitii datelor cu caracter personal;
(e) s descrie msurile propuse sau adoptate de operator pentru a remedia
problema nclcrii securitii datelor cu caracter personal.
4. Operatorul pstreaz documente referitoare la toate cazurile de nclcare a securitii
datelor cu caracter personal, care cuprind o descriere a situaiei n care a avut loc
nclcarea, a efectelor acesteia i a msurilor de remediere ntreprinse. Aceast

RO 59 RO
documentaie trebuie s permit autoritii de supraveghere s verifice conformitatea
cu prezentul articol. Documentaia respectiv include numai informaiile necesare n
acest scop.
5. Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 86 n
scopul de a indica mai detaliat criteriile i cerinele necesare pentru stabilirea
nclcrii menionate la alineatele (1) i (2) i pentru circumstanele speciale n care
un operator i o persoan mputernicit de ctre operator au obligaia de a notifica
nclcarea securitii datelor cu caracter personal.
6. Comisia poate stabili un format standard al notificrii adresate autoritii de
supraveghere, procedurile aplicabile n cazul obligaiei de notificare i forma i
modalitile de ntocmire a documentaiei la care se face referire la alineatul (4),
inclusiv termenele pentru tergerea informaiilor coninute n aceast documentaie.
Actele de punere n aplicare respective se adopt n conformitate cu procedura de
examinare prevzut la articolul 87 alineatul (2).

Articolul 32
Informarea persoanei vizate cu privire la nclcarea securitii datelor cu caracter
personal
1. Atunci cnd nclcarea securitii datelor cu caracter personal pune n pericol
protecia datelor cu caracter personal i a vieii private a persoanei vizate, operatorul,
dup notificarea prevzut la articolul 31, informeaz persoana vizat, fr ntrzieri
nejustificate, cu privire la nclcarea securitii datelor cu caracter personal.
2. Informarea persoanei vizate prevzut la alineatul (1) cuprinde o descriere a
caracterului nclcrii securitii datelor cu caracter personal i conine cel puin
informaiile i recomandrile prevzute la articolul 31 alineatul (3) literele (b) i (c).
3. Informarea persoanei vizate cu privire la nclcarea securitii datelor cu caracter
personal a persoanei vizate nu este necesar n cazul n care operatorul demonstreaz,
ntr-un mod satisfctor, autoritii de supraveghere c a pus n aplicare msuri
tehnologice adecvate de protecie i c respectivele msuri au fost aplicate n cazul
datelor afectate de nclcarea securitii datelor cu caracter personal. Astfel de msuri
tehnologice de protecie trebuie s asigure c datele devin neinteligibile persoanelor
care nu sunt autorizate s le acceseze.
4. Fr a aduce atingere obligaiei operatorului de a comunica persoanei vizate
nclcarea securitii datelor cu caracter personal, n cazul n care operatorul nu a
comunicat nc persoanei vizate c securitatea datelor sale cu caracter personal a fost
nclcat, autoritatea de supraveghere poate, dup analizarea posibilelor efecte
negative ale nclcrii, s i solicite s fac acest lucru.
5. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor privind circumstanele n care o nclcare a
securitii datelor cu caracter personal ar putea aduce atingere datelor cu caracter
personal menionate la alineatul (1).
6. Comisia poate stabili forma n care persoana vizat este informat conform
alineatului (1) i procedurile aplicabile respectivei informri. Actele de punere n
aplicare respective se adopt n conformitate cu procedura de examinare prevzut la
articolul 87 alineatul (2).

RO 60 RO
SECIUNEA 3
EVALUAREA IMPACTULUI PRIVIND PROTECIA DATELOR
AUTORIZAIA PREALABIL

Articolul 33
Evaluarea impactului privind protecia datelor
1. Atunci cnd operaiunile de prelucrare prezint riscuri specifice pentru drepturile i
libertile persoanelor vizate prin nsi natura, domeniul de aplicare sau scopurile
lor, operatorul sau persoana mputernicit de ctre operator, care acioneaz n
numele operatorului, trebuie s efectueze o evaluare a impactului operaiunilor de
prelucrare prevzute asupra proteciei datelor cu caracter personal.
2. Urmtoarele operaiuni de prelucrare prezint n special riscurile specifice la care se
face referire la alineatul (1):
(a) o evaluare sistematic i cuprinztoare a aspectelor personale referitoare la o
persoan fizic sau care vizeaz analizarea ori ntocmirea de previziuni n
special n ceea ce privete situaia economic a persoanei fizice, locul n care
se afl, sntatea, preferinele personale, ncrederea de care se bucur sau
comportamentul acesteia, care se bazeaz pe prelucrarea automat i pe care se
bazeaz msurile care produc efecte juridice sau care afecteaz n mod
semnificativ persoana respectiv;
(b) prelucrarea informaiilor privind viaa sexual, sntatea, rasa i originea
etnic sau informaii necesare pentru furnizarea de asisten medical, studii
epidemiologice sau studii privind boli mentale sau infecioase prelucrarea
datelor pentru adoptarea de msuri sau decizii care vizeaz anumite persoane
pe scar larg;
(c) monitorizarea zonelor accesibile publicului, mai ales n cazul utilizrii pe scar
larg a dispozitivelor optoelectronice (supravegherea video);
(d) procesarea datelor cu caracter personal n sistemele de eviden a datelor de
mari dimensiuni privind minorii sau procesarea datelor biometrice sau
genetice;
(e) alte operaiuni de prelucrare de date pentru care este necesar consultarea
autoritii de supraveghere n conformitate cu articolul 34 alineatul (2)
litera (b).
3. Evaluarea trebuie s cuprind cel puin o descriere general a operaiunilor de
prelucrare avute n vedere, o evaluare a riscurilor privind drepturile i libertile
persoanelor vizate, msurile preconizate n vederea evitrii riscurilor, garaniile,
msurile de securitate i mecanismele menite s asigure protecia datelor cu caracter
personal i s demonstreze conformitatea cu dispoziiile prezentului regulament,
lund n considerare drepturile i interesele legitime ale persoanelor vizate i ale
celorlalte persoane interesate.
4. Operatorul solicit avizul persoanelor vizate sau al reprezentanilor acestora privind
prelucrarea prevzut, fr a aduce atingere proteciei intereselor comerciale sau
publice ori securitii operaiunilor de prelucrare.
5. Atunci cnd operatorul este o autoritate sau un organism public i prelucrarea rezult
dintr-o obligaie juridic n temeiul articolului 6 alineatul (1) litera (c), care prevede
normele i procedurile referitoare la operaiunile de prelucrare i reglementate de

RO 61 RO
legislaia Uniunii, alineatele (1) - (4) nu se aplic, cu excepia cazului n care statele
membre consider c este necesar efectuarea unei astfel de evaluri naintea
desfurrii activitilor de prelucrare.
6. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor privind operaiunile de prelucrare care pot
prezenta riscurile specifice menionate la alineatele (1) i (2), precum i cerinelor
pentru evaluare la care se face referire la alineatul (3), inclusiv condiiile de
scalabilitate, de verificare i posibilitatea auditrii. n acest sens, Comisia ia n
considerare msuri specifice pentru microntreprinderi i pentru ntreprinderi mici i
mijlocii.
7. Comisia poate s prevad standarde i proceduri de realizare, verificare i auditare a
evalurii menionate la alineatul (3). Actele de punere n aplicare se adopt n
conformitate cu procedura de examinare menionat la articolul 87 alineatul (2).

Articolul 34
Autorizarea prealabil i consultarea prealabil
1. Operatorul sau persoana mputernicit de ctre operator, dup caz, obine o
autorizaie din partea autoritii de supraveghere nainte de prelucrarea datelor cu
caracter personal, pentru a asigura conformitatea prelucrrii prevzute cu prezentul
regulament i n special pentru a atenua riscurile la care sunt expuse persoanele
vizate, n cazul n care un operator sau o persoan mputernicit de ctre operator
adopt clauzele contractuale prevzute la articolul 42 alineatul (2) litera (d) sau nu
ofer garanii corespunztoare printr-un instrument obligatoriu din punct de vedere
juridic, astfel cum se menioneaz la articolul 42 alineatul (5) n ceea ce privete
transferul de date cu caracter personal ctre o ar ter sau o organizaie
internaional.
2. Operatorul sau persoana mputernicit de ctre operator, care acioneaz n numele
operatorului, consult autoritatea de supraveghere nainte de prelucrarea datelor cu
caracter personal n scopul de a garanta conformitatea prelucrrii prevzute cu
prezentul regulament i, n special, pentru a atenua riscurile la care sunt expuse
persoanele vizate, atunci cnd:
(a) o evaluare a impactului privind protecia datelor, astfel cum se prevede la
articolul 33, indic faptul c operaiunile de prelucrare pot prezenta, prin nsi
natura, domeniul de aplicare sau scopurile lor, un grad nalt de riscuri specifice;
sau
(b) autoritatea de supraveghere consider c este necesar s se efectueze o
consultare prealabil cu privire la operaiunile de prelucrare care pot prezenta
riscuri specifice pentru drepturile i libertile persoanelor vizate prin nsi
natura, domeniul de aplicare i/sau scopurile lor, n conformitate cu
alineatul (4).
3. Atunci cnd consider c prelucrarea prevzut nu este conform cu prezentul
regulament, n special n cazul n care riscurile nu sunt suficient identificate sau
atenuate, autoritatea de supraveghere interzice prelucrarea prevzut i prezint
propuneri adecvate pentru remedierea acestor aspecte neconforme.
4. Autoritatea de supraveghere ntocmete i public o list de operaiuni de prelucrare
care sunt supuse consultrii prealabile n conformitate cu alineatul (2) litera (b).

RO 62 RO
Autoritatea de supraveghere comunic aceste liste Comitetului european pentru
protecia datelor.
5. n cazul n care lista prevzut la alineatul (4) cuprinde activiti de prelucrare care
presupun furnizarea de bunuri i prestarea de servicii ctre persoane vizate din mai
multe state membre sau la monitorizarea comportamentului lor ori pot afecta n mod
substanial libera circulaie a datelor cu caracter personal n cadrul Uniunii,
autoritatea de supraveghere aplic mecanismul pentru asigurarea coerenei prevzut
la articolul 57 nainte de adoptarea listei.
6. Operatorul sau persoana mputernicit de ctre operator furnizeaz autoritii de
supraveghere evaluarea impactului privind protecia datelor prevzut la articolul 33
i, la cerere, orice alt informaie care permite autoritii de supraveghere s fac o
evaluare a conformitii prelucrrii i n special a riscurilor n privina proteciei
datelor cu caracter personal ale persoanei vizate i a garaniilor aferente.
7. Statele membre consult autoritatea de supraveghere n cadrul procesului de pregtire
a unei msuri legislative care urmeaz s fie adoptate de parlamentul naional sau a
unei msuri bazate pe o astfel de msur legislativ, care s defineasc natura
prelucrrii, pentru a asigura conformitatea prelucrrii prevzute cu prezentul
regulament i n special pentru a atenua riscurile la care sunt expuse persoanele
vizate.
8. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i a cerinelor privind stabilirea gradului nalt de risc
specific prevzut la alineatul 2 litera (a).
9. Comisia poate elabora formulare i proceduri standard pentru autorizaiile i
consultrile prealabile menionate la alineatele (1) i (2), precum i formulare i
proceduri standard de informare a autoritilor de supraveghere, n conformitate cu
alineatul (6). Actele de punere n aplicare se adopt n conformitate cu procedura de
examinare menionat la articolul 87 alineatul (2).
SECIUNEA 4
RESPONSABILUL CU PROTECIA DATELOR

Articolul 35
Desemnarea responsabilului cu protecia datelor
1. Operatorul i persoana mputernicit de ctre operator desemneaz un responsabil cu
protecia datelor atunci cnd:
(a) prelucrarea este efectuat de o autoritate sau de un organism public; sau
(b) prelucrarea este efectuat de o ntreprindere cu 250 de angajai sau mai mult;
sau
(c) activitile principale ale operatorului sau ale persoanei mputernicite de ctre
operator constau n operaiuni de prelucrare care, prin natura lor, domeniul de
aplicare i/sau scopul lor, necesit monitorizarea periodic i sistematic a
persoanelor vizate.
2. n cazul menionat la alineatul (1) litera (b), un grup de ntreprinderi poate numi un
responsabil unic cu protecia datelor.
3. n cazul n care operatorul sau persoana mputernicit de ctre operator este o
autoritate sau un organism public, responsabilul cu protecia datelor poate fi

RO 63 RO
desemnat pentru mai multe dintre entitile sale, lund n considerare structura
organizatoric a autoritii sau a organismului public.
4. n alte cazuri dect cele menionate la alineatul (1), operatorul, persoana
mputernicit de ctre operator, asociaiile i alte organisme care reprezint categorii
de operatori sau persoane mputernicite de ctre operatori pot desemna un
responsabil cu protecia datelor.
5. Operatorul sau persoana mputernicit de ctre operator desemneaz responsabilul cu
protecia datelor n baza calitilor profesionale i, n special, a cunotinelor de
specialitate n materie de legislaie i practici privind protecia datelor i a
capacitii de a ndeplini sarcinile menionate la articolul 37. Nivelul necesar al
cunotinelor de specialitate se stabilete n special n special n funcie de
prelucrarea efectuat asupra datelor i de gradul de protecie impus pentru datele cu
caracter personal prelucrate de ctre operator sau de persoana mputernicit de ctre
operator.
6. Operatorul sau persoana mputernicit de ctre operator se asigur c orice alte
ndatoriri profesionale ale responsabilului cu protecia datelor sunt compatibile cu
sarcinile i atribuiile persoanei care are calitatea de responsabil cu protecia datelor
i c nu genereaz un conflict de interese.
7. Operatorul sau persoana mputernicit de ctre operator desemneaz un responsabil
cu protecia datelor pentru o perioad de cel puin doi ani. Mandatul responsabilului
cu protecia datelor poate fi rennoit. Pe durata mandatului, responsabilul cu
protecia datelor poate fi demis doar dac responsabilul cu protecia datelor nu mai
ndeplinete condiiile cerute pentru exercitarea atribuiilor sale.
8. Responsabilul cu protecia datelor poate fi un angajat al operatorului sau al persoanei
mputernicite de ctre operator ori poate s i ndeplineasc atribuiile n baza unui
contract de servicii.
9. Operatorul sau persoana mputernicit de ctre operator comunic autoritii de
supraveghere i publicului numele i datele de contact ale responsabilului cu
protecia datelor.
10. Persoanele vizate au dreptul de a contacta responsabilul cu protecia datelor cu
privire la toate problemele legate de prelucrarea datelor persoanelor vizate i de a
solicita exercitarea drepturilor n temeiul prezentului regulament.
11. Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 86 cu
scopul de a specifica n detaliu criteriile i cerinele pentru activitile principale ale
operatorului sau ale persoanei mputernicite de ctre operator prevzute la
alineatul (1) litera (c), precum i criteriile privind calitile profesionale ale
responsabilului cu protecia datelor prevzute la alineatul (5).

Articolul 36
Funcia responsabilului cu protecia datelor
1. Operatorul sau persoana mputernicit de ctre operator se asigur c responsabilul
cu protecia datelor este implicat n mod corespunztor i n timp util n toate
aspectele legate de protecia datelor cu caracter personal.
2. Operatorul sau persoan mputernicit de ctre operator se asigur c responsabilul
cu protecia datelor i exercit ndatoririle i atribuiile n mod independent i c nu
primete instruciuni n privina exercitrii funciei. Responsabilul cu protecia

RO 64 RO
datelor rspunde direct n faa conducerii operatorului sau a persoanei mputernicite
de ctre operator.
3. Operatorul sau persoana mputernicit de ctre operator sprijin pe responsabilul cu
protecia datelor n ndeplinirea sarcinilor sale i pune la dispoziie personalul,
incinta, echipamentele i orice alte resurse necesare pentru ndeplinirea funciilor i
atribuiilor prevzute la articolul 37.

Articolul 37
Sarcinile responsabilului cu protecia datelor
1. Operatorul sau persoana mputernicit de ctre operator ncredineaz responsabilului
cu protecia datelor cel puin urmtoarele sarcini:
(a) informarea i consilierea operatorului sau a persoanei mputernicite de ctre
operator cu privire la obligaiile care i revin n temeiul prezentului regulament,
pstrarea unei evidene a acestei activiti i a rspunsurilor primite;
(b) monitorizarea aplicrii politicilor operatorului sau ale persoanei mputernicite
de ctre operator n ceea ce privete protecia datelor cu caracter personal,
inclusiv alocarea responsabilitilor, formarea personalului implicat n
operaiunile de prelucrare i auditurile aferente;
(c) monitorizarea aplicrii prezentului regulament, n special n ceea ce privete
cerinele legate de protecia datelor de la momentul conceperii, de protecia
implicit a datelor, de securitatea datelor, de informaiile persoanelor vizate i
de cererile acestora n exercitarea drepturilor lor n temeiul prezentului
regulament;
(d) asigurarea meninerii unei documentaii actualizate, prevzute la articolul 28;
(e) monitorizarea documentaiei, a notificrii i a comunicrii cazurilor de
nclcare a prevederilor legate de datele cu caracter personal, n temeiul
articolelor 31 i 32;
(f) monitorizarea efecturii de ctre operator sau de persoana mputernicit de
ctre operator a evalurii impactului i a introducerii cererilor de autorizare sau
consultare prealabil, dac este cazul, n conformitate cu articolele 33 i 34;
(g) monitorizarea rspunsului la cererile adresate de autoritatea de supraveghere,
i, n limitele competenei responsabilului cu protecia datelor, cooperarea cu
autoritatea de supraveghere, la cererea acesteia sau din propria iniiativ a
responsabilului cu protecia datelor;
(h) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind
aspectele legate de prelucrare i, dac este cazul, consultarea autoritii de
supraveghere, din proprie iniiativ.
2. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i cerinelor privind sarcinile, certificarea, statutul,
competenele i resursele responsabilului cu protecia datelor la care se face referire
la alineatul (1).

RO 65 RO
SECIUNEA 5
CODURI DE CONDUIT I CERTIFICARE

Articolul 38
Coduri de conduit
1. Statele membre, autoritile de supraveghere i Comisia ncurajeaz elaborarea de
coduri de conduit menite s contribuie la buna aplicare a prezentului regulament,
innd seama de caracteristicile specifice ale diverselor sectoare de prelucrare a
datelor, n special cu privire la:
(a) prelucrarea datelor n mod echitabil i transparent;
(b) colectarea datelor;
(c) informarea publicului i a persoanelor vizate;
(d) cererile persoanelor vizate n exercitarea drepturilor acestora;
(e) informarea i protejarea copiilor;
(f) transferul datelor ctre ri tere sau organizaii internaionale;
(g) mecanisme de monitorizare i de asigurare a conformitii cu codul de ctre
operatorii care ader la cod;
(h) proceduri extrajudiciare i alte proceduri de soluionare a litigiilor pentru
soluionarea diferendelor ntre operatori i persoanele vizate n ceea ce
privete prelucrarea datelor cu caracter personal, fr a aduce atingere
drepturilor persoanelor vizate, conform articolelor 73 i 75.
2. Asociaiile i alte organisme care reprezint categorii de operatori sau persoane
mputernicite de ctre operatori ntr-un stat membru care intenioneaz s elaboreze
coduri de conduit sau s modifice i s extind codurile de conduit existente le pot
prezenta n vederea emiterii unui aviz din partea autoritii de supraveghere din statul
membru respectiv. Autoritatea de supraveghere poate emite un aviz cu privire la
conformitatea cu prezentul regulament a proiectului de cod de conduit sau a
modificrilor aduse acestuia. Autoritatea de supraveghere solicit opiniile
persoanelor vizate sau ale reprezentanilor lor cu privire la aceste proiecte.
3. Asociaiile i alte organisme care reprezint categorii de operatori n mai multe state
membre pot prezenta Comisiei proiecte de coduri de conduit, precum i modificri
sau extinderi ale codurilor de conduit existente.
4. Comisia poate adopta acte de punere n aplicare pentru a decide asupra valabilitii
generale n Uniune a codurilor de conduit i a modificrilor sau extinderilor la
codurile de conduit existente care i-au fost prezentate n conformitate cu
alineatul (3). Actele de punere n aplicare se adopt n conformitate cu procedura de
examinare prevzut la articolul 87 alineatul (2).
5. Comisia asigur publicitatea adecvat pentru codurile asupra crora s-a decis c au
valabilitate general n conformitate cu alineatul (4).

Articolul 39
Certificare
1. Statele membre i Comisia ncurajeaz, n special la nivel european, instituirea de
mecanisme de certificare n domeniul proteciei datelor i de sigilii i mrci n

RO 66 RO
domeniul proteciei datelor, care s permit persoanelor vizate s evalueze rapid
nivelul de protecie a datelor pe care l asigur operatorii i persoanele mputernicite
de ctre operatori. Mecanismele de certificare din domeniul proteciei datelor
contribuie la buna aplicare a prezentului regulament, lund n considerare
caracteristicile specifice ale diverselor sectoare i ale diferitelor operaiuni de
prelucrare.
2. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 cu
scopul detalierii criteriilor i cerinelor aplicabile mecanismelor de certificare din
domeniul proteciei datelor, menionate la alineatul (1), inclusiv a condiiilor de
acordare i retragere, precum i a cerinelor n materie de recunoatere n Uniune i
n rile tere.
3. Comisia poate stabili standarde tehnice pentru mecanismele de certificare i pentru
sigiliile i mrcile din domeniul proteciei datelor, precum i mecanisme de
promovare i recunoatere a mecanismelor de certificare i a sigiliilor i mrcilor
din domeniul proteciei datelor. Actele de punere n aplicare se adopt n
conformitate cu procedura de examinare prevzut la articolul 87 alineatul (2).
CAPITOLUL V
TRANSFERUL DATELOR CU CARACTER PERSONAL
CTRE RI TERE SAU ORGANIZAII
INTERNAIONALE

Articolul 40
Principiul general al transferurilor
Datele cu caracter personal care fac obiectul prelucrrii sau care urmeaz a fi prelucrate dup
ce sunt transferate ntr-o ar ter sau unei organizaii internaionale pot fi transferate doar
dac, sub rezerva celorlalte dispoziii ale prezentului regulament, condiiile prevzute n
prezentul capitol sunt respectate de ctre operator i de persoana mputernicit de ctre
operator, inclusiv n ceea ce privete transferurile ulterioare de date cu caracter personal din
ara ter sau de la organizaia internaional ctre o alt ar ter sau ctre o alt organizaie
internaional.

Articolul 41
Transferuri n baza unei decizii privind caracterul adecvat al nivelului de protecie
1. Transferul se poate realiza atunci cnd Comisia a decis c ara ter, un teritoriu ori
un sector de prelucrare din acea ar ter sau organizaia internaional n cauz
asigur un nivel de protecie adecvat. Transferurile realizate n aceste condiii nu
necesit alte autorizri suplimentare.
2. Atunci cnd evalueaz caracterul adecvat al nivelului de protecie, Comisia ia n
considerare urmtoarele elemente:
(a) statul de drept, legislaia relevant n vigoare, att cea general, ct i cea
specific, inclusiv cea referitoare la securitatea public, aprare, securitatea
naional i dreptul penal, normele profesionale i msurile de securitate care
sunt respectate n ara respectiv sau de respectiva organizaie internaional,
precum i drepturile efective i opozabile, inclusiv cile de atac administrative
i judiciare efective ale persoanelor vizate, n special n cazul persoanelor

RO 67 RO
vizate care au reedina n Uniune i ale cror date cu caracter personal sunt
transferate;
(b) existena i funcionarea efectiv a uneia sau a mai multor autoriti de
supraveghere independente n ara ter sau n cadrul organizaiei
internaionale n cauz, care au responsabilitatea de a asigura respectarea
normelor de protecie a datelor, de a asista i de a consilia persoanele vizate n
ceea ce privete exercitarea drepturilor acestora i de a coopera cu autoritile
de supraveghere din statele membre i din Uniune; i
(c) angajamentele internaionale la care a aderat ara ter sau organizaia
internaional n cauz.
3. Comisia poate decide c o ar ter, un teritoriu sau un sector de prelucrare din acea
ar ter sau o organizaie internaional asigur un nivel de protecie adecvat n
sensul alineatului (2). Actele de punere n aplicare se adopt n conformitate cu
procedura de examinare menionat la articolul 87 alineatul (2).
4. Actul de punere aplicare menioneaz aplicarea geografic i sectorial, i, dup caz,
identific autoritatea de supraveghere menionat la alineatul (2) litera (b).
5. Comisia poate decide c o ar ter, un teritoriu sau un sector de prelucrare din acea
ar ter, sau o organizaie internaional nu asigur un nivel de protecie adecvat n
sensul alineatului (2) al prezentului articol, n special n cazurile n care legislaia
relevant, att cea general, ct i cea specific, n vigoare n ara ter sau n
organizaia internaional, nu garanteaz drepturi efective i opozabile, inclusiv ci
de atac administrative i judiciare efective pentru persoanele vizate, n special pentru
acele persoanele vizate care i au reedina n Uniune i ale cror date cu caracter
personal sunt transferate. Actele de punere n aplicare se adopt n conformitate cu
procedura de examinare menionat la articolul 87 alineatul (2), sau, n cazuri de
extrem urgen pentru persoanele fizice n ceea ce privete dreptul la protecia
datelor cu caracter personal, n conformitate cu procedura menionat la articolul 87
alineatul (3).
6. n cazul n care Comisia ia o decizie n temeiul alineatului (5), transferurile de date
cu caracter personal ctre ara ter, un teritoriu sau un sector de prelucrare din acea
ar ter sau ctre organizaia internaional n cauz sunt interzise, fr a aduce
atingere articolelor 42-44. La momentul oportun, Comisia efectueaz consultri cu
ara ter sau organizaia internaional n vederea remedierii situaiei aprute n
urma deciziei luate n conformitate cu alineatul (5) al prezentului articol.
7. Comisia public n Jurnalul Oficial al Uniunii Europene o list a rilor tere, a
teritoriilor i sectoarelor de prelucrare din rile tere i a organizaiilor
internaionale n cazul crora a decis c nivelul de protecie adecvat este asigurat sau
nu este asigurat.
8. Deciziile adoptate de Comisie n temeiul articolului 25 alineatul (6) sau al
articolului 26 alineatul (4) din Directiva 95/46/CE rmn n vigoare, pn cnd sunt
modificate, nlocuite sau abrogate de ctre Comisie.

Articolul 42
Transferurile n baza unor garanii adecvate
1. n cazul n care Comisia nu a luat o decizie n temeiul articolului 41, operatorul sau
persoana mputernicit de ctre operator poate transfera date cu caracter personal
ntr-o ar ter sau unei organizaii internaionale numai dac operatorul sau

RO 68 RO
persoana mputernicit de ctre operator a oferit garanii adecvate n ceea ce privete
protecia datelor cu caracter personal printr-un instrument cu for juridic
obligatorie.
2. Garaniile corespunztoare menionate la alineatul (1) sunt furnizate, n special, prin:
(a) reguli corporatiste obligatorii n conformitate cu articolul 43; sau
(b) clauze standard de protecie a datelor adoptate de Comisie. Actele de punere n
aplicare se adopt n conformitate cu procedura de examinare menionat la
articolul 87 alineatul (2); sau
(c) clauze standard de protecie a datelor adoptate de o autoritate de supraveghere
n conformitate cu mecanismul pentru asigurarea coerenei menionat la
articolul 57, n condiiile n care Comisia a declarat c sunt general valabile n
conformitate cu articolul 62 alineatul (1) litera (b); sau
(d) clauze contractuale ntre operator sau persoana mputernicit de ctre operator
i destinatarul datelor, aprobate de ctre o autoritate de supraveghere n
conformitate cu alineatul (4).
3. Transferul realizat n baza clauzelor standard de protecie a datelor sau a regulilor
corporatiste obligatorii menionate la alineatul (2) literele (a), (b) sau (c) nu necesit
o alt autorizare suplimentar.
4. Atunci cnd transferul se realizeaz n baza unor clauzele contractuale, astfel cum se
menioneaz n prezentul articol la alineatul (2) litera (d), operatorul sau persoana
mputernicit de ctre operator obine de la autoritatea de supraveghere autorizarea
prealabil pentru clauzele contractuale, n conformitate cu articolul 34 alineatul (1).
Dac transferul are legtur cu activitile de prelucrare care se refer la persoane
vizate din alt stat membru sau din alte state membre, sau dac afecteaz n mod
semnificativ libera circulaie a datelor cu caracter personal n cadrul Uniunii,
autoritatea de supraveghere aplic mecanismul pentru asigurarea coerenei prevzut
la articolul 57.
5. n cazul n care nu se furnizeaz garanii corespunztoare n ceea ce privete
protecia datelor cu caracter personal printr-un instrument cu for juridic
obligatorie, operatorul sau persoana mputernicit de ctre operator obine
autorizarea prealabil pentru transfer sau seria de transferuri, sau pentru dispoziiile
care vor fi incluse n acordurile administrative care constituie temeiul pentru un astfel
de transfer. Autorizarea acordat de autoritatea de supraveghere este n conformitate
cu articolul 34 alineatul (1). Dac transferul are legtur cu activitile de prelucrare
care se refer la persoane vizate din alt stat membru sau din alte state membre, sau
dac afecteaz n mod semnificativ libera circulaie a datelor cu caracter personal n
cadrul Uniunii, autoritatea de supraveghere aplic mecanismul pentru asigurarea
coerenei prevzut la articolul 57. Autorizaiile acordate de ctre autoritatea de
supraveghere n temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt
valabile, pn la data la care sunt modificate, nlocuite sau abrogate de ctre
respectiva autoritate de supraveghere.

Articolul 43
Transferurile n baza regulilor corporatiste obligatorii
1. n conformitate cu mecanismul pentru asigurarea coerenei prevzut la articolul 58,
autoritatea de supraveghere aprob regulile corporatiste obligatorii, cu condiia ca
acestea:

RO 69 RO
(a) s aib for juridic obligatorie i s se aplice fiecrui membru al grupului de
ntreprinderi al operatorului sau al persoanei mputernicite de ctre operator i
s includ i pe salariaii acestora;
(b) s confere, n mod expres, drepturi opozabile persoanelor vizate;
(c) s ndeplineasc cerinele prevzute la alineatul (2).
2. Regulile corporatiste obligatorii trebuie s precizeze cel puin:
(a) structura i datele de contact ale grupului de ntreprinderi i membrii din
componena sa;
(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu
caracter personal, tipul prelucrrii i scopurile prelucrrii, categoriile de
persoane vizate i identificarea rii tere sau a rilor tere n cauz;
(c) caracterul obligatoriu, att pe plan intern, ct i extern;
(d) principiile generale n materie de protecie a datelor, n special limitarea
scopului, calitatea datelor, temeiul juridic pentru prelucrarea datelor,
prelucrarea datelor sensibile cu caracter personal; msuri de asigurare a
securitii datelor, precum i cerinele pentru transferurile ulterioare ctre
organizaii care nu au obligaii n temeiul politicilor;
(e) drepturile persoanelor vizate i mijloacele de exercitare a acestor drepturi,
inclusiv dreptul de a nu face obiectul unei msuri bazate pe crearea de profiluri
n conformitate cu articolul 20, dreptul de a depune o plngere n faa
autoritii de supraveghere competente i n faa instanelor competente ale
statelor membre, n conformitate cu articolul 75, precum i dreptul de a obine
despgubiri i, dup caz, compensaii pentru nclcarea regulilor corporatiste
obligatorii;
(f) acceptarea de ctre operator sau de persoana mputernicit de ctre operator, cu
sediul pe teritoriul unui stat membru, a rspunderii pentru orice nclcare a
regulilor corporatiste obligatorii de ctre orice membru al grupului de
ntreprinderi care nu are sediul n Uniune; operatorul sau persoana
mputernicit de ctre operator pot fi exonerai de rspundere, integral sau
parial, numai n condiiile n care dovedesc c membrul respectiv nu rspunde
de evenimentul care a cauzat daune;
(g) modul n care informaiile privind regulile corporatiste obligatorii, n special cu
privire la dispoziiile menionate la literele (d), (e) i (f) de la prezentul alineat
sunt furnizate persoanelor vizate, conform articolului 11;
(h) sarcinile responsabilului cu protecia datelor, desemnat n conformitate cu
articolul 35, inclusiv monitorizarea n cadrul grupului de ntreprinderi a
respectrii regulilor corporatiste obligatorii, precum i monitorizarea formrii
i a gestionrii plngerilor;
(i) mecanismele din cadrul grupului de ntreprinderi n vederea garantrii
conformitii cu regulile corporatiste obligatorii;
(j) mecanismele de comunicare i nregistrare a modificrilor aduse politicilor i
de comunicare a acestor modificri autoritii de supraveghere;
(k) mecanismul de cooperare cu autoritatea de supraveghere menite s asigure
respectarea regulilor de ctre oricare membru al grupului de ntreprinderi, n
special prin punerea la dispoziia autoritii de supraveghere a rezultatelor

RO 70 RO
verificrilor cu privire la msurile menionate la punctul (i) de la prezentul
alineat.
3. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 cu
scopul detalierii criteriilor i cerinelor pentru regulile corporatiste obligatorii n
sensul prezentului articol, n special n ceea ce privete criteriile pentru aprobarea
lor, aplicarea literelor (b), (d), (e) i (f) de la alineatul (2) la regulile corporatiste
obligatorii la care au aderat persoanele mputernicite de ctre operator i la alte
cerine necesare pentru a garanta protecia datelor cu caracter personal ale
persoanelor vizate n cauz.
4. Comisia poate preciza formatul i procedurile pentru schimbul de informaii prin
mijloace electronice ntre operatori, persoanele mputernicite de ctre operatori i
autoritile de supraveghere pentru regulile corporative cu for juridic obligatorie
n sensul prezentului articol. Actele de punere n aplicare se adopt n conformitate
cu procedura de examinare prevzut la articolul 87 alineatul (2).

Articolul 44
Derogri
1. n absena unei decizii privind caracterul adecvat al nivelului de protecie n
conformitate cu articolul 41, sau a unor garanii adecvate n conformitate cu
articolul 42, un transfer sau o serie de transferuri de date cu caracter personal ctre o
ar ter sau o organizaie internaional poate avea loc numai n condiiile n care:
(a) persoana vizat i-a exprimat acordul cu privire la transferul propus, dup ce a
fost informat cu privire la riscurile acestor transferuri n lipsa unei decizii
privind caracterul adecvat al nivelului de protecie i a garaniilor
corespunztoare; sau
(b) transferul este necesar pentru executarea unui contract ntre persoana vizat i
operator sau pentru aplicarea unor msuri precontractuale adoptate la cererea
persoanei vizate; sau
(c) transferul este necesar pentru ncheierea unui contract sau pentru executarea
unui contract ncheiat n interesul persoanei vizate ntre operator i o alt
persoan fizic sau juridic; sau
(d) transferul este necesar din motive importante, de interes public; sau
(e) transferul este necesar pentru constatarea, exercitarea sau aprarea unui drept n
instan; sau
(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate
sau ale altei persoane, atunci cnd persoana vizat nu are capacitatea fizic sau
juridic de a-i exprima acordul; sau
(g) transferul se realizeaz dintr-un registru care, potrivit dreptului Uniunii sau al
statului membru, are scopul de a furniza informaii publicului i care poate fi
consultat fie de public, n general, fie de orice persoan care poate face dovada
interesului legitim, n msura n care sunt ndeplinite condiiile cu privire la
consultare prevzute de dreptul Uniunii sau al statului membru n acel caz
specific; sau
(h) transferul este necesar n scopul intereselor legitime urmrite de operator sau de
persoana mputernicit de ctre operator, nu poate fi considerat frecvent sau
voluminos, iar operatorul sau persoana mputernicit de ctre operator a evaluat

RO 71 RO
toate circumstanele aferente operaiunii de transfer de date sau seriei de
operaiuni de transfer de date i n baza acestei evaluri a oferit garanii
corespunztoare n ceea ce privete protecia datelor cu caracter personal, n
cazul n care acest lucru este necesar.
2. Transferul n temeiul alineatului (1) litera (g) nu implic totalitatea datelor cu
caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse n
registru. Atunci cnd registrul urmeaz a fi consultat de ctre persoane care au un
interes legitim, transferul se efectueaz numai la cererea persoanelor respective sau,
n cazul n care acestea vor fi destinatarii.
3. n cazul n care prelucrarea se realizeaz n baza alineatului (1) litera (h), operatorul
sau persoana mputernicit de ctre operator trebuie s acorde atenie deosebit
naturii datelor, scopului i duratei operaiunii sau operaiunilor propuse de
prelucrare, situaiei din ara de origine, din ara ter i din ara de destinaie final
i garaniilor corespunztoare oferite n ceea ce privete protecia datelor cu caracter
personal, n cazul n care este necesar.
4. Literele (b), (c) i (h) de la alineatul (1) nu se aplic n cazul activitilor desfurate
de ctre autoritile publice n exercitarea competenelor lor publice.
5. Interesul public prevzut la alineatul (1) litera (d) trebuie s fie recunoscut n dreptul
Uniunii sau n dreptul statului membru sub incidena cruia intr operatorul.
6. Operatorul sau persoana mputernicit de ctre operator consemneaz evaluarea i
garaniile corespunztoare oferite prevzute la alineatul (1) litera (h) de la prezentul
articol, n documentele prevzute la articolul 28 i informeaz autoritatea de
supraveghere cu privire la transfer.
7. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 cu
scopul detalierii motivelor importante, de interes public, n sensul alineatului (1)
litera (d), precum i a criteriilor i cerinelor aplicabile garaniilor corespunztoare
prevzute la alineatul (1) litera (h).

Articolul 45
Cooperarea internaional n domeniul proteciei datelor cu caracter personal
1. n ceea ce privete rile tere i organizaiile internaionale, Comisia i autoritile
de supraveghere iau msurile corespunztoare pentru:
(a) elaborarea de mecanisme eficiente de cooperare internaional pentru a facilita
asigurarea aplicrii legislaiei privind protecia datelor cu caracter personal;
(b) acordarea de asisten internaional reciproc n asigurarea aplicrii legislaiei
din domeniul proteciei datelor cu caracter personal, inclusiv prin notificare,
transferul reclamaiilor, asisten n anchete i schimb de informaii, sub
rezerva unor garanii adecvate pentru protecia datelor cu caracter personal i a
altor drepturi i liberti fundamentale;
(c) implicarea prilor interesate relevante n discuiile i activitile care au ca
scop lrgirea cooperrii internaionale n vederea asigurarea aplicrii legislaiei
din domeniul proteciei datelor cu caracter personal;
(d) promovarea schimbului, a documentaiei cu privire la legislaia i practicile n
materie de protecie a datelor cu caracter personal.

RO 72 RO
2. n sensul alineatului (1), Comisia ia msurile necesare pentru a consolida relaiile cu
rile tere sau organizaiile internaionale, n special cu autoritile lor de
supraveghere, n cazul n care Comisia a decis c acestea asigur un nivel adecvat de
protecie n sensul articolului 41 alineatul (3).
CAPITOLUL VI
AUTORITI DE SUPRAVEGHERE INDEPENDENTE
SECIUNEA 1
STATUT INDEPENDENT

Articolul 46
Autoritatea de supraveghere
1. Dispoziiile din fiecare stat membru prevd c una sau mai multe autoriti publice
sunt responsabile de monitorizarea aplicrii prezentului regulament i de contribuia
la aplicarea uniform a regulamentului n ntreaga Uniune, n vederea protejrii
drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete
prelucrarea datelor cu caracter personal ale acestora i n vederea facilitrii liberei
circulaii a datelor cu caracter personal n cadrul Uniunii. n acest sens, autoritile
de supraveghere coopereaz ntre ele i cu Comisia.
2. n cazul n care un stat membru instituie mai multe autoriti de supraveghere, statul
membru respectiv desemneaz autoritatea de supraveghere care funcioneaz ca
punct unic de contact pentru participarea efectiv a autoritilor respective la
Comitetul european pentru protecia datelor i instituie un mecanism de asigurare a
respectrii de ctre celelalte autoriti a normelor privind mecanismul pentru
asigurarea coerenei prevzut la articolul 57.
3. Fiecare stat membru notific Comisiei dispoziiile din dreptul su pe care le adopt
n temeiul prezentului capitol pn cel trziu la data menionat la articolul 91
alineatul (2) i, fr ntrziere, orice modificare ulterioar pe care o aduce la aceste
dispoziii.

Articolul 47
Independen
1. Autoritatea de supraveghere beneficiaz de independen deplin n exercitarea
ndatoririlor i competenelor care i sunt ncredinate.
2. n ndeplinirea ndatoririlor, membrii autoritii de supraveghere nu solicit i nici nu
accept niciun fel de instruciuni.
3. Membrii autoritii de supraveghere nu ntreprind aciuni incompatibile cu
ndatoririle lor, iar, pe durata mandatului, nu desfoar activiti incompatibile,
remunerate sau nu.
4. Dup ncheierea mandatului, membrii autoritii de supraveghere trebuie s dea
dovad de integritate i discreie n ceea ce privete acceptarea unor funcii sau
beneficii.
5. Fiecare stat membru se asigur c autoritatea de supraveghere beneficiaz de resurse
umane, tehnice i financiare adecvate, de sediul i infrastructura necesar pentru
buna executare a sarcinilor i competenelor, inclusiv a celor care urmeaz s fie

RO 73 RO
efectuate n contextul asistenei reciproce, al cooperrii i participrii la Comitetul
european pentru protecia datelor.
6. Fiecare stat membru se asigur c autoritatea de supraveghere dispune de personal
propriu, numit de eful autoritii de supraveghere i care rspunde n faa acestuia.
7. Statele membre se asigur c autoritatea de supraveghere face obiectul unui control
financiar care nu aduce atingere independenei sale. Statele membre se asigur c
autoritatea de supraveghere dispune de bugete anuale distincte. Bugetele se fac
publice.

Articolul 48
Condiii generale aplicabile membrilor autoritii de supraveghere
1. Statele membre prevd dispoziii potrivit crora membrii autoritii de supraveghere
trebuie numii fie de parlament, fie de guvernul statului membru n cauz.
2. Membrii se aleg din rndul persoanelor care fac dovada independenei dincolo de
orice ndoial, precum i a experienei i competenelor cerute pentru ndeplinirea
ndatoririlor lor n special n domeniul proteciei datelor cu caracter personal.
3. Funciile unui membru nceteaz n cazul expirrii mandatului, n cazul demisiei sau
destituirii conform dispoziiilor alineatului (5).
4. Un membru poate fi demis sau poate fi deczut din dreptul la pensie sau la alte
beneficii echivalente de ctre instana naional competent, n cazul n care
membrul respectiv nu mai ndeplinete condiiile necesare pentru executarea
funciilor sau este vinovat de comiterea unei abateri disciplinare grave.
5. n cazul expirrii mandatului sau al demisiei membrului, acesta continu s exercite
ndatoririle pn la numirea unui nou membru.

Articolul 49
Norme privind instituirea autoritii de supraveghere
n limitele prezentului regulament, fiecare stat membru prevede, pe cale legislativ,
urmtoarele:
(a) instituirea i statutul autoritii de supraveghere;
(b) calificrile, experiena i competenele necesare pentru exercitarea funciei de
membru al autoritii de supraveghere;
(c) normele i procedurile pentru numirea membrilor autoritii de supraveghere,
precum i normele privind aciunile sau ocupaiile incompatibile cu funciile
membrilor;
(d) durata mandatului membrilor autoritii de supraveghere, care nu poate fi sub
patru ani, cu excepia primului mandat dup intrarea n vigoare a prezentului
regulament, care poate fi pe o perioad mai scurt n cazul n care acest lucru
este necesar pentru a proteja independena autoritii de supraveghere printr-o
procedur de numiri ealonate;
(e) posibilitatea de rennoire a mandatului membrilor autoritii de supraveghere;
(f) regulile i condiiile comune care reglementeaz ndatoririle membrilor i ale
personalului autoritii de supraveghere;

RO 74 RO
(g) normele i procedurile privind ncetarea funciilor asumate de membrii
autoritii de supraveghere, inclusiv n cazul n care nu mai ndeplinesc
condiiile necesare pentru exercitarea atribuiilor lor sau n cazul n care sunt
vinovai de comiterea unei abateri disciplinare grave.

Articolul 50
Secretul profesional
n cursul mandatului i dup ncetarea mandatului, membrii i personalul autoritii de
supraveghere au obligaia de a respecta secretul profesional n ceea ce privete informaiile
confideniale de care au luat cunotin n timpul exercitrii sarcinilor lor oficiale.
SECIUNEA 2
ATRIBUII I FUNCII

Articolul 51
Competen
1. Fiecare autoritate de supraveghere exercit, pe teritoriul statului membru de care
aparine, funciile cu care este investit n conformitate cu prezentul regulament.
2. Atunci cnd prelucrarea datelor cu caracter personal are loc n contextul activitilor
unei uniti a unui operator sau a unei persoane mputernicite de ctre operator, din
Uniune, iar operatorul sau persoan mputernicit de ctre operator are uniti pe
teritoriul mai multor state membre, autoritatea de supraveghere a principalei uniti a
operatorului sau a persoanei mputernicite de ctre operator are competena
supravegherii activitilor de prelucrare desfurate de operator sau de persoana
mputernicit de ctre operator n toate statele membre, fr a aduce atingere
dispoziiilor capitolului VII din prezentul regulament.
3. Autoritatea de supraveghere nu are competena de a supraveghea operaiunile de
prelucrare ale instanelor care acioneaz n exerciiul funciei lor jurisdicionale.

Articolul 52
Atribuii
1. Autoritatea de supraveghere:
(a) monitorizeaz i asigur aplicarea prezentului regulament;
(b) primete reclamaiile depuse de orice persoan vizat sau de o asociaie care
reprezint persoana vizat respectiv, n conformitate cu articolul 73,
investigheaz chestiunea, n msura n care este adecvat, i informeaz, ntr-un
termen rezonabil, persoana vizat sau asociaia cu privire la evoluia i
rezultatul reclamaiei, n special dac este necesar efectuarea unei cercetri
mai amnunite sau coordonarea cu o alt autoritate de supraveghere;
(c) partajeaz informaiile cu alte autoriti de supraveghere, ofer asisten
reciproc i asigur consecvena aplicrii i a asigurrii aplicrii prezentului
regulament;
(d) desfoar anchete fie din proprie iniiativ, fie pe baza unei reclamaii sau la
cererea altei autoriti de supraveghere i informeaz ntr-un termen rezonabil
persoana vizat cu privire la rezultatul anchetelor, n cazul n care persoana
vizat a depus o reclamaie la aceast autoritate de supraveghere;

RO 75 RO
(e) monitorizeaz evoluiile relevante, n msura n care acestea au impact asupra
proteciei datelor cu caracter personal, n special evoluia tehnologiilor
informaiilor i comunicaiilor i a practicilor comerciale;
(f) este consultat de instituiile i organele statului membru cu privire la msurile
legislative i administrative referitoare la protecia drepturilor i libertilor
persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal;
(g) autorizeaz i este consultat cu privire la operaiunile de prelucrare prevzute
la articolul 34;
(h) emite un aviz cu privire la proiectele de coduri de conduit, n conformitate cu
articolul 38 alineatul (2);
(i) aprob regulile corporatiste obligatorii n conformitate cu articolul 43;
(j) particip la activitile Comitetului european pentru protecia datelor.
2. Fiecare autoritate de supraveghere promoveaz aciuni de sensibilizare a publicului
cu privire la riscurile, normele, garaniile i drepturile n materie de prelucrare a
datelor cu caracter personal. Se acord atenie special activitilor care se adreseaz
n mod special copiilor.
3. La cerere, autoritatea de supraveghere ofer consiliere oricrei persoane vizate n
exercitarea drepturilor n conformitate cu prezentul regulament i, dac este cazul,
coopereaz cu autoritile de supraveghere din alte state membre n acest scop.
4. Pentru reclamaiile prevzute la alineatul (1) litera (b), autoritatea de supraveghere
pune la dispoziie un formular de depunere a reclamaiei, care poate fi completat prin
mijloace electronice, fr a exclude alte mijloace de comunicare.
5. ndeplinirea funciilor autoritii de supraveghere este gratuit pentru persoana
vizat.
6. n cazul n care cererile sunt n mod evident excesive, n special din cauza
caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o tax sau
poate s nu efectueze aciunea care face obiectul cererii persoanei vizate. Sarcina
probei cu privire la caracterul evident excesiv al cererii revine autoritii de
supraveghere.

Articolul 53
Funcii
1. Fiecare autoritate de supraveghere este abilitat:
(a) s notifice operatorul sau persoana mputernicit de ctre operator cu privire la
presupusa nclcare a dispoziiilor care reglementeaz prelucrarea datelor cu
caracter personal i, dup caz, s dispun remedierea nclcrii de ctre
operator sau persoana mputernicit de ctre operator, n mod specific, pentru
mbuntirea proteciei de care beneficiaz persoana vizat;
(b) s solicite operatorului sau persoanei mputernicite de ctre operator s respecte
cererile persoanei vizate de exercitare a drepturilor prevzute de prezentul
regulament;
(c) s solicite operatorului sau persoanei mputernicite de ctre operator i, dup
caz, reprezentantului s furnizeze orice informaii relevante pentru ndeplinirea
funciilor sale;

RO 76 RO
(d) s asigure respectarea autorizaiilor prealabile i a consultrilor prealabile
prevzute la articolul 34;
(e) s adreseze un avertisment sau o mustrare operatorului sau persoanei
mputernicite de ctre operator;
(f) s dispun rectificarea, tergerea sau distrugerea tuturor datelor atunci cnd
acestea au fost prelucrate cu nclcarea dispoziiilor prezentului regulament,
precum i notificarea acestor aciuni terilor crora le-au fost dezvluite aceste
date;
(g) s impun interdicia temporar sau definitiv privind prelucrarea;
(h) s suspende fluxurile de date ctre un destinatar ntr-o ar ter sau ctre o
organizaie internaional;
(i) s emit avize cu privire la orice aspect legat de protecia datelor cu caracter
personal;
(j) s informeze parlamentul naional, guvernul sau alte instituii politice, precum
i publicul cu privire la orice aspect legat de protecia datelor cu caracter
personal.
2. Fiecare autoritate de supraveghere are competene de investigare pentru a obine din
partea operatorului sau a persoanei mputernicite de ctre operator:
(a) accesul la toate datele cu caracter personal i la toate informaiile necesare
pentru executarea atribuiilor sale;
(b) accesul la oricare din localurile sale, inclusiv la eventualele echipamente i
mijloace de prelucrare a datelor, n cazul n care exist motive ntemeiate de a
presupune c se efectueaz o activitate care contravine prezentului regulament.
Puterile prevzute la litera (b) se exercit n conformitate cu dreptul Uniunii i cu
legislaia statului membru.
3. Fiecare autoritate de supraveghere este abilitat s aduc n atenia autoritilor
judiciare cazurile de nclcare a prezentului regulament i s se implice n
procedurile judiciare, n special n conformitate cu articolul 74 alineatul (4) i
articolul 75 alineatul (2).
4. Fiecare autoritate de supraveghere poate sanciona contraveniile de natur
administrativ, n special cele prevzute la articolul 79 alineatele (4), (5) i (6).

Articolul 54
Raport de activitate
Fiecare autoritate de supraveghere trebuie s ntocmeasc un raport anual cu privire la
activitile sale. Raportul trebuie s fie prezentat parlamentului naional i se pune la
dispoziia publicului, Comisiei i Comitetului european pentru protecia datelor.

RO 77 RO
CAPITOLUL VII
COOPERARE I COEREN

SECIUNEA 1
COOPERARE

Articolul 55
Asisten reciproc
1. Autoritile de supraveghere i furnizeaz reciproc informaii relevante i asisten
reciproc pentru a pune n aplicare prezentul regulament n mod coerent i instituie
msuri de cooperare eficace ntre ele. Asistena reciproc se refer, n special, la
cereri de informaii i msuri de control, cum ar fi cereri de autorizare i consultare
prealabile, inspecii i comunicarea rapid a informaiilor privind deschiderea
dosarelor i evoluia ulterioar a acestora atunci cnd persoanele vizate n mai multe
state membre sunt susceptibile de a fi afectate de operaiuni de prelucrare.
2. Fiecare autoritate de supraveghere ia toate msurile corespunztoare necesare pentru
a rspunde solicitrii din partea altei autoriti de supraveghere, fr ntrziere i cel
trziu n termen de o lun de la data primirii cererii. Aceste msuri pot include, n
special, transmiterea informaiilor relevante privind cursul unei anchete sau msuri
de aplicare a legii pentru a pune capt sau a interzice operaiunile de prelucrare care
ncalc dispoziiile prezentului regulament.
3. Solicitarea de asisten cuprinde toate informaiile necesare, inclusiv scopul
solicitrii i motivele care stau la baza acesteia. Informaiile schimbate sunt utilizate
numai n scopul pentru care au fost solicitate.
4. O autoritate de supraveghere creia i se adreseaz o solicitare de asisten nu poate
refuza s i dea curs, cu excepia cazului n care:
(a) nu are competena de a rspunde solicitrii; sau
(b) a da curs solicitrii ar contraveni dispoziiilor prezentului regulament.
5. Autoritatea de supraveghere creia i s-a adresat solicitarea informeaz autoritatea de
supraveghere care a transmis solicitarea cu privire la rezultate sau, dup caz, la
progresele nregistrate ori msurile ntreprinse pentru a da curs solicitrii respective.
6. Autoritile de supraveghere furnizeaz informaiile solicitate de ctre alte autoriti
de supraveghere prin mijloace electronice i n cel mai scurt timp, utiliznd un
formular standard.
7. Pentru aciunile ntreprinse n urma unei solicitri de asisten reciproc nu se
percepe nicio tax.
8. n cazul n care o autoritate de supraveghere nu acioneaz n termen de o lun de la
solicitarea din partea altei autoriti de supraveghere, aceasta din urm are
competena de a lua o msur provizorie pe teritoriul propriului stat membru, n
conformitate cu articolul 51 alineatul (1), i sesizeaz Comitetul european pentru
protecia datelor n conformitate cu procedura menionat la articolul 57.
9. Autoritatea de supraveghere precizeaz perioada de valabilitate a acestei msuri
provizorii. Aceast perioad nu depete trei luni. Autoritatea de supraveghere

RO 78 RO
comunic fr ntrziere aceste msuri, motivate n mod corespunztor, Comitetului
european pentru protecia datelor i Comisiei.
10. Comisia poate specifica forma i procedurile pentru asistena reciproc menionat
n prezentul articol, precum i modalitile de schimb de informaii prin mijloace
electronice ntre autoritile de supraveghere i ntre autoritile de supraveghere i
Comitetul european pentru protecia datelor, n special formularul standard
menionat la alineatul (6). Actele de punere n aplicare respective sunt adoptate n
conformitate cu procedura de examinare menionat la articolul 87 alineatul (2).

Articolul 56
Operaiuni comune ale autoritilor de supraveghere
1. Pentru a intensifica cooperarea i asistena reciproc, autoritile de supraveghere
ntreprind misiuni comune de anchet, msuri comune de aplicare a legii i alte
operaiuni comune, n care sunt implicai membri desemnai sau personal din partea
autoritilor de supraveghere ale altor state membre.
2. n cazul n care persoanele vizate n mai multe state membre sunt susceptibile de a fi
afectate de operaiuni de prelucrare, o autoritate de supraveghere din fiecare dintre
statele membre respective are dreptul de a participa la misiunile comune de anchet
sau la operaiunile comune, dup caz. Autoritatea de supraveghere competent invit
autoritile de supraveghere din fiecare dintre aceste state membre s ia parte la
misiunile comune de anchet sau operaiunile comune respective i rspunde fr
ntrziere la solicitarea unei autoriti de supraveghere care dorete s participe la
operaiuni.
3. n calitate de autoritate de supraveghere gazd, n conformitate cu propria legislaie
naional i cu acordul autoritii de supraveghere care i-a detaat personalul,
fiecare autoritate de supraveghere poate acorda competene de executare, inclusiv
ncredina misiuni de anchet membrilor sau personalului autoritii de supraveghere
din statul membru de origine, implicai n operaiuni comune sau, n msura n care
legislaia autoritii de supraveghere din statul membru de primire permite acest
lucru, poate permite membrilor sau personalului autoritii de supraveghere din statul
membru de origine s i exercite competenele de executare n conformitate cu
legislaia autoritii de supraveghere din statul membru de origine. Astfel de
competene de executare pot fi exercitate doar sub coordonarea i, de regul, n
prezena membrilor sau personalului autoritii de supraveghere din statul membru
de primire. Membrii sau personalul autoritii de supraveghere din statul membru de
origine sunt supui legislaiei naionale a autoritii de supraveghere din statul
membru de primire. Aceasta i asum rspunderea pentru aciunile personalului.
4. Autoritile de supraveghere definesc aspectele practice ale aciunilor specifice de
cooperare.
5. n cazul n care o autoritate de supraveghere nu se conformeaz, n termen de o lun,
obligaiei prevzute la alineatul (2), celelalte autoriti de supraveghere au
competena de a adopta o msur provizorie pe teritoriul statului membru respectiv,
n conformitate cu articolul 51 alineatul (1).
6. Autoritatea de supraveghere precizeaz perioada de valabilitate a msurii provizorii
menionate la alineatul (5). Aceast perioad nu depete trei luni. Autoritatea de
supraveghere comunic fr ntrziere aceste msuri, motivate n mod corespunztor,
Comitetului european pentru protecia datelor i Comisiei i prezint situaia spre
analiz n cadrul mecanismului menionat la articolul 57.

RO 79 RO
SECIUNEA 2
COEREN

Articolul 57
Mecanismul pentru asigurarea coerenei
Pentru scopurile stabilite la articolul 46 alineatul (1), autoritile de supraveghere coopereaz
ntre ele i cu Comisia prin mecanismul pentru asigurarea coerenei, astfel cum se prevede n
prezenta seciune.

Articolul 58
Avizul Comitetului european pentru protecia datelor
1. nainte de a adopta o msur menionat la alineatul (2), o autoritate de supraveghere
comunic proiectul de msur Comitetului european pentru protecia datelor i
Comisiei.
2. Obligaia prevzut la alineatul (1) se aplic unei msuri menite s produc efecte
juridice i care:
(a) se refer la activiti de prelucrare legate de furnizarea de bunuri sau servicii
persoanelor vizate n mai multe state membre, sau de monitorizarea
comportamentului acestora; sau
(b) pot afecta n mod substanial libera circulaie a datelor cu caracter personal n
cadrul Uniunii; sau
(c) vizeaz adoptarea unei liste de operaiuni de prelucrare care fac obiectul unei
consultri prealabile n temeiul articolului 34 alineatul (5); sau
(d) vizeaz determinarea clauzelor standard n materie de protecie a datelor
menionate la articolul 42 alineatul (2) litera (c); sau
(e) vizeaz autorizarea clauzelor contractuale menionate la articolul 42
alineatul (2) litera (d); sau
(f) vizeaz aprobarea regulilor corporatiste obligatorii n sensul articolului 43.
3. Orice autoritate de supraveghere sau Comitetul european pentru protecia datelor
poate solicita ca orice chestiune s fie abordat n cadrul mecanismului pentru
asigurarea coerenei, n special n cazul n care o autoritate de supraveghere nu
prezint un proiect de msur menionat la alineatul (2) sau nu respect obligaiile
privind asistena reciproc n conformitate cu articolul 55 sau privind operaiunile
comune n conformitate cu articolul 56.
4. Pentru a asigura aplicarea corect i coerent a prezentului regulament, Comisia
poate solicita ca orice chestiune s fie abordat n cadrul mecanismului pentru
asigurarea coerenei.
5. Autoritile de supraveghere i Comisia comunic electronic orice informaie
relevant, inclusiv, dup caz, o sintez a faptelor, proiectul de msur, precum i
motivele care fac necesar adoptarea unei astfel de msuri, utiliznd un formular
standard.
6. Preedintele Comitetului european pentru protecia datelor informeaz fr ntrziere
pe cale electronic membrii Comitetului european pentru protecia datelor i
Comisia cu privire la orice informaie relevant care i-a fost comunicat, utiliznd un

RO 80 RO
formular standard. Preedintele Comitetului european pentru protecia datelor
furnizeaz traduceri ale informaiilor relevante, dac este necesar.
7. n cazul n care Comitetul european pentru protecia datelor decide acest lucru prin
majoritate simpl a membrilor si sau n cazul n care orice autoritate de
supraveghere sau Comisia solicit acest lucru, Comitetul european pentru protecia
datelor emite un aviz cu privire la chestiune n termen de o sptmn de la data la
care informaiile relevante au fost furnizate n conformitate cu alineatul (5). Avizul
este adoptat n termen de o lun cu majoritate simpl a membrilor Comitetului
european pentru protecia datelor. Preedintele Comitetului european pentru
protecia datelor informeaz, fr ntrziere nejustificat, autoritatea de supraveghere
menionat, dup caz, la alineatele (1) i (3), Comisia i autoritatea de supraveghere
competent n conformitate cu articolul 51 cu privire la aviz i l public.
8. Autoritatea de supraveghere menionat la alineatul (1) i autoritatea de
supraveghere competent n conformitate cu articolul 51 in seama de avizul
Comitetului european pentru protecia datelor i comunic pe cale electronic
preedintelui Comitetului european pentru protecia datelor i Comisiei, n termen
de dou sptmni din momentul n care a fost informat cu privire la avizul
preedintelui Comitetului european pentru protecia datelor, dac i pstreaz sau
i modific proiectul de msur i, dac este cazul, transmite proiectul de msur
modificat, utiliznd un formular standard.

Articolul 59
Avizul Comisiei
1. n termen de zece sptmni din momentul n care o chestiune a fost ridicat n
conformitate cu articolul 58, sau cel trziu n termen de ase sptmni n cazul
articolului 61, Comisia poate adopta, pentru a asigura aplicarea corect i coerent a
prezentului regulament, un aviz cu privire la chestiunile ridicate n temeiul
articolelor 58 sau 61.
2. Atunci cnd Comisia a adoptat un aviz n conformitate cu alineatul (1), autoritatea de
supraveghere n cauz acord atenie maxim avizului Comisiei i informeaz
Comisia i Comitetul european pentru protecia datelor dac intenioneaz s i
menin sau s modifice proiectul de msur.
3. n timpul perioadei menionate la alineatul (1), autoritatea de supraveghere nu adopt
proiectul de msur.
4. n cazul n care autoritatea de supraveghere n cauz intenioneaz s nu se
conformeze avizului Comisiei, acesta informeaz Comisia i Comitetul european
pentru protecia datelor respectnd termenul menionat la alineatul (1) i furnizeaz
o motivare. n acest caz, proiectul de msur nu este adoptat timp de o lun
suplimentar.

Articolul 60
Suspendarea unui proiect de msur
1. n termen de o lun de la comunicarea menionat la articolul 59 alineatul (4) i n
cazul n care Comisia are ndoieli serioase c proiectul de msur ar garanta aplicarea
corect a prezentului regulament sau, dimpotriv, c ar avea ca rezultat aplicarea
incoerent a regulamentului, Comisia, innd cont de avizul emis de Comitetul
european pentru protecia datelor n temeiul articolului 58 alineatul (7) sau al

RO 81 RO
articolului 61 alineatul (2), poate adopta o decizie motivat care s oblige autoritatea
de supraveghere s suspende adoptarea proiectului de msur, n cazul n care se
consider c acest lucru este necesar pentru:
(a) a concilia poziiile divergente ale autoritii de supraveghere i Comitetului
european pentru protecia datelor, n cazul n care acest lucru pare nc posibil;
sau
(b) a adopta o msur n temeiul articolului 62 alineatul (1) litera (a).
2. Comisia precizeaz durata suspendrii, care nu depete 12 luni.
3. n timpul perioadei menionate la alineatul (2), autoritatea de supraveghere nu poate
adopta proiectul de msur.

Articolul 61
Procedura de urgen
1. n circumstane excepionale, atunci cnd o autoritate de supraveghere consider c
exist o necesitate urgent de a aciona pentru a asigura protecia intereselor
persoanelor vizate, n special cnd exist pericolul ca exercitarea dreptului persoanei
vizate ar putea fi considerabil mpiedicat prin modificarea situaiei existente, pentru
a evita inconveniente importante sau din alte motive, prin derogare de la procedura
menionat la articolul 58, aceasta poate adopta de ndat msuri provizorii cu o
perioad de valabilitate determinat. Autoritatea de supraveghere comunic fr
ntrziere aceste msuri, motivate n mod corespunztor, Comitetului european
pentru protecia datelor i Comisiei.
2. n cazul n care o autoritate de supraveghere a adoptat o msur n temeiul
alineatului (1) i consider c trebuie adoptate de urgen msuri definitive, aceasta
poate solicita un aviz de urgen din partea Comitetului european pentru protecia
datelor, indicnd motivele pentru solicitarea unui astfel de aviz, inclusiv pentru
caracterul urgent al msurilor definitive.
3. Orice autoritate de supraveghere poate solicita un aviz de urgen n cazul n care
autoritatea de supraveghere competent nu a luat o msur adecvat ntr-o situaie n
care exist o necesitate urgent de a aciona pentru a proteja interesele persoanelor
vizate, indicnd motivele pentru solicitarea unui astfel de aviz, inclusiv pentru
necesitatea urgent de a aciona.
4. Prin derogare de la articolul 58 alineatul (7), un aviz de urgen menionat la
alineatele (2) i (3) din prezentul articol este adoptat n termen de dou sptmni cu
majoritate simpl a membrilor Comitetului european pentru protecia datelor.

Articolul 62
Acte de punere n aplicare
1. Comisia poate adopta acte de punere n aplicare pentru:
(a) a decide privind aplicarea corect a prezentului regulament, n conformitate cu
obiectivele i cerinele acestuia n ceea ce privete aspectele comunicate de
ctre autoritile de supraveghere n temeiul articolului 58 sau 61, privind o
chestiune n legtur cu care a fost adoptat o decizie motivat n temeiul
articolului 60 alineatul (1), sau privind o chestiune n legtur cu care o
autoritate de supraveghere nu prezint un proiect de msur i respectiva

RO 82 RO
autoritate de supraveghere a indicat c nu intenioneaz s urmeze avizul
Comisiei adoptat n temeiul articolului 59;
(b) a decide, n termenul menionat la articolul 59 alineatul (1), referitor la
aplicabilitatea general a proiectului de clauze standard n materie de protecie
a datelor menionate la articolul 58 alineatul (2) litera (d);
(c) a defini forma i procedurile pentru aplicarea mecanismului pentru asigurarea
coerenei menionat n prezenta seciune;
(d) a defini modalitile de realizare a schimbului electronic de informaii ntre
autoritile de supraveghere i ntre autoritile de supraveghere i Comitetul
european pentru protecia datelor, n special formularul standard menionat la
articolul 58 alineatele (5), (6) i (8).
Actele de punere n aplicare respective sunt adoptate n conformitate cu procedura de
examinare menionat la articolul 87 alineatul (2).
2. Din motive imperative de urgen pe deplin justificate legate de interesul persoanelor
vizate n cazurile menionate la alineatul (1) litera (a), Comisia adopt acte de punere
n aplicare imediat aplicabile, n conformitate cu procedura menionat la articolul 87
alineatul (3). Aceste acte rmn n vigoare pentru o perioad de cel mult 12 luni.
3. Absena sau adoptarea unei msuri n temeiul prezentei seciuni nu aduce atingere
altor msuri adoptate de Comisie n temeiul tratatelor.

Articolul 63
Executare
1. n sensul prezentului regulament, o msur executorie a autoritii de supraveghere
ale unui stat membru este executat n toate statele membre implicate.
2. n cazul n care o autoritate de supraveghere nu prezint un proiect de msur pentru
a fi examinat n cadrul mecanismului pentru asigurarea coerenei, nclcnd
articolul 58 alineatele (1)-(5), msura autoritii de supraveghere nu este valabil din
punct de vedere juridic i nici executorie.
SECIUNEA 3
COMITETUL EUROPEAN PENTRU PROTECIA DATELOR

Articolul 64
Comitetul european pentru protecia datelor
1. Se instituie un Comitet european pentru protecia datelor.
2. Comitetul european pentru protecia datelor este alctuit din eful unei autoriti de
supraveghere din fiecare stat membru i din Autoritatea European pentru Protecia
Datelor.
3. n cazul n care ntr-un stat membru mai multe autoriti de supraveghere sunt
responsabile de monitorizarea punerii n aplicare a dispoziiilor prevzute de
prezentul regulament, acestea desemneaz eful uneia dintre aceste autoriti de
supraveghere ca reprezentant comun.
4. Comisia are dreptul de a participa la activitile i reuniunile Comitetului european
pentru protecia datelor i desemneaz un reprezentant. Preedintele Comitetului

RO 83 RO
european pentru protecia datelor informeaz fr ntrziere Comisia cu privire la
toate activitile Comitetului european pentru protecia datelor.

Articolul 65
Independen
1. Comitetul european pentru protecia datelor acioneaz independent n exercitarea
sarcinilor sale n conformitate cu articolele 66 i 67.
2. Fr a aduce atingere solicitrilor din partea Comisiei menionate la articolul 66
alineatul (1) litera (b) i la articolul 66 alineatul (2), n ndeplinirea sarcinilor sale,
Comitetul european pentru protecia datelor nu solicit i nu accept instruciuni de
la nicio parte extern.

Articolul 66
Sarcinile Comitetului european pentru protecia datelor
1. Comitetul european pentru protecia datelor asigur aplicarea uniform a prezentului
regulament. n acest sens, din proprie iniiativ sau la solicitarea Comisiei, Comitetul
european pentru protecia datelor are, n special, urmtoarele sarcini:
(a) s ofere Comisiei consiliere cu privire la orice aspect legat de protecia datelor
cu caracter personal n cadrul Uniunii, inclusiv cu privire la orice propunere de
modificare a prezentului regulament;
(b) s examineze, din proprie iniiativ sau la solicitarea unuia dintre membrii si
sau la cererea Comisiei, orice chestiune referitoare la punerea n aplicare a
prezentului regulament i s emit orientri, recomandri i bune practici
adresate autoritilor de supraveghere pentru a ncuraja aplicarea uniform a
prezentului regulament;
(c) s revizuiasc aplicarea practic a orientrilor, recomandrilor i bunelor
practici menionate la litera (b) i s raporteze periodic Comisiei cu privire la
acestea;
(d) s emit avize privind proiectele de decizii ale autoritilor de supraveghere n
conformitate cu mecanismul pentru asigurarea coerenei menionat la
articolul 57;
(e) s promoveze cooperarea i schimbul eficient bilateral i multilateral de
informaii i practici ntre autoritile de supraveghere;
(f) s promoveze programe comune de formare i s faciliteze schimburile de
personal ntre autoritile de supraveghere, precum i, dup caz, cu autoritile
de supraveghere ale rilor tere sau organizaiilor internaionale;
(g) s promoveze schimbul de cunotine i de documente privind legislaia i
practicile n materie de protecie a datelor cu autoritile de supraveghere a
proteciei datelor la nivel mondial.
2. n situaiile n care Comisia consult Comitetul european pentru protecia datelor,
aceasta poate stabili un termen n care Comitetul european pentru protecia datelor
trebuie s furnizeze avizul su, innd cont de caracterul urgent al chestiunii.
3. Comitetul european pentru protecia datelor i transmite avizele, orientrile,
recomandrile i bunele practici Comisiei i comitetului menionat la articolul 87 i
le public.

RO 84 RO
4. Comisia informeaz Comitetul european pentru protecia datelor cu privire la
msurile pe care le-a luat n urma avizelor, orientrilor, recomandrilor i bunelor
practici emise de Comitetul european pentru protecia datelor.

Articolul 67
Rapoarte
1. Comitetul european pentru protecia datelor prezint Comisiei periodic i n timp util
rezultatele activitilor sale. Acesta ntocmete un raport anual privind situaia
referitoare la protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter
personal n Uniune i n rile tere.
Raportul include analiza aplicrii practice a orientrilor, recomandrilor i bunelor
practici menionate la articolul 66 alineatul (1) litera (c).
2. Raportul este publicat i transmis Parlamentului European, Consiliului i Comisiei.

Articolul 68
Procedur
1. Comitetul european pentru protecia datelor adopt decizii prin majoritate simpl a
membrilor si.
2. Comitetul european pentru protecia datelor i adopt propriul regulament de
procedur i i organizeaz propriile mecanisme de funcionare. n special, prevede
dispoziii privind continuarea exercitrii funciilor atunci cnd mandatul unui
membru se ncheie sau un membru demisioneaz, privind crearea de subgrupuri
pentru aspecte i sectoare specifice i privind procedurile sale n ceea ce privete
mecanismul pentru asigurarea coerenei menionat la articolul 57.

Articolul 69
Preedintele
1. Comitetul european pentru protecia datelor alege un preedinte i doi vicepreedini
din rndul membrilor si. Unul dintre vicepreedini este Autoritatea European
pentru Protecia Datelor, cu excepia cazului n care aceasta a fost aleas preedinte.
2. Mandatul preedintelui i al vicepreedinilor este de cinci ani i poate fi prelungit.

Articolul 70
Sarcinile preedintelui
1. Preedintele are urmtoarele sarcini:
(a) s convoace reuniunile Comitetului european pentru protecia datelor i s
stabileasc ordinea de zi;
(b) s asigure ndeplinirea la timp a sarcinilor Comitetului european pentru
protecia datelor, n special n ceea ce privete mecanismul pentru asigurarea
coerenei menionat la articolul 57.
2. Comitetul european pentru protecia datelor definete n regulamentul su de
procedur repartizarea sarcinilor care revin preedintelui i vicepreedinilor.

RO 85 RO
Articolul 71
Secretariat
1. Comitetul european pentru protecia datelor are un secretariat. Autoritatea European
pentru Protecia Datelor asigur secretariatul.
2. Secretariatul ofer, sub conducerea preedintelui, sprijin analitic, administrativ i
logistic Comitetului european pentru protecia datelor.
3. Secretariatul este responsabil n special de urmtoarele:
(a) gestionarea cotidian a Comitetului european pentru protecia datelor;
(b) comunicarea dintre membrii Comitetului european pentru protecia datelor,
preedintele acestuia i Comisie i comunicarea cu alte instituii i cu
cetenii;
(c) utilizarea mijloacelor electronice pentru comunicarea intern i extern;
(d) traducerea informaiilor relevante;
(e) pregtirea i monitorizarea aciunilor ulterioare reuniunilor Comitetului
european pentru protecia datelor;
(f) pregtirea, redactarea i publicarea avizelor i a altor texte adoptate de
Comitetul european pentru protecia datelor.

Articolul 72
Confidenialitate
1. Discuiile din cadrul Comitetului european pentru protecia datelor sunt
confideniale.
2. Documentele prezentate membrilor Comitetului european pentru protecia datelor,
experilor i reprezentanilor prilor tere sunt confideniale, cu excepia cazului n
care accesul la aceste documente este acordat n conformitate cu Regulamentul (CE)
nr. 1049/2001 sau Comitetul european pentru protecia datelor le face publice ntr-un
alt mod.
3. Membrii Comitetului european pentru protecia datelor, experii i reprezentanii
prilor tere respect obligaiile de confidenialitate prevzute la prezentul articol.
Preedintele se asigur c experii i reprezentanii prilor tere au cunotin de
cerinele de confidenialitate care le sunt impuse.
CAPITOLUL VIII
CI DE ATAC, RSPUNDERE I SANCIUNI

Articolul 73
Dreptul de a depune o plngere la o autoritate de supraveghere
1. Fr a aduce atingere oricror alte ci de atac administrative sau judiciare, orice
persoan vizat are dreptul de a depune o plngere la o autoritate de supraveghere n
orice stat membru, n cazul n care consider c prelucrarea datelor sale cu caracter
personal nu respect prezentul regulament.
2. Orice organism, organizaie sau asociaie a crei activitate urmrete protecia
drepturilor i intereselor persoanelor vizate cu privire la protecia datelor cu caracter
personal ale acestora i care a fost constituit n mod adecvat, n conformitate cu

RO 86 RO
legislaia unui stat membru, are dreptul de a depune o plngere la o autoritate de
supraveghere din orice stat membru n numele uneia sau mai multor persoane vizate,
n cazul n care consider c drepturile de care persoanele vizate beneficiaz n
temeiul prezentului regulament au fost nclcate ca urmare a prelucrrii datelor cu
caracter personal.
3. Independent de o plngere depus de o persoan vizat, orice organism, organizaie
sau asociaie menionat la alineatul (2) are dreptul de a depune o plngere la o
autoritate de supraveghere din orice stat membru, n cazul n care consider c a avut
loc o nclcare a securitii datelor cu caracter personal.

Articolul 74
Dreptul la o cale de atac judiciar mpotriva unei autoriti de supraveghere
1. Orice persoan fizic sau juridic are dreptul de a exercita o cale de atac judiciar
mpotriva deciziilor unei autoriti de supraveghere referitoare la persoana
respectiv.
2. Orice persoan vizat are dreptul de a exercita o cale de atac judiciar care s oblige
autoritatea de supraveghere s dea curs unei plngeri, n absena unei decizii necesare
pentru protejarea drepturilor sale sau n cazul n care autoritatea de supraveghere nu
informeaz persoana vizat n termen de trei luni cu privire la progresele sau la
soluionarea plngerii n temeiul articolului 52 alineatul (1) litera (b).
3. Aciunile introduse mpotriva unei autoriti de supraveghere sunt aduse n faa
instanelor din statul membru n care este stabilit autoritatea de supraveghere.
4. O persoan vizat la care se refer o decizie a unei autoriti de supraveghere dintr-
un alt stat membru dect cel n care persoana vizat i are reedina obinuit poate
solicita autoritii de supraveghere din statul membru n care i are reedina
obinuit s introduc o aciune n numele su mpotriva autoritii de supraveghere
competente din celalalt stat membru.
5. Statele membre execut hotrrile definitive ale instanelor menionate n prezentul
articol.

Articolul 75
Dreptul la o cale de atac judiciar mpotriva unui operator sau unei persoane mputernicite
de operator
1. Fr a aduce atingere vreunei ci de atac administrative disponibile, inclusiv
dreptului de a depune o plngere la o autoritate de supraveghere menionat la
articolul 73, orice persoan fizic are dreptul la exercitarea unei ci de atac judiciare,
n cazul n care consider c drepturile de care beneficiaz n temeiul prezentului
regulament au fost nclcate ca urmare a prelucrrii datelor sale cu caracter personal
efectuate nclcnd prezentul regulament.
2. Aciunile introduse mpotriva unui operator sau unei persoane mputernicite de
operator sunt prezentate n faa instanelor din statul membru unde operatorul sau
persoana mputernicit de operator are un sediu. Alternativ, o astfel de aciune poate
fi intentat n faa instanelor din statul membru n care persoana vizat i are
reedina obinuit, cu excepia cazului n care operatorul este o autoritate public
care acioneaz n exercitarea competenelor sale publice.

RO 87 RO
3. n cazul n care o aciune care se refer la aceeai msur, decizie sau practic este n
curs n cadrul mecanismului pentru asigurarea coerenei menionat la articolul 58, o
instan poate suspenda aciunile care i-au fost naintate, cu excepia cazurilor n
care caracterul urgent al chestiunii privind protecia drepturilor persoanei vizate nu i
permite s atepte rezultatul aciunii n cadrul mecanismului pentru asigurarea
coerenei.
4. Statele membre execut hotrrile definitive ale instanelor menionate n prezentul
articol.

Articolul 76
Norme comune aplicabile aciunilor n instan
1. Orice organism, organizaie sau asociaie menionat la articolul 73 alineatul (2) are
dreptul de a exercita drepturile menionate la articolele 74 i 75 n numele uneia sau
mai multor persoane vizate.
2. Fiecare autoritate de supraveghere are dreptul a participa la proceduri judiciare i de
a sesiza o instan, n scopul de a asigura aplicarea dispoziiilor prezentului
regulament sau de a asigura coerena proteciei datelor cu caracter personal n cadrul
Uniunii.
3. n cazul n care o instan competent a unui stat membru are motive ntemeiate s
cread c n alt stat membru se desfoar aciuni paralele, aceasta contacteaz
instana competent din cellalt stat membru pentru a-i confirma existena unor
astfel de aciuni paralele.
4. n cazul n care astfel de aciuni paralele n alt stat membru se refer la aceeai
msur, decizie sau practic, instana poate suspenda aciunea.
5. Statele membre se asigur c aciunile n justiie disponibile n dreptul intern permit
adoptarea rapid de msuri, inclusiv msuri provizorii, menite s duc la ncetarea
oricrei nclcri presupuse i s previn orice alt atingere adus intereselor
respective.

Articolul 77
Dreptul la despgubiri i rspundere
1. Orice persoan care a suferit prejudicii ca urmare a unei operaiuni ilegale de
prelucrare sau a unei aciuni incompatibile cu dispoziiile prezentului regulament are
dreptul s obin despgubiri de la operator sau de la persoana mputernicit de
operator pentru prejudiciul suferit.
2. n cazul n care la prelucrare au participat mai mui operatori sau persoane
mputernicite de operator, fiecare operator sau persoan mputernicit de acesta sunt
responsabile n mod solidar pentru ntreaga valoare a prejudiciului.
3. Operatorul sau persoana mputernicit de operator poate fi total sau parial exonerat
de aceast rspundere, n cazul n care operatorul sau persoana mputernicit de
acesta dovedete c nu este responsabil pentru fapta care a provocat prejudiciul.

Articolul 78
Sanciuni
1. Statele membre definesc normele privind sanciunile aplicabile n cazul nclcrii
dispoziiilor prezentului regulament i iau toate msurile necesare pentru a se asigura

RO 88 RO
c acestea sunt puse n aplicare, inclusiv n cazul n care operatorul nu a respectat
obligaia de a desemna un reprezentant. Sanciunile prevzute trebuie s fie eficace,
proporionale i disuasive.
2. n cazul n care operatorul a desemnat un reprezentant, sanciunile sunt aplicate
reprezentantului, fr a aduce atingere sanciunilor care ar putea fi iniiate mpotriva
operatorului.
3. Fiecare stat membru informeaz Comisia cu privire la dispoziiile din propria
legislaie pe care le adopt n temeiul alineatului (1), pn cel trziu la data
menionat la articolul 91 alineatul (2) i, fr ntrziere, orice modificare ulterioar
care le afecteaz.

Articolul 79
Sanciuni administrative
1. Fiecare autoritate de supraveghere este abilitat s impun sanciuni administrative n
conformitate cu prezentul articol.
2. n fiecare caz individual, sanciunea administrativ trebuie s fie eficace,
proporional i disuasiv. Valoarea amenzii administrative este fixat n funcie de
natura, gravitatea i durata nclcrii, de faptul c nclcarea a fost comis intenionat
sau din neglijen, de gradul de responsabilitate a persoanei fizice sau juridice i de
nclcrile comise anterior de ctre aceast persoan, de msurile i procedurile
tehnice i organizatorice puse n aplicare n temeiul articolului 23 i de gradul de
cooperare cu autoritatea de supraveghere n vederea remedierii nclcrii.
3. n cazul primei nclcri neintenionate a dispoziiilor prezentului regulament, se
poate transmite o avertizare n scris, fr impunerea vreunei sanciuni, atunci cnd:
(a) o persoan fizic prelucreaz date cu caracter personal fr vreun interes
comercial; sau
(b) o ntreprindere sau o organizaie cu mai puin de 250 de angajai prelucreaz
date cu caracter personal doar ca o activitate auxiliar activitilor sale
principale.
4. Autoritatea de supraveghere impune o amend de pn la 250 000 EUR sau, n cazul
unei ntreprinderi, de pn la 0,5 % din cifra sa de afaceri anual mondial, oricrei
entiti care, intenionat sau din neglijen:
(a) nu prevede mecanisme care s permit persoanelor vizate s formuleze
solicitri sau nu rspunde prompt sau nu n forma adecvat persoanelor vizate,
n temeiul articolului 12 alineatele (1) i (2);
(b) percepe o tax pentru informaii sau pentru rspunsurile la solicitrile
persoanelor vizate, nclcnd articolul 12 alineatul (4).
5. Autoritatea de supraveghere impune o amend de pn la 500 000 EUR sau, n cazul
unei ntreprinderi, de pn la 1 % din cifra sa de afaceri anual mondial, oricrei
entiti care, intenionat sau din neglijen:
(a) nu furnizeaz persoanei vizate informaiile sau furnizeaz informaii
incomplete sau nu furnizeaz informaiile ntr-un mod suficient de transparent,
n conformitate cu articolul 11, articolul 12 alineatul (3) i articolul 14;

RO 89 RO
(b) nu ofer acces persoanei vizate sau nu rectific datele cu caracter personal n
temeiul articolelor 15 i 16 sau nu comunic unui destinatar informaiile
relevante, n temeiul articolului 13;
(c) nu respect dreptul de a fi uitat ori dreptul la tergere sau nu instituie
mecanisme pentru a asigura c termenele sunt respectate sau nu ia toate
msurile necesare pentru a informa prile tere c o persoan vizat solicit
tergerea tuturor linkurilor ctre datele sale cu caracter personal, sau a tuturor
copiilor sau a reproducerilor acestora, n temeiul articolului 17;
(d) nu furnizeaz o copie a datelor cu caracter personal n format electronic sau
mpiedic persoana vizat s transmit datele cu caracter personal ctre o alt
aplicaie, nclcnd articolul 18;
(e) nu definete sau nu definete suficient responsabilitile respective cu
operatorii asociai n temeiul articolului 24;
(f) nu pstreaz sau nu pstreaz suficient documentaia n temeiul articolului 28,
articolului 31 alineatul (4) i al articolului 44 alineatul (3);
(g) nu respect, n cazurile n care nu sunt implicate categorii speciale de date, n
temeiul articolelor 80, 82 i 83, normele privind libertatea de exprimare sau
normele privind prelucrarea n contextul ocuprii unui loc de munc sau
condiiile pentru prelucrarea datelor n scopuri de cercetare istoric, statistic i
tiinific.
6. Autoritatea de supraveghere impune o amend de pn la 1 000 000 EUR sau, n
cazul unei ntreprinderi, de pn la 2 % din cifra sa de afaceri anual mondial,
oricrei entiti care, intenionat sau din neglijen:
(a) prelucreaz datele cu caracter personal fr niciun temei juridic sau fr un
temei juridic suficient pentru prelucrare sau nu respect condiiile privind
consimmntul, n temeiul articolelor 6, 7 i 8;
(b) prelucreaz categorii speciale de date, nclcnd articolele 9 i 81;
(c) nu respect o opoziie sau nu se conformeaz cerinei n temeiul articolului 19;
(d) nu respect condiiile legate de msurile bazate pe crearea de profiluri n
temeiul articolului 20;
(e) nu adopt norme interne sau nu pune n aplicare msuri corespunztoare pentru
a asigura i a demonstra conformitatea n temeiul articolelor 22, 23 i 30;
(f) nu desemneaz un reprezentant n temeiul articolului 25;
(g) prelucreaz date cu caracter personal sau d instruciuni de prelucrare a datelor
cu caracter personal nclcnd obligaiile privind prelucrarea n numele unui
operator n temeiul articolelor 26 i 27;
(h) nu semnaleaz sau nu notific o nclcare a securitii datelor cu caracter
personal sau nu notific la timp ori complet autoritii de supraveghere sau
persoanei vizate nclcarea securitii datelor, n temeiul articolelor 31 i 32;
(i) nu efectueaz o evaluare a impactului privind protecia datelor sau prelucreaz
date cu caracter personal fr autorizare prealabil sau consultarea prealabil a
autoritii de supraveghere n temeiul articolelor 33 i 34;
(j) nu desemneaz un responsabil cu protecia datelor sau nu asigur condiiile
pentru ndeplinirea sarcinilor n temeiul articolelor 35, 36 i 37;

RO 90 RO
(k) utilizeaz abuziv sigiliile i mrcile din domeniul proteciei datelor, n sensul
articolului 39;
(l) efectueaz sau d instruciuni pentru transferarea de date ctre o ar ter sau
o organizaie internaional care nu este autorizat printr-o decizie privind
caracterul adecvat sau prin garanii adecvate sau printr-o derogare n temeiul
articolelor 40-44;
(m) nu respect un ordin sau o interdicie temporar sau definitiv privind
prelucrarea sau suspendarea fluxurilor de date emis de autoritatea de
supraveghere, n temeiul articolului 53 alineatul (1);
(n) nu respect obligaiile de a oferi asisten sau de a rspunde sau de a furniza
informaiile relevante autoritii de supraveghere sau de a da acesteia acces la
cldirile sale, n temeiul articolului 28 alineatul (3), al articolului 29, al
articolului 34 alineatul (6) i al articolului 53 alineatul (2);
(o) nu respect normele pentru garantarea secretului profesional, n temeiul
articolului 84.
7. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul actualizrii valorilor amenzilor administrative menionate la alineatele (4), (5)
i (6), innd seama de criteriile menionate la alineatul (2).
CAPITOLUL IX
DISPOZIII REFERITOARE LA SITUAII SPECIFICE DE
PRELUCRARE A DATELOR

Articolul 80
Prelucrarea datelor cu caracter personal i libertatea de exprimare
1. Statele membre prevd exonerri i derogri de la dispoziiile privind principiile
generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III,
privind operatorul i persoana mputernicit de ctre operator de la capitolul IV,
privind transferul datelor cu caracter personal ctre ri tere i organizaii
internaionale de la capitolul V, privind autoritile de supraveghere independente de
la capitolul VI i privind cooperarea i coerena de la capitolul VII, pentru
prelucrarea datelor cu caracter personal efectuat numai n scopuri jurnalistice,
artistice sau literare, pentru a stabili un echilibru ntre dreptul la protecia datelor cu
caracter personal i normele care reglementeaz libertatea de exprimare.
2. Fiecare stat membru informeaz Comisia cu privire la dispoziiile din propria
legislaie pe care le-a adoptat n temeiul alineatului (1) pn la data menionat la
articolul 91 alineatul (2) cel trziu, precum i, fr ntrziere, cu privire la orice act
legislativ de modificare sau orice modificare ulterioar care le afecteaz.

Articolul 81
Prelucrarea datelor cu caracter personal privind sntatea
1. n limitele prevzute de prezentul regulament i n conformitate cu articolul 9
alineatul (2), litera (h), prelucrarea datelor cu caracter personal privind sntatea
trebuie s se efectueze n baza legislaiei Uniunii sau a legislaiei statului membru
care prevd msuri corespunztoare i specifice pentru garantarea intereselor
legitime ale persoanei vizate i care sunt necesare:

RO 91 RO
(a) n scopuri legate de medicina preventiv sau a muncii, stabilirea diagnosticului,
administrarea unor ngrijiri medicale sau a unui tratament sau de gestionarea
serviciilor medicale, precum i n cazul n care datele respective sunt prelucrate
de un cadru medical supus obligaiei de a respecta secretul profesional sau de o
alt persoan supus, de asemenea, unei obligaii echivalente n ceea ce
privete confidenialitatea n temeiul legislaiei statului membru ori al
normelor stabilite de autoritile naionale competente; sau
(b) din motive de interes public n domeniul sntii publice, cum ar fi protecia
mpotriva ameninrilor transfrontaliere grave la adresa sntii sau asigurarea
de standarde ridicate de calitate i siguran, inter alia pentru medicamente sau
aparatur medical; sau
(c) din alte motive de interes public n domenii precum protecia social, n special
n scopul asigurrii calitii i eficienei din punctul de vedere al costurilor a
procedurilor utilizate pentru soluionarea cererilor de prestaii i servicii n
sistemul asigurrilor de sntate.
2. Prelucrarea datelor cu caracter personal privind sntatea, care este necesar n
scopuri de cercetare istoric, statistic sau tiinific, cum ar fi registrele de pacieni
instituite pentru mbuntirea stabilirii diagnosticului i diferenierea ntre tipuri
similare de boli, precum i pentru pregtirea de studii pentru terapii, face obiectul
condiiilor i msurilor de garantare prevzute la articolul 83.
3. Comisia este mputernicit s adopte acte delegate n conformitate cu articolul 86 n
scopul precizrii n continuare a altor motive de interes public n domeniul sntii
publice, astfel cum se menioneaz la alineatul (1) litera (b), precum i a unor criterii
i cerine referitoare la garanii n ceea ce privete prelucrarea datelor cu caracter
personal n scopurile menionate la alineatul (1).

Articolul 82
Prelucrarea n contextul ocuprii unui loc de munc
1. n limitele prezentului regulament, statele membre pot adopta pe cale legislativ
norme specifice care reglementeaz prelucrarea datelor cu caracter personal ale
angajailor n contextul ocuprii unui loc de munc, n special n scopul recrutrii,
ndeplinirii prevederilor contractului de munc, inclusiv descrcarea de obligaiile
stabilite prin lege sau prin acorduri colective, al gestionrii, planificrii i organizrii
muncii, al asigurrii sntii i securitii la locul de munc, precum i n scopul
exercitrii i beneficierii, n mod individual sau colectiv, de drepturile i beneficiile
legate de ocuparea unui loc de munc, precum i pentru ncetarea raporturilor de
munc.
2. Fiecare stat membru informeaz Comisia cu privire la dispoziiile din propria
legislaie pe care le-a adoptat n temeiul alineatului (1) pn la data menionat la
articolul 91 alineatul (2) cel trziu, precum i, fr ntrziere, cu privire la orice act
legislativ de modificare sau orice modificare ulterioar care le afecteaz.
3. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i cerinelor aplicabile n cazul garaniilor n ceea ce
privete prelucrarea datelor cu caracter personal n scopurile menionate la
alineatul (1).

RO 92 RO
Articolul 83
Prelucrarea n scopuri de cercetare istoric, statistic i tiinific
1. n limitele prezentului regulament, datele cu caracter personal pot fi prelucrate n
scopuri de cercetare istoric, statistic sau tiinific numai dac:
(a) aceste scopuri nu pot fi ndeplinite prin prelucrarea unor date care nu permit
sau nu mai permit identificarea persoanelor vizate;
(b) datele care permit atribuirea de informaii unei persoane vizate identificate sau
identificabile sunt pstrate separat de alte informaii att timp ct aceste scopuri
pot fi ndeplinite n acest mod.
2. Organismele care desfoar activiti de cercetare istoric, statistic sau tiinific
pot publica sau face publice n alt mod date cu caracter personal numai dac:
(a) persoana vizat i-a dat consimmntul, sub rezerva condiiilor prevzute la
articolul 7;
(b) publicarea datelor cu caracter personal este necesar pentru a prezenta
rezultatele cercetrii sau pentru a facilita cercetarea, n msura n care interesele
sau drepturile ori libertile fundamentale ale persoanei vizate nu prevaleaz
asupra acestor interese sau
(c) persoana vizat a fcut publice datele respective.
3. Comisia este mandatat s adopte acte delegate n conformitate cu articolul 86 n
scopul detalierii criteriilor i cerinelor aplicabile n cazul prelucrrii datelor cu
caracter personal n scopurile menionate la alineatele (1) i (2), precum i a tuturor
limitrilor necesare privind drepturile la informare i la acces ale persoanei vizate i
care detaliaz condiiile i garaniile pentru drepturile persoanelor vizate n aceste
circumstane.

Articolul 84
Obligaii privind pstrarea confidenialitii
1. n limitele prezentului regulament, statele membre pot adopta norme specifice pentru
a stabili competenele de investigare ale autoritilor de supraveghere, prevzute la
articolul 53 alineatul (2) n legtur cu operatori sau cu persoane mputernicite de
operatori care trebuie s respecte, n temeiul dreptului intern sau al normelor stabilite
de autoritile naionale competente, obligaia de a pstra secretul profesional sau
alte obligaii echivalente de confidenialitate, n cazul n care acest lucru este necesar
i proporional pentru a stabili un echilibru ntre dreptul la protecia datelor cu
caracter personal i obligaia pstrrii confidenialitii. Aceste norme se aplic doar
n ceea ce privete datele cu caracter personal pe care operatorul sau persoana
mputernicit de operator le-a primit sau le-a obinut n contextul unei activiti care
intr sub incidena acestei obligaii de pstrare a confidenialitii.
2. Fiecare stat membru notific Comisiei normele adoptate n temeiul alineatului (1),
pn la data precizat la articolul 91 alineatul (2) cel trziu, precum i, fr
ntrziere, orice modificare ulterioar care le afecteaz.

Articolul 85
Normele existente n domeniul proteciei datelor pentru biserici i asociaii religioase
1. n cazul n care, ntr-un stat membru, bisericile i asociaiile sau comunitile
religioase aplic, la data intrrii n vigoare a prezentului regulament, un set

RO 93 RO
cuprinztor de norme de protecie a persoanelor fizice cu privire la prelucrarea
datelor cu caracter personal, aceste norme pot continua s se aplice, cu condiia ca
acestea s fie ajustate, pentru a fi conforme cu dispoziiile prezentului regulament.
2. Bisericile i asociaiile religioase care aplic un set cuprinztor de norme n
conformitate cu alineatul (1) asigur instituirea unei autoriti de supraveghere
independente, n conformitate cu capitolul VI din prezentul regulament.
CAPITOLUL X
ACTE DELEGATE I ACTE DE PUNERE N APLICARE

Articolul 86
Exercitarea delegrii de competene
1. Competena de a adopta acte delegate este conferit Comisiei n condiiile prevzute
de prezentul articol.
2. Delegarea de competene menionat la articolul 6 alineatul (5), articolul 8
alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14
alineatul (7), articolul 15 alineatul (3) Articolul 17 alineatul (9), articolul 20
alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26
alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31
alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34
alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39
alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79
alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) i articolul 83
alineatul (3), i este conferit Comisiei pentru o perioad de timp nedeterminat, de la
data intrrii n vigoare a prezentului regulament.
3. Delegarea de competene menionat la articolul 6 alineatul (5), articolul 8
alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14
alineatul (7), articolul 15 alineatul (3), articolul 17 alineatul (9), articolul 20
alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26
alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31
alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34
alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39
alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79
alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) i articolul 83
alineatul (3) poate fi revocat n orice moment de ctre Parlamentul European sau de
ctre Consiliu. O decizie de revocare pune capt delegrii de competene precizat n
decizia respectiv. Aceasta intr n vigoare n ziua urmtoare publicrii deciziei n
Jurnalul Oficial al Uniunii Europene sau la o dat ulterioar menionat n decizie.
Aceasta nu aduce atingere validitii actelor delegate aflate deja n vigoare.
4. De ndat ce adopt un act delegat, Comisia l notific simultan Parlamentului
European i Consiliului.
5. Un act delegat adoptat n temeiul articolului 6 alineatul (5), articolului 8 alineatul (3),
articolului 9 alineatul (3), articolului 12 alineatul (5), articolului 14 alineatul (7),
articolului 15 alineatul (3), articolului 17 alineatul (9), articolului 20 alineatul (6),
articolului 22 alineatul (4), articolului 23 alineatul (3), articolului 26 alineatul (5),
articolului 28 alineatul (5), articolului 30 alineatul (3), articolului 31 alineatul (5),
articolului 32 alineatul (5), articolului 33 alineatul (6), articolului 34 alineatul (8),
articolului 35 alineatul (11), articolului 37 alineatul (2), articolului 39 alineatul (2),

RO 94 RO
articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 79 alineatul (6),
articolului 81 alineatul (3), articolului 82 alineatul (3) i articolului 83 alineatul (3),
intr n vigoare numai n cazul n care nu a fost exprimat nici o obiecie din partea
Parlamentului European sau a Consiliului, n termen de dou luni de la notificarea
acestui act Parlamentului European i Consiliului sau n cazul n care, nainte de
expirarea acestei perioade, Parlamentul European i Consiliul informeaz Comisia c
nu vor avea obiecii. Perioada se prelungete cu dou luni, la iniiativa Parlamentului
European sau a Consiliului.

Articolul 87
Procedura comitetului
1. Comisia este asistat de un comitet. Acesta este un comitet n sensul Regulamentului
(UE) nr. 182/2011.
2. Atunci cnd se face trimitere la prezentul alineat, se aplic articolul 5 din
Regulamentul (UE) nr. 182/2011.
3. Atunci cnd se face trimitere la prezentul alineat, se aplic articolul 8 din
Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din acelai regulament.
CAPITOLUL XI
DISPOZIII FINALE

Articolul 88
Abrogarea Directivei 95/46/CE
1. Directiva 95/46/CE se abrog.
2. Trimiterile la directiva abrogat se interpreteaz ca trimiteri la prezentul regulament.
Trimiterile la Grupul de lucru pentru protecia persoanelor n ceea ce privete
prelucrarea datelor cu caracter personal instituit prin articolul 29 din
Directiva 95/46/CE se interpreteaz ca trimiteri la Comitetul european pentru
protecia datelor instituit prin prezentul regulament.

Articolul 89
Relaia cu Directiva 2002/58/CE i modificarea acesteia
1. Prezentul regulament nu impune obligaii suplimentare pentru persoanele fizice sau
juridice n ceea ce privete prelucrarea datelor cu caracter personal n legtur cu
furnizarea de servicii de comunicaii electronice destinate publicului n reelele de
comunicaii publice din Uniune cu privire la aspectele pentru care acestea fac
obiectul unor obligaii specifice cu acelai obiectiv precum cel prevzut n
Directiva 2002/58/CE.
2 Articolul 1 alineatul (2) din Directiva 2002/58/CE se elimin.

Articolul 90
Evaluarea
Comisia transmite Parlamentului European i Consiliului, la intervale regulate, rapoarte
privind evaluarea i revizuirea prezentului regulament. Primul raport se transmite n termen
de cel mult patru ani de la data intrrii n vigoare a prezentului regulament. Ulterior,
urmtoarele rapoarte se transmit o dat la patru ani. Comisia transmite, dac este necesar,

RO 95 RO
propuneri corespunztoare n vederea modificrii prezentului regulament, precum i alinierea
altor instrumente juridice, n special innd seama de realizrile din domeniul tehnologiei
informaiilor i avnd n vedere progresele societii informaionale. Rapoartele se public.

Articolul 91
Intrarea n vigoare i aplicarea
1. Prezentul regulament intr n vigoare n a douzecea zi de la data publicrii n
Jurnalul Oficial al Uniunii Europene.
2. Se aplic ncepnd cu [doi ani de la data menionat la alineatul (1)].

Prezentul regulament este obligatoriu n toate elementele sale i se aplic direct n toate
statele membre.
Adoptat la Bruxelles, 25.1.2012.

Pentru Parlamentul European Pentru Consiliu


Preedintele Preedintele

RO 96 RO
FI FINANCIAR LEGISLATIV

1. CADRUL PROPUNERII/INIIATIVEI
1.1. Denumirea propunerii/iniiativei
1.2. Domeniul (domeniile) de politic n cauz n structura ABM/ABB
1.3. Tipul propunerii/iniiativei
1.4. Obiective
1.5. Motivul (motivele) propunerii/iniiativei
1.6. Durata aciunii i impactul financiar al acesteia
1.7. Modul (modurile) de gestionare preconizat(e)

2. MSURI DE GESTIONARE
2.1. Dispoziii n materie de monitorizare i raportare
2.2. Sistemul de gestiune i control
2.3. Msuri de prevenire a fraudelor i a neregulilor

3. IMPACTUL FINANCIAR ESTIMAT AL PROPUNERII/INIIATIVEI


3.1. Rubrica (rubricile) din cadrul financiar multianual i linia (liniile) bugetar (bugetare)
de cheltuieli afectat (afectate)
3.2. Impactul estimat asupra cheltuielilor
3.2.1. Sinteza impactului estimat asupra cheltuielilor
3.2.2. Impactul estimat asupra creditelor operaionale
3.2.3. Impactul estimat asupra creditelor cu caracter administrativ
3.2.4. Compatibilitatea cu cadrul financiar multianual actual
3.2.5. Participarea terilor la finanare
3.3. Impactul estimat asupra veniturilor

RO 97 RO
FI FINANCIAR LEGISLATIV

1. CADRUL PROPUNERII/INIIATIVEI
Prezenta fi financiar detaliaz cerinele n materie de cheltuieli administrative pentru
punerea n practic a reformelor privind protecia datelor, astfel cum se precizeaz n
evaluarea impactului corespunztoare. Reforma include dou propuneri legislative, un
regulament general privind protecia datelor i o directiv privind protecia persoanelor fizice
referitor la prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul
prevenirii, investigrii, identificrii sau urmririi penale a infraciunilor sau al executrii
pedepselor. Prezenta fi financiar acoper impactul bugetar al ambelor instrumente.
n funcie de repartizarea sarcinilor, resursele sunt necesare Comisiei i Autoritii Europene
pentru Protecia Datelor (AEPD).
n ceea ce privete Comisia, resursele necesare sunt deja incluse n propunerea de perspectiv
financiar 2014-2020. Protecia datelor reprezint unul dintre obiectivele programului
Drepturi i cetenie, care va sprijini, de asemenea, msuri pentru punerea n practic a
acestui cadru juridic. Creditele administrative care includ necesarul de personal sunt prevzute
n bugetul administrativ al DG JUST.
n ceea ce privete AEPD, resursele necesare vor trebui s fie luate n considerare la
elaborarea bugetelor anuale respective pentru AEPD. Resursele sunt prezentate n detaliu n
anexa la prezenta fi financiar. Pentru a asigura resursele necesare pentru noile sarcini ale
Comitetului european pentru protecia datelor, al crui secretariat va fi asigurat de ctre
AEPD, va fi necesar reprogramarea rubricii 5 din perspectiva financiar 2014-2020.
3.5. Denumirea propunerii/iniiativei
Propunere de Regulament al Parlamentului European i al Consiliului privind protecia
persoanelor fizice referitor la prelucrarea datelor cu caracter personal i libera circulaie a
acestor date (Regulament general privind protecia datelor).
Propunere de Directiv a Parlamentului European i a Consiliului privind protecia
persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile
competente n scopul prevenirii, investigrii, identificrii sau urmririi penale a infraciunilor
sau al executrii pedepselor i libera circulaie a acestor date.

RO 98 RO
3.6. Domeniul (domeniile) de politic n cauz n structura ABM/ABB1
Justiie protecia datelor cu caracter personal
Impactul bugetar privete Comisia i AEPD. Impactul asupra bugetului Comisiei este
prezentat n detaliu n tabelele din prezenta fi financiar. Cheltuielile operaionale
constituie o parte a programului Drepturi i cetenie i au fost luate deja n considerare n
fia financiar a programului respectiv, ntruct cheltuielile administrative fac parte din
pachetul financiar al DG Justiie. Elementele privind AEPD sunt prezentate n anex.
3.7. Tipul propunerii/iniiativei
Propunere/iniiativ care se refer la o aciune nou
Propunere/iniiativ care se refer la o aciune nou ca urmare a unui proiect-pilot/a unei
aciuni pregtitoare2
Propunere/iniiativ care se refer la prelungirea unei aciuni existente
Propunere/iniiativ care se refer la o aciune reorientat ctre o aciune nou
3.8. Obiective
3.8.1. Obiectiv(e) strategic(e) multianual(e) al(e) Comisiei vizat(e) de propunere/iniiativ
Reforma urmrete s completeze ndeplinirea obiectivelor iniiale, innd seama de noile
evoluii i provocri, i anume:
- creterea eficacitii dreptului fundamental la protecia datelor i oferirea posibilitii
pentru persoane de a deine controlul asupra datelor lor, n special n contextul evoluiilor
tehnologice i al unei globalizri tot mai accentuate;
- consolidarea dimensiunii de pia intern a proteciei datelor prin reducerea fragmentrii,
consolidarea coerenei i simplificarea cadrului de reglementare, ceea ce duce la eliminarea
unor costuri inutile i la reducerea sarcinii administrative.
n plus, intrarea n vigoare a Tratatului de la Lisabona - i n special introducerea unui nou
temei juridic (articolul 16 din TFUE) - ofer oportunitatea ndeplinirii unui nou obiectiv, i
anume
- stabilirea unui cadru cuprinztor privind protecia datelor care s acopere toate domeniile.

1
ABM (Activity Based Management): gestionarea pe activiti ABB (Activity Based Budgeting):
stabilirea bugetului pe activiti.
2
Astfel cum sunt menionate la articolul 49 alineatul (6) litera (a) sau (b) din Regulamentul financiar.

RO 99 RO
3.8.2. Obiectiv(e) specific(e) i activitatea (activitile) ABM/ABB n cauz
Obiectivul specific nr. 1
Asigurarea unei aplicri coerente a normelor n materie de protecie a datelor
Obiectivul specific nr. 2
Simplificarea sistemului actual de guvernan pentru a contribui la asigurarea unei aplicri
mai coerente
Activitatea (activitile) ABM/ABB n cauz
[]
3.8.3. Rezultatul (rezultatele) i impactul preconizate
A se preciza efectele pe care propunerea/iniiativa ar trebui s le aib asupra beneficiarilor vizai/grupurilor
vizate.

n ceea ce privete operatorii de date, att entitile publice, ct i cele private beneficiaz de
mai mult securitate juridic prin norme i proceduri UE de protecie a datelor armonizate i
clare, asigurndu-se condiii de concuren echitabile i aplicarea coerent a normelor n
materie de protecie a datelor, precum i o reducere semnificativ a sarcinii administrative.
Persoanele fizice vor beneficia un control mai bun al datelor lor cu caracter personal, vor
avea ncredere n mediul digital i vor rmne protejai, inclusiv n cazul n care datele lor cu
caracter personal sunt prelucrate n strintate. De asemenea, vor constata o cretere a
responsabilitii celor care prelucreaz date cu caracter personal.
Un sistem cuprinztor pentru protecia datelor va acoperi, de asemenea, domenii precum
poliia i justiia, reglementnd fostul pilon al treilea i aspecte care nu sunt acoperite de
acesta.
3.8.4. Indicatori de rezultat i de impact
A se preciza indicatorii care permit monitorizarea punerii n aplicare a propunerii/iniiativei.

(a se vedea evaluarea impactului, seciunea 8)


Indicatorii sunt evaluai periodic i includ urmtoarele elemente:
timpul i mijloacele financiare alocate de operatorii de date pentru a respecta
legislaia n alte state membre;
resursele alocate DPA-urilor;
organismele pentru protecia datelor instituite n cadrul organizaiilor publice i
private;
utilizarea analizelor de impact privind protecia datelor;
numrul de plngeri ale persoanelor vizate i compensaiile primite de acestea;
numrul de cazuri care au avut drept rezultat urmrirea penal a operatorilor de date;
amenzile aplicate operatorilor de date care nu au respectat protecia datelor.

RO 100 RO
3.9. Motivul (motivele) propunerii/iniiativei
3.9.1. Cerine de ndeplinit pe termen scurt sau lung
Discrepanele actuale n punerea n aplicare, interpretarea i executarea dispoziiilor
directivei de ctre statele membre reprezint un obstacol pentru funcionarea pieei
interne i pentru cooperarea ntre autoritile publice n ceea ce privete politicile UE.
Acest lucru contravine obiectivului fundamental al directivei, acela de a facilita libera
circulaie a datelor cu caracter personal pe piaa intern. Dezvoltarea rapid a noilor
tehnologii i globalizarea agraveaz i mai mult aceast problem.
Persoanele fizice beneficiaz de drepturi de protecie a datelor diferite, din cauza
fragmentrii i a unei puneri n practic i aplicri inconsecvente n diferitele state membre.
Mai mult, persoanele fizice nu cunosc, de multe ori, i nici nu dein controlul asupra a
ceea ce se ntmpl cu datele lor cu caracter personal i, prin urmare, nu ajung s i
exercite drepturile n mod efectiv.
3.9.2. Valoarea adugat a implicrii UE
Statele membre, n mod individual, nu pot reduce problemele n situaia actual. Acesta este
n special cazul acelor probleme care provin din fragmentarea legislaiei naionale de punere
n aplicare a cadrului de reglementare al UE privind protecia datelor. Prin urmare, exist un
temei solid pentru crearea unui cadru juridic privind protecia datelor la nivelul UE. Este
necesar, n special, s se instituie un cadru armonizat i coerent care s permit un transfer
facil al datelor cu caracter personal dintr-un stat membru n altul, n cadrul UE, asigurndu-
se n acelai timp o protecie efectiv pentru toate persoanele fizice, pe ntreg teritoriul UE.
3.9.3. nvminte desprinse din experienele anterioare similare
Propunerile prezente se bazeaz pe experiena acumulat n contextul Directivei 95/46/CE i
pe problemele ntmpinate din cauza fragmentrii transpunerii i punerii n aplicare a
directivei respective, care au blocat realizarea celor dou obiective ale sale, i anume, un
nalt nivel de protecie a datelor i o pia unic pentru protecia datelor.

RO 101 RO
3.9.4. Coerena i posibila sinergie cu alte instrumente relevante
Prezentul pachet de reform privind protecia datelor are drept obiectiv crearea unui cadru
solid, coerent i modern privind protecia datelor la nivelul UE neutru din punct de vedere
tehnologic i care s fac fa n viitor provocrilor deceniilor urmtoare. Acesta va aduce
beneficii persoanelor fizice prin consolidarea drepturilor acestora privind protecia datelor,
n special n mediul digital i va simplifica mediul juridic pentru ntreprinderi i sectorul
public, stimulnd astfel dezvoltarea economiei digitale pe piaa intern a UE i n afara
acesteia, n conformitate cu obiectivele strategiei Europa 2020.
Elementele principale ale pachetului de reform privind protecia datelor constau n:
un regulament care nlocuiete Directiva 95/46/CE;
o Directiv privind protecia persoanelor fizice referitor la prelucrarea datelor cu
caracter personal de ctre autoritile competente n scopul prevenirii, identificrii,
investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii pedepselor, i la
libera circulaie a acestor date.
Aceste propuneri legislative sunt nsoite de un raport privind punerea n aplicare de ctre
statele membre a ceea ce constituie n prezent principalul instrument al UE pentru protecia
datelor n domeniul cooperrii poliieneti i judiciare n materie penal, Decizia-cadru
2008/977/JAI.
3.10. Durata aciunii i impactul financiar al acesteia
Propunere/iniiativ pe durat determinat
1. Propunere/iniiativ n vigoare din [ZZ/LL]AAAA pn la [ZZ/LL]AAAA
2. Impact financiar din AAAA pn n AAAA
Propunere/iniiativ pe durat nedeterminat
1. punere n aplicare cu o perioad de cretere n intensitate din 2014 pn n 2016,
2. urmat de o perioad de funcionare n regim de croazier.
3.11. Modul (modurile) de gestionare preconizat(e) 1
Gestiune centralizat direct de ctre Comisie
Gestiune centralizat indirect, cu delegarea sarcinilor de execuie:
3. ageniilor executive
4. organismelor instituite de Comuniti2
5. organismelor publice naionale/organismelor cu misiune de serviciu public
3. persoanelor crora li se ncredineaz executarea unor aciuni specifice n
temeiul titlului V din Tratatul privind Uniunea European, identificate n actul de baz
relevant n sensul articolului 49 din Regulamentul financiar
Gestiune partajat cu state membre
1
Explicaiile privind modurile de gestionare, precum i trimiterile la Regulamentul financiar sunt
disponibile pe site-ul BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html
2
Astfel cum sunt menionate la articolul 185 din Regulamentul financiar.

RO 102 RO
Gestiune descentralizat mpreun cu ri tere
Gestiune n comun cu organizaii internaionale (a se preciza)
Dac se indic mai multe moduri de gestionare, se furnizeaz detalii suplimentare n seciunea Observaii.

Observaii
//

RO 103 RO
4. MSURI DE GESTIONARE
4.1. Dispoziii n materie de monitorizare i raportare
A se preciza frecvena i condiiile aferente acestor dispoziii.

Prima evaluare va avea loc la 4 ani dup intrarea n vigoare a instrumentelor juridice. n
instrumentele juridice este inclus o clauz explicit de revizuire prin care Comisia va evalua
punerea n aplicare. Comisia va raporta ulterior Parlamentului European i Consiliului cu
privire la evaluarea sa. O dat la patru ani va trebui s se efectueze cte o evaluare. Se va
aplica metodologia Comisiei privind evaluarea. Aceste evaluri vor fi efectuate cu ajutorul
unor studii specifice privind punerea n aplicare a instrumentelor juridice, al unor chestionare
adresate autoritilor naionale pentru protecia datelor, al unor discuii cu experi, al unor
ateliere, al unor sondaje Eurobarometru .a.m.d.
4.2. Sistemul de gestiune i control
4.2.1. Riscul (riscurile) identificat(e)
A fost realizat o evaluare a impactului pentru reformarea cadrului privind protecia datelor
n UE, pentru a nsoi propunerile de regulamente i de directiv.
Noul instrument juridic va introduce un mecanism care s asigure coerena, i faptul c
autoritile independente de supraveghere din statele membre aplic cadrul n mod
consecvent i coerent. Mecanismul va funciona prin intermediul Comitetului european
pentru protecia datelor alctuit din conductorii autoritilor naionale de supraveghere i ai
Autoritii Europene pentru Protecia Datelor (AEPD), care va nlocui actualul Grup de
lucru pentru protecia persoanelor n ceea ce privete prelucrarea datelor cu caracter
personal. AEPD va asigura activitile de secretariat pentru acest organism.
n cazul unor eventuale decizii divergente ale autoritilor statelor membre, Comitetul
european pentru protecia datelor va fi consultat pentru a emite un aviz cu privire la
chestiunea respectiv. n cazul n care aceast procedur nu d rezultate sau n cazul n care o
autoritate de supraveghere refuz s se conformeze avizului, Comisia ar putea, pentru a
asigura aplicarea corect i coerent a prezentului regulament, s emit un aviz sau, n cazul
n care este necesar, s adopte o decizie, atunci cnd are ndoieli serioase cu privire la faptul
c proiectul de msur ar garanta aplicarea corect a prezentului regulament sau cnd crede
c ar avea drept rezultat o aplicare incoerent a acestuia.
Mecanismul pentru asigurarea coerenei necesit resurse suplimentare pentru AEPD (12 ENI
i credite administrative i operaionale adecvate, de exemplu, pentru sisteme i operaiuni
informatice) pentru asigurarea activitilor de secretariat i pentru Comisie (5 ENI i credite
administrative i operaionale aferente) pentru tratarea cazurilor legate de coeren.
4.2.2. Metoda (metodele) de control preconizat (preconizate)
Metodele de control existente aplicate de ctre AEPD i de ctre Comisie vor acoperi
creditele suplimentare.
4.3. Msuri de prevenire a fraudelor i a neregulilor
A se preciza msurile de prevenire i de protecie existente sau preconizate.

RO 104 RO
Msurile de prevenire existente aplicate de ctre AEPD i de ctre Comisie vor acoperi
creditele suplimentare.

RO 105 RO
5. IMPACTUL FINANCIAR ESTIMAT AL PROPUNERII/INIIATIVEI
5.1. Rubrica (rubricile) din cadrul financiar multianual i linia (liniile) bugetar (bugetare) de cheltuieli afectat (afectate)
1. Linii bugetare de cheltuieli existente
n ordinea rubricilor din cadrul financiar multianual i a liniilor bugetare.
Tipul
Linia bugetar cheltuielilor
Contribuie
Rubrica din
cadrul n sensul articolului
financiar 18 alineatul (1)
Numr Dif./ Nedif. ri ri
multianual (1) ri tere litera (aa) din
[Descriere....] AELS2 candidate3 Regulamentul
financiar

1
= credite difereniate / CND = credite nedifereniate.
2
AELS: Asociaia European a Liberului Schimb.
3
rile candidate i, dup caz, rile potenial candidate din Balcanii de Vest.

RO 106 RO
5.2. Impactul estimat asupra cheltuielilor
5.2.1. Sinteza impactului estimat asupra cheltuielilor
milioane EUR (cu 3 zecimale)
Rubrica din cadrul financiar multianual: Numrul
Anul A se meniona numrul de ani
Anul Anul Anul
N1= necesar pentru a reflecta durata TOTAL
N+1 N+2 N+3 impactului (cf. punctul 1.6)
2014
Credite operaionale
Angajamente (1)
Numrul liniei bugetare
Pli (2)
Angajamente (1a)
Numrul liniei bugetare
Pli (2a)
Credite cu caracter administrativ finanate
din bugetul anumitor programe2
Numrul liniei bugetare (3)
=1+1a
TOTAL credite Angajamente +3
=2+2a
pentru DG Pli +3

Angajamente (4)
TOTAL credite operaionale
Pli (5)

TOTAL credite cu caracter administrativ finanate din (6)


bugetul anumitor programe
TOTAL credite Angajamente =4+ 6
ncadrate n RUBRICA 3
din cadrul financiar multianual Pli =5+ 6

1
Anul N este anul n care ncepe punerea n aplicare a propunerii/iniiativei.
2
Asisten tehnic i/sau administrativ i cheltuieli de sprijin pentru punerea n aplicare a programelor i/sau a aciunilor UE (fostele linii BA),
cercetare indirect i cercetare direct.

RO 107 RO
n cazul n care propunerea/iniiativa afecteaz mai multe rubrici:
Angajamente (4)
TOTAL credite operaionale
Pli (5)

TOTAL credite cu caracter administrativ finanate din (6)


bugetul anumitor programe
TOTAL credite Angajamente =4+ 6

n cadrul RUBRICILOR 1 - 4
din cadrul financiar multianual Pli =5+ 6
(suma de referin)

Rubrica din cadrul financiar multianual: 5 Cheltuieli administrative


milioane EUR (cu 3 zecimale)

Anul
N= Anul Anul Anul Anul Anul Anul
TOTAL
2015 2016 2017 2018 2019 2020
2014
DG: JUST
Resurse umane 2,922 2,922 2,922 2,922 2,922 2,922 2,922 20,454
Alte cheltuieli administrative 0,555 0,555 0,555 0,555 0,555 0,555 0,555 3,885
TOTAL DG JUST 3,477 3,477 3,477 3,477 3,477 3,477 3,477 24,339

TOTAL credite (Total angajamente


n cadrul RUBRICII 5 = Total pli)
din cadrul financiar multianual 3,477 3,477 3,477 3,477 3,477 3,477 3,477 24,339

RO 108 RO
milioane EUR (cu 3 zecimale)

A se meniona numrul de ani


Anul Anul Anul Anul
necesar pentru a reflecta durata TOTAL
N1 N+1 N+2 N+3 impactului (cf. punctul 1.6)

TOTAL credite Angajamente 3,477 3,477 3,477 3,477 3,477 3,477 3,477 24,339
n cadrul RUBRICILOR 1 - 5
Pli
din cadrul financiar multianual 3,477 3,477 3,477 3,477 3,477 3,477 3,477 24,339

1
Anul N este anul n care ncepe punerea n aplicare a propunerii/iniiativei.

RO 109 RO
5.2.2. Impactul estimat asupra creditelor operaionale
6. Propunerea/iniiativa nu implic utilizarea de credite operaionale
Un nivel ridicat de protecie a datelor cu caracter personal constituie, de asemenea, unul din obiectivele programului Drepturi i cetenie
7. Propunerea/iniiativa implic utilizarea de credite operaionale, conform explicaiilor de mai jos:
Credite de angajament n milioane EUR (cu 3 zecimale)

Anul Anul Anul Anul A se meniona numrul de ani necesar pentru a


TOTAL
N=2014 N+1 N+2 N+3 reflecta durata impactului (cf punctul 1 6)
REALIZRI
N N
N
u u
u N
m m
m u

m
N r r
r
u u u
Obiective i u r
m l l
realizri l u Nu
Nu r
Costul d l mr
mr ul d d Numr
mediu e d ul
Tipul ul d e e total de Total
al Costuri e Costuri de Costuri Costuri Costuri Costuri Costuri
realizrii1 de e realizr costuri
realiz r r real
reali re r r i
rii e e izr
zri al e e
a a i
iz a a
l li
r l l
i z
i i i
z
z z
r

r i
r r
i
i i
OBIECTIVUL SPECIFIC Nr 1
- Realizare Dosare2
Subtotal obiectivul specific nr 1
OBIECTIVUL SPECIFIC Nr 2

1
Realizrile se refer la produse i servicii care urmeaz a fi furnizate (de ex.: numrul de schimburi de studeni finanate, numrul de km de strzi construite
etc.).
2
Avize, decizii, ntruniri privind procedurile ale Comitetului.

RO 110 RO
- Realizare Cazuri3
Subtotal obiectivul specific nr 2
COSTURI TOTALE

3
Cazurile tratate n cadrul mecanismului pentru asigurarea coerenei.

RO 111 RO
5.2.3. Impactul estimat asupra creditelor cu caracter administrativ
5.2.3.1. Sintez
8. Propunerea/iniiativa nu implic utilizarea de credite administrative
9. Propunerea/iniiativa implic utilizarea de credite administrative, conform
explicaiilor de mai jos:
milioane EUR (cu 3 zecimale)

Anul
N1 Anul
Anul 2016 Anul 2017 Anul 2018 Anul 2019 Anul 2020 TOTAL
2015
2014

RUBRICA 5
din cadrul financiar
multianual

Resurse umane
2,922 2,922 2,922 2,922 2,922 2,922 2,922 20,454
Alte cheltuieli
administrative 0,555 0,555 0,555 0,555 0,555 0,555 0,555 3,885
Subtotal RUBRICA
5
din cadrul financiar
multianual 3,477 3,477 3,477 3,477 3,477 3,477 3,477 24,339

n afara RUBRICII 52
din cadrul financiar
multianual

Resurse umane

Alte cheltuieli
cu caracter
administrativ
Subtotal
n afara RUBRICII 5
din cadrul financiar
multianual

TOTAL 3,477 3,477 3,477 3,477 3,477 3,477


3,477 24,339

1
Anul N este anul n care ncepe punerea n aplicare a propunerii/iniiativei.
2
Asisten tehnic i/sau administrativ i cheltuieli de sprijin pentru punerea n aplicare a
programelor i/sau a aciunilor UE (fostele linii BA), cercetare indirect i cercetare direct.

RO 112 RO
5.2.3.2. Necesarul de resurse umane estimat
10. Propunerea/iniiativa nu implic utilizarea de resurse umane
11. Propunerea/iniiativa implic utilizarea de resurse umane, conform
explicaiilor de mai jos:
Estimarea trebuie exprimat n echivalent norm ntreag (sau cel mult cu o zecimal)
Anul
Anul Anul Anul Anul Anul Anul
2015 2016 2017 2018 2019 2020
2014
Posturi din schema de personal (posturi de funcionari i de ageni temporari)
XX 01 01 01 (la sediu i n birourile de
reprezentare ale Comisiei) 22 22 22 22 22 22 22
XX 01 01 02 (n delegaii)
Personal extern (n echivalent norm ntreag: ENI)1
XX 01 02 01 (AC, INT, END din pachetul
global) 2 2 2 2 2 2 2
XX 01 02 02 (AC, INT, JED, AL i END n
delegaii)
- la sediu3
XX 01 04 yy2
- n delegaii
XX 01 05 02 (AC, INT, END n cadrul
cercetrii indirecte)
10 01 05 02 (AC, INT, END - n cadrul
cercetrii directe)
Alte linii bugetare (a se preciza)
TOTAL 24 24 24 24 24 24 24
XX este domeniul de politic sau titlul din buget n cauz.
Odat cu reforma, Comisia va trebui s ndeplineasc sarcini noi n domeniul
proteciei persoanelor fizice privind prelucrarea datelor cu caracter personal, n plus
fa de cele realizate n mod curent. Sarcinile suplimentare se refer n principal la
punerea n aplicare a noului mecanism pentru asigurarea coerenei care va garanta
aplicarea coerent a legislaiei armonizate n materie de protecie a datelor, evaluarea
conformitii rilor tere pentru care Comisia va fi unicul responsabil, precum i
pregtirea msurilor de punere n aplicare i a actelor delegate. Comisia va continua
i celelalte sarcini pe care le efectueaz n prezent (de exemplu, elaborarea de
politici, transpunerea rezultatelor monitorizrii, creterea nivelului de sensibilizare,
soluionarea plngerilor etc.).
Necesarul de resurse umane va fi acoperit de efectivele de personal ale DG-ului n
cauz alocate deja gestionrii aciunii i/sau realocate intern n cadrul DG-ului,
completate, dup caz, prin resurse suplimentare ce ar putea fi alocate DG-ului care
gestioneaz aciunea n cadrul procedurii de alocare anual i n lumina
constrngerilor bugetare.
Descrierea sarcinilor care trebuie efectuate:

1
AC= agent contractual; INT = personal pus la dispoziie de ageni de munc temporar
(Intrimaire); JED = Jeune Expert en Dlgation (experi secundari n delegaii); AL= agent local;
END= expert naional detaat.
2
Sub plafonul pentru personal extern din credite operaionale (fostele linii BA).
3
n special pentru fonduri structurale, Fondul european agricol pentru dezvoltare rural
(FEADR) i Fondul european pentru pescuit (FEP).

RO 113 RO
Funcionari i ageni temporari Responsabili de caz, care utilizeaz mecanismul pentru asigurarea coerenei
pentru a garanta o aplicare unitar a normelor UE n materie de protecie a
datelor. Sarcinile includ investigarea i cercetarea unor cazuri naintate de
autoritile statelor membre n vederea adoptrii unei decizii, negocierea cu
statele membre i pregtirea deciziilor Comisiei. Avnd n vedere experiena
recent, s-ar putea s existe 5-10 cazuri pe an care s necesite utilizarea
mecanismului pentru asigurarea coerenei.
Soluionarea cererilor privind conformitatea necesit interaciunea direct cu
ara solicitant, eventual gestionarea unor studii ale experilor privind
condiiile n ara respectiv, evaluarea condiiilor, pregtirea deciziilor
relevante ale Comisiei i ale procesului, inclusiv ale comitetului care asist
Comisia i orice organisme specializate, dup caz. Avnd n vedere experiena
curent se pot atepta pn la 4 cereri privind conformitatea anual.
Procesul de adoptare de msuri de punere n aplicare include aciuni
pregtitoare precum documente tematice, cercetare i consultri publice,
precum i elaborarea instrumentelor i gestionarea procesului de negociere n
cadrul comitetelor relevante sau al altor grupuri, precum i contactele cu
prile interesate n general. n domeniile care necesit o ndrumare mai
specific s-ar putea s se intervin n pn la trei msuri de punere n aplicare
anual, n timp ce procesul ar putea dura pn la 24 de luni, n funcie de
intensitatea consultrilor.
Personal extern Asisten tehnic i activiti de secretariat
5.2.4. Compatibilitatea cu cadrul financiar multianual actual
12. Propunerea/iniiativa este compatibil cu cadrul financiar multianual
urmtor.
13. Propunerea/iniiativa necesit o reprogramare a rubricii corespunztoare din
cadrul financiar multianual
Tabelul de mai jos indic sumele reprezentnd resursele financiare necesare anual pentru
AEPD pentru noile sale atribuii de asigurare a activitilor de secretariat ale Comitetului
european pentru protecia datelor i pentru procedurile i instrumentele aferente pe durata
urmtoarei perspective financiare, n plus fa de cele incluse deja n planificare.
Anul 2014 2015 2016 2017 2018 2019 2020 Total
Personal 1,555 1,555 1,543 1,543 1,543 1,543 1,543 10,823
etc.
Funcionare 0,850 1,500 1,900 1,900 1,500 1,200 1,400 10,250
Total 2,405 3,055 3,443 3,443 3,043 2,743 2,943 21,073

14. Propunerea/iniiativa necesit recurgerea la instrumentul de flexibilitate sau


la revizuirea cadrului financiar multianual1
5.2.5. Participarea terilor la finanare
15. Propunerea/iniiativa nu prevede cofinanare din partea terilor
16. Propunerea/iniiativa prevede cofinanare, estimat n cele ce urmeaz:
Credite de angajament n milioane EUR (cu 3 zecimale)

A se meniona numrul de ani


Anul Anul Anul Anul Total
necesar pentru a reflecta durata
N N+1 N+2 N+3
impactului (cf punctul 1 6)

1
A se vedea punctele 19 i 24 din Acordul interinstituional.

RO 114 RO
A se preciza organismul
care asigur cofinanarea
TOTAL credite
cofinanate
5.3. Impactul estimat asupra veniturilor
17. Propunerea/iniiativa nu are impact financiar asupra veniturilor
18. Propunerea/iniiativa are urmtorul impact financiar:
asupra resurselor proprii
asupra diverselor venituri
milioane EUR (cu 3 zecimale)

Credite Impactul propunerii/iniiativei1


Linia bugetar pentru disponibile
venituri: pentru A se introduce numrul de coloane
Anul Anul Anul Anul
exerciiul necesar pentru a reflecta durata
N N+1 N+2 N+3
bugetar n curs impactului (cf punctul 1 6)

Pentru diversele venituri alocate, a se preciza linia bugetar (liniile bugetare) de cheltuieli afectat
(afectate)
A se preciza metoda de calcul a impactului asupra veniturilor

1
n ceea ce privete resursele proprii tradiionale (taxe vamale, cotizaiile pentru zahr), sumele
indicate trebuie s fie sume nete, i anume sume brute dup deducerea a 25 % pentru costuri de
colectare.

RO 115 RO
Anexa la fia financiar legislativ pentru propunerea de Regulament al Parlamentului
European i al Consiliului privind protecia persoanelor fizice referitor la prelucrarea datelor
cu caracter personal.
Metodologia aplicat i principalele ipoteze de baz
Costurile legate de noile sarcini care urmeaz s fie realizate de Autoritatea European pentru
Protecia Datelor (AEPD) care rezult din cele dou propuneri au fost estimate pentru
cheltuielile de personal pe baza costurilor suportate de ctre Comisie pentru sarcini similare.
AEPD va gzdui secretariatul Comitetului european pentru protecia datelor care nlocuiete
Grupul de lucru nfiinat n temeiul articolului 29. Avnd n vedere volumul de munc curent
pentru aceast sarcin, rezult c sunt necesare 3 ENI suplimentare plus cheltuielile
administrative i operaionale corespunztoare. Acest volum de munc va ncepe odat cu
intrarea n vigoare a regulamentului.
Mai mult, AEPD va avea un rol n cadrul mecanismului pentru asigurarea coerenei despre
care se preconizeaz c va necesita 5 ENI, precum i n dezvoltarea i operarea unui
instrument informatic comun pentru APD-urile naionale, care va necesita doi membri
suplimentari ai personalului.
Metoda de calcul a majorrii n bugetul necesar destinat personalului pentru primii
apte ani este prezentat n detaliu n tabelul de mai jos. Un al doilea tabel prezint bugetul
operaional necesar,. Acesta va fi reflectat n bugetul UE la seciunea IX AEPD.
Suma (n mii)
Natura cheltuielilor Calcul
2014 2015 2016 2017 2018 2019 2020 Total
Salariile i
indemnizaiile
- preedintelui 0,300 0,300 0,300 0,300 0,300 0,300 0,300
Comitetului european
pentru protecia datelor 2,100

- din care pentru


funcionari i ageni =7*0 127
temporari 0,889 0,889 0,889 0,889 0,889 0,889 0,889 6,223

- din care pentru END =1*0 073 0,073 0,073 0,073 0,073 0,073 0,073 0,073 0,511

- din care pentru ageni


=2*0 064
contractuali 0,128 0,128 0,128 0,128 0,128 0,128 0,128 0,896

Cheltuieli legate de
=10*0 005
recrutare 0,025 0,025 0,013 0,013 0,013 0,013 0,013 0,113

Cheltuieli de delegaie 0,090 0,090 0,090 0,090 0,090 0,090 0,090 0,630

Alte cheltuieli pentru


=10*0 005
formare 0,050 0,050 0,050 0,050 0,050 0,050 0,050 0,350

Totalul cheltuielilor
administrative 1,555 1,555 1,543 1,543 1,543 1,543 1,543 10,823

RO 116 RO
Descrierea sarcinilor care trebuie efectuate:

Funcionari i ageni temporari Funcionari responsabili cu activitile de secretariat ale Comitetului pentru
protecia datelor. Pe lng suportul logistic, inclusiv aspecte bugetare i
contractuale, acest lucru include pregtirea agendelor reuniunilor i
invitaiilor experilor, analizarea subiectelor de pe agenda grupului,
gestionarea documentelor legate de lucrrile grupului inclusiv protecia
datelor relevante, confidenialitatea i cerinele pentru accesul publicului.
Avnd n vedere toate subgrupurile i grupurile de experi, s-ar putea s fie
necesar organizarea a pn la 50 de reuniuni i de proceduri decizionale
anual.
Responsabili de caz care utilizeaz mecanismul pentru asigurarea coerenei
pentru a garanta o aplicare unitar a normelor n materie de protecie a datelor.
Sarcinile includ investigarea i cercetarea unor cazuri naintate de autoritile
statelor membre n vederea adoptrii unei decizii, negocierea cu statele
membre i pregtirea deciziilor Comisiei. Avnd n vedere experiena recent
s-ar putea s existe 5-10 cazuri pe an care s necesite utilizarea mecanismului
pentru asigurarea coerenei.
Instrumentul IT va simplifica interaciunea operaional dintre APD-urile
naionale i operatorii obligai s fac schimb de informaii cu autoritile
publice. Membri personalului responsabili vor asigura controlul calitii,
gestionarea proiectelor i monitorizarea bugetar a proceselor IT privind
cerinele, proiectarea, aplicarea i operarea sistemelor.
Personal extern Asisten tehnic i activiti de secretariat.

RO 117 RO
Cheltuieli pentru AEPD legate de sarcini specifice
Anul Anul Anul Anul A se meniona numrul de ani necesar pentru a
TOTAL
N=2014 N+1 N+2 N+3 reflecta durata impactului (cf punctul 1 6)
REALIZRI
N N
u u
m m

N r N r
N u u u N u
Obiective i
u m l m u l
realizri Nu
m r r m
m
r ul d ul r d
Costul rul Numr
Tipul ul d e d ul e
mediu al Costuri Costuri Costuri de Costuri Costuri Costuri Costuri total de Costuri totale
realizrii1 de e e de
realizrii rea realizri
re re r re re r
liz
ali al e al ali e
ri
z iz a iz z a
ri r l r ri l
i i i i
z z

r r
i i

OBIECTIVUL SPECIFIC Nr 12 Secretariatul Comitetului pentru protecia datelor


3
- Realizare Cazuri 0,010 30 0,300 40 0,400 50 0,500 50 0,500 50 0,500 50 0,500 50 0,500 320 3,200
Subtotal obiectivul specific nr 1 30 0,300 40 0,400 50 0,500 50 0,500 50 0,500 50 0,500 50 0,500 320 3,200

OBIECTIVUL SPECIFIC Nr 2 Mecanismul pentru asigurarea coerenei

- Realizare Dosare4 0,050 5 0,250 10 0,500 10 0,500 10 0,500 8 0,400 8 0,400 8 0,400 59 2,950

Subtotal obiectivul specific nr 2 5 0,250 10 0,500 10 0,500 10 0,500 8 0,400 8 0,400 8 0,400 59 2,950

1
Realizrile se refer la produsele i serviciile care vor fi furnizate (de ex.: numrul de schimburi de studeni finanate, numrul de km de strzi construii etc.).
2
Conform descrierii din seciunea 1.4.2. Obiectiv(e) specific(e)
3
Cazurile tratate n cadrul mecanismului pentru asigurarea coerenei.
4
Avize, decizii, ntruniri privind procedurile, ale Comitetului.

RO 118 RO
OBIECTIVUL SPECIFIC Nr 3 Instrumente IT comune pentru APD-uri (AEPD)
- Realizare Cazuri1 0,100 3 0,300 6 0,600 9 0,900 9 0,900 6 0,600 3 0,300 5 0,500 41 4,100
Subtotal pentru obiectivul specific nr 3 3 0,300 6 0,600 9 0,900 9 0,900 6 0,600 3 0,300 5 0,500 41 4,100
COSTURI TOTALE 38 0,850 56 1,500 69 1,900 69 1,900 64 1,500 61 1,200 63 1,400 420 10,250

1
Totaluri pentru fiecare estimare anual a eforturilor pentru dezvoltarea i operarea instrumentelor IT

RO 119 RO
RO 120 RO
RO 121 RO

S-ar putea să vă placă și