LEGE nr.

46 din 21 ianuarie 2003 drepturilor pacientului

EMITENT
PARLAMENTUL
Publicat în MONITORUL OFICIAL nr. 51 din 29 ianuarie 2003
Parlamentul României adoptă prezenta lege.
Capitolul I Dispoziții generale
Articolul 1
În sensul prezentei legi:
a) prin pacient se înțelege persoana sănătoasă sau bolnavă care utilizează serviciile de
sănătate;
b) prin discriminare se înțelege distincția care se face între persoane aflate în situații similare
pe baza rasei, sexului, vârstei, apartenenței etnice, originii naționale sau sociale, religiei,
opțiunilor politice sau antipatiei personale;
c) prin îngrijiri de sănătate se înțelege serviciile medicale, serviciile comunitare și serviciile
conexe actului medical;
d) prin intervenție medicală se înțelege orice examinare, tratament sau alt act medical în
scop de diagnostic preventiv, terapeutic ori de reabilitare;
e) prin îngrijiri terminale se înțelege îngrijirile acordate unui pacient cu mijloacele de
tratament disponibile, atunci când nu mai este posibilă îmbunătățirea prognozei fatale a stării
de boală, precum și îngrijirile acordate în apropierea decesului.
f) prin reprezentant legal se înțelege soțul/soția, copiii, părinții sau celelalte rude până la
gradul al IV-lea ale pacientului, tutorele, precum și orice persoană cu vârsta de minimum 18
ani împliniți pe care pacientul o desemnează în acest scop prin declarație încheiată în formă
autentică, care se înregistrează în Registrul național notarial de evidență a procurilor și
revocărilor acestora și care va cuprinde drepturile prevăzute de lege ce pot fi exercitate de
reprezentant.
(la 28-07-2019, Articolul 1 din Capitolul I a fost completat de ARTICOLUL UNIC din
LEGEA nr. 150 din 24 iulie 2019, publicată în MONITORUL OFICIAL nr. 619 din 25 iulie
2019 )
g) prin screening se înțelege examinarea inițială de prezumție sau stabilirea existenței reale
a bolilor sau a altor caracteristici biologice ori comportamentale într-o populație, care constă în
aplicarea unui ansamblu de procedee și tehnici de investigație în scopul descoperirii precoce și
evidențierii lor într-un stadiu incipient.
(la 23-11-2020, Articolul 1 din Capitolul I a fost completat de Punctul 1, ARTICOLUL
UNIC din LEGEA nr. 257 din 19 noiembrie 2020, publicată în MONITORUL OFICIAL nr.
1110 din 20 noiembrie 2020 )

1
 Articolul 2
Pacienții au dreptul la îngrijiri medicale de cea mai înaltă calitate de care societatea dispune,
în conformitate cu resursele umane, financiare și materiale.
Articolul 2^1
Pacienții asigurați prin Casa Națională de Asigurări de Sănătate au dreptul la investigații
gratuite de screening la justa solicitare proprie din momentul încadrării în grupul de risc sau pe
baza unei trimiteri de la medicul specialist.
(la 23-11-2020, Capitolul I a fost completat de Punctul 2, ARTICOLUL UNIC din LEGEA
nr. 257 din 19 noiembrie 2020, publicată în MONITORUL OFICIAL nr. 1110 din 20 noiembrie
2020 )
Articolul 3
Pacientul are dreptul de a fi respectat ca persoana umană, fără nici o discriminare.

Capitolul II Dreptul pacientului la informația medicală

Articolul 4
Pacientul are dreptul de a fi informat cu privire la serviciile medicale disponibile, precum
și la modul de a le utiliza.
Articolul 5
(1) Pacientul are dreptul de a fi informat asupra identității și statutului profesional al
furnizorilor de servicii de sănătate.
(2) Pacientul internat are dreptul de a fi informat asupra regulilor și obiceiurilor pe care
trebuie să le respecte pe durata spitalizării.
Articolul 6
Pacientul are dreptul de a fi informat asupra stării sale de sănătate, a intervențiilor medicale
propuse, a riscurilor potențiale ale fiecărei proceduri, a alternativelor existente la procedurile
propuse, inclusiv asupra neefectuării tratamentului și nerespectării recomandărilor medicale,
precum și cu privire la date despre diagnostic și prognostic.
Articolul 7
Pacientul are dreptul de a decide dacă mai dorește să fie informat în cazul în care
informațiile prezentate de către medic i-ar cauza suferință.
Articolul 8
Informațiile se aduc la cunoștință pacientului într-un limbaj respectuos, clar, cu
minimalizarea terminologiei de specialitate. În cazul în care pacientul nu cunoaște limba
română, informațiile i se aduc la cunoștință în limba maternă ori într-o limbă pe care o cunoaște
sau, după caz, se va căuta o altă formă de comunicare.

2
 Dacă pacientul nu este cetățean român, informațiile i se aduc la cunoștință într-o limbă de
circulație internațională sau, după caz, se va căuta o altă formă de comunicare.
(la 28-07-2017, Articolul 8 din Capitolul II a fost modificat de ARTICOLUL UNIC din
LEGEA nr. 191 din 24 iulie 2017, publicată în MONITORUL OFICIAL nr. 593 din 25 iulie
2017 )
Articolul 9
Pacientul are dreptul de a cere în mod expres să nu fie informat și de a alege o altă persoană
care să fie informată în locul său.
Articolul 10
Rudele și prietenii pacientului pot fi informați despre evoluția investigațiilor, diagnostic și
tratament, cu acordul pacientului.
Articolul 11
Pacientul are dreptul de a cere și de a obține o altă opinie medicală.
Articolul 12
Pacientul sau persoana desemnată în mod expres de acesta, conform prevederilor art. 9 și
10, are dreptul să primească, la externare, un rezumat scris al investigațiilor, diagnosticului,
tratamentului, îngrijirilor acordate pe perioada spitalizării și, la cerere, o copie a înregistrărilor
investigațiilor de înaltă performanță, o singură dată.
(la 07-04-2016, Art. 12 a fost modificat de art. unic din LEGEA nr. 50 din 30 martie 2016
publicată în MONITORUL OFICIAL nr. 247 din 4 aprilie 2016. )

Capitolul III Consimțământul pacientului privind intervenția medicală

Articolul 13
Pacientul are dreptul să refuze sau să oprească o intervenție medicală asumându-și, în scris,
răspunderea pentru decizia sa; consecințele refuzului sau ale opririi actelor medicale trebuie
explicate pacientului.
Articolul 14
Când pacientul nu își poate exprima voința, dar este necesară o intervenție medicală de
urgență, personalul medical are dreptul sa deducă acordul pacientului dintr-o exprimare
anterioară a voinței acestuia.
Articolul 15
În cazul în care pacientul necesită o intervenție medicală de urgență, consimțământul
reprezentantului legal nu mai este necesar.
Articolul 16
În cazul în care se cere consimțământul reprezentantului legal, pacientul trebuie să fie
implicat în procesul de luare a deciziei atât cât permite capacitatea lui de înțelegere.

3
 Articolul 17
(1) În cazul în care furnizorii de servicii medicale consideră că intervenția este în interesul
pacientului, iar reprezentantul legal refuză să își dea consimțământul, decizia este declinată unei
comisii de arbitraj de specialitate.
(2) Comisia de arbitraj este constituită din 3 medici pentru pacienții internați în spitale și
din 2 medici pentru pacienții din ambulator.
Articolul 18
Consimțământul pacientului este obligatoriu pentru recoltarea, păstrarea, folosirea tuturor
produselor biologice prelevate din corpul său, în vederea stabilirii diagnosticului sau a
tratamentului cu care acesta este de acord.
Articolul 19
Consimțământul pacientului este obligatoriu în cazul participării sale în învățământul
medical clinic și la cercetarea științifică. Nu pot fi folosite pentru cercetare științifică persoanele
care nu sunt capabile să își exprime voința, cu excepția obținerii consimțământului de la
reprezentantul legal și dacă cercetarea este făcută și în interesul pacientului.
Articolul 20
Pacientul nu poate fi fotografiat sau filmat într-o unitate medicală fără consimțământul său,
cu excepția cazurilor în care imaginile sunt necesare diagnosticului sau tratamentului și evitării
suspectării unei culpe medicale.

Capitolul IV Dreptul la confidențialitatea informațiilor și viața privată a pacientului

Articolul 21
Toate informațiile privind starea pacientului, rezultatele investigațiilor, diagnosticul,
prognosticul, tratamentul, datele personale sunt confidențiale chiar și după decesul acestuia.
Articolul 22
Informațiile cu caracter confidențial pot fi furnizate numai în cazul în care pacientul își dă
consimțământul explicit sau dacă legea o cere în mod expres.
Articolul 23
În cazul în care informațiile sunt necesare altor furnizori de servicii medicale acreditați,
implicați în tratamentul pacientului, acordarea consimțământului nu mai este obligatorie.
Articolul 24
(1) Pacientul are acces la datele medicale personale.
(2) Pacientul are dreptul de a desemna, printr-un acord consemnat în anexa la foaia de
observație clinică generală, o persoană care să aibă acces deplin, atât în timpul vieții pacientului,
cât și după decesul pacientului, la informațiile cu caracter confidențial din foaia de observație.

4
 (la 06-01-2019, Articolul 24 din Capitolul IV a fost completat de ARTICOLUL UNIC din
LEGEA nr. 347 din 27 decembrie 2018, publicată în MONITORUL OFICIAL nr. 3 din 03
ianuarie 2019 )
Articolul 25
(1) Orice amestec în viața privată, familială a pacientului este interzis, cu excepția cazurilor
în care aceasta imixtiune influențează pozitiv diagnosticul, tratamentul ori îngrijirile acordate
și numai cu consimțământul pacientului.
(2) Sunt considerate excepții cazurile în care pacientul reprezintă pericol pentru sine sau
pentru sănătatea publică.

Capitolul V Drepturile pacientului în domeniul reproducerii

Articolul 26
Dreptul femeii la viață prevalează în cazul în care sarcina reprezintă un factor de risc major
și imediat pentru viața mamei.
Articolul 27
Pacientul are dreptul la informații, educație și servicii necesare dezvoltării unei vieți sexuale
normale și sănătății reproducerii, fără nici o discriminare.
Articolul 28
(1) Dreptul femeii de a hotărî dacă să aibă sau nu copii este garantat, cu excepția cazului
prevăzut la art. 26.
(2) Pacientul, prin serviciile de sănătate, are dreptul sa aleagă cele mai sigure metode privind
sănătatea reproducerii.
(3) Orice pacient are dreptul la metode de planificare familială eficiente și lipsite de riscuri.

Capitolul VI Drepturile pacientului la tratament și îngrijiri medicale

Articolul 29
(1) În cazul în care furnizorii sunt obligați să recurgă la selectarea pacienților pentru anumite
tipuri de tratament care sunt disponibile în număr limitat, selectarea se face numai pe baza
criteriilor medicale.
(2) Criteriile medicale privind selectarea pacienților pentru anumite tipuri de tratament se
elaborează de către Ministerul Sănătății și Familiei în termen de 30 de zile de la data intrării în
vigoare a prezentei legi și se aduc la cunoștința publicului.
Articolul 30
(1) Intervențiile medicale asupra pacientului se pot efectua numai dacă există condițiile de
dotare necesare și personal acreditat.

5
 (2) Se exceptează de la prevederile alin. (1) cazurile de urgență apărute în situații extreme.
Articolul 31
Pacientul are dreptul la îngrijiri terminale pentru a putea muri în demnitate.
Articolul 32
Pacientul poate beneficia de sprijinul familiei, al prietenilor, de suport spiritual, material și
de sfaturi pe tot parcursul îngrijirilor medicale. La solicitarea pacientului, în măsura
posibilităților, mediul de îngrijire și tratament va fi creat cât mai aproape de cel familial.
Articolul 33
Pacientul internat are dreptul și la servicii medicale acordate de către un medic acreditat din
afară spitalului.
Articolul 34
(1) Personalul medical sau nemedical din unitățile sanitare nu are dreptul să supună
pacientul nici unei forme de presiune pentru a-l determina pe acesta să îl recompenseze altfel
decât prevăd reglementările de plată legale din cadrul unității respective.
(2) Pacientul poate oferi angajaților sau unității unde a fost îngrijit plăți suplimentare sau
donații, cu respectarea legii.
Articolul 35
(1) Pacientul are dreptul la îngrijiri medicale continue până la ameliorarea stării sale de
sănătate sau până la vindecare.
(2) Continuitatea îngrijirilor se asigură prin colaborarea și parteneriatul dintre diferitele
unități medicale publice și nepublice, spitalicești și ambulatorii, de specialitate sau de medicină
generală, oferite de medici, cadre medii sau de alt personal calificat. După externare pacienții
au dreptul la serviciile comunitare disponibile.
Articolul 36
Pacientul are dreptul să beneficieze de asistență medicală de urgență, de asistență
stomatologică de urgență și de servicii farmaceutice, în program continuu.
Articolul 36^1
Niciunui pacient nu i se va refuza dreptul la îngrijiri medicale din cauza neînregistrării
nașterii sale în actele de stare civilă.
(la 21-10-2019, Capitolul VI a fost completat de Articolul II din LEGEA nr. 186 din 17
octombrie 2019, publicată în MONITORUL OFICIAL nr. 848 din 18 octombrie 2019 )

Capitolul VII Sancțiuni

Articolul 37

6
 Nerespectarea de către personalul medicosanitar a confidențialității datelor despre pacient
și a confidențialității actului medical, precum și a celorlalte drepturi ale pacientului prevăzute
în prezenta lege atrage, după caz, răspunderea disciplinară, contravențională sau penală,
conform prevederilor legale.

Capitolul VIII Dispoziții tranzitorii și finale

Articolul 38
(1) Autoritățile sanitare dau publicității, anual, rapoarte asupra respectării drepturilor
pacientului, în care se compară situațiile din diferite regiuni ale țării, precum și situația existentă
cu una optimă.
(2) Furnizorii de servicii medicale sunt obligați să afișeze la loc vizibil standardele proprii
în conformitate cu normele de aplicare a legii.
(3) În termen de 90 de zile de la data intrării în vigoare a prezentei legi, Ministerul Sănătății
și Familiei elaborează normele de aplicare a acesteia, care se publică în Monitorul Oficial al
României, Partea I.
Articolul 39
Prezenta lege intră în vigoare la 30 de zile de la data publicării în Monitorul Oficial al
României, Partea I.
Articolul 40
La data intrării în vigoare a prezentei legi se abrogă art. 78, 108 și 124 din Legea nr. 3/1978
privind asigurarea sănătății populației, publicată în Buletinul Oficial, Partea I, nr. 54 din 10 iulie
1978, precum și orice alte dispoziții contrare.
Aceasta lege a fost adoptată de Senat în ședința din 19 decembrie 2002, cu respectarea
prevederilor art. 74 alin. (2) din Constituția României.
PREȘEDINTELE SENATULUI
NICOLAE VACAROIU
Aceasta lege a fost adoptată de Camera Deputaților în ședința din 19 decembrie 2002, cu
respectarea prevederilor art. 74 alin. (2) din Constituția României.
p. PREȘEDINTELE CAMEREI DEPUTAȚILOR,
VIOREL HREBENCIUC
București, 21 ianuarie 2003.
Nr. 46.

7
 REGULAMENT (UE) nr. 679 din 27 aprilie 2016privind protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor
date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
(Text cu relevanță pentru SEE)
EMITENT
ACT INTERNAȚIONAL
Publicat în JURNAL OFICIAL L nr. 119 din 4 mai 2016

Modificat prin Rectificare, JO L 127, 23.5.2018, p. 2 (2016/679)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naționale,
având în vedere avizul Comitetului Economic și Social European *1),
având în vedere avizul Comitetului Regiunilor *2),
hotărând în conformitate cu procedura legislativă ordinară *3),
întrucât:
(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii
Europene ("carta") și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii
Europene (TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care
o privesc.
(2) Principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește
prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de
reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în
special dreptul la protecția datelor cu caracter personal. Prezentul regulament urmărește să
contribuie la realizarea unui spațiu de libertate, securitate și justiție și a unei uniuni economice,
la progresul economic și social, la consolidarea și convergența economiilor în cadrul pieței
interne și la bunăstarea persoanelor fizice.
(3) Directiva 95/46/CE a Parlamentului European și a Consiliului *4) vizează armonizarea
nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce
privește activitățile de prelucrare și asigurarea liberei circulații a datelor cu caracter personal
între statele membre.
(4) Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul
la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în
considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi

8
fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă
toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt
consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a
comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și
de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate
comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea
culturală, religioasă și lingvistică.
(5) Integrarea economică și socială care rezultă din funcționarea pieței interne a condus la
o creștere substanțială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de
date cu caracter personal între actori publici și privați, inclusiv persoane fizice, asociații și
întreprinderi, s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autoritățile
naționale din statele membre sunt chemate să coopereze și să facă schimb de date cu caracter
personal pentru a putea să își îndeplinească atribuțiile sau să execute sarcini în numele unei
autorități dintr-un alt stat membru.
(6) Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția
datelor cu caracter personal. Amploarea colectării și a schimbului de date cu caracter personal
a crescut în mod semnificativ. Tehnologia permite atât societăților private, cât și autorităților
publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților
lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informații cu caracter
personal. Tehnologia a transformat deopotrivă economia și viața socială și ar trebui să faciliteze
în continuare libera circulație a datelor cu caracter personal în cadrul Uniunii și transferul către
țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor
cu caracter personal.
(7) Aceste evoluții impun un cadru solid și mai coerent în materie de protecție a datelor în
Uniune, însoțit de o aplicare riguroasă a normelor, luând în considerare importanța creării unui
climat de încredere care va permite economiei digitale să se dezvolte pe piața internă.
Persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar
securitatea juridică și practică pentru persoane fizice, operatori economici și autorități publice
ar trebui să fie consolidată.
(8) În cazul în care prezentul regulament prevede specificări sau restricționări ale normelor
sale de către dreptul intern, statele membre pot, în măsura în care acest lucru este necesar pentru
coerență și pentru a asigura înțelegerea dispozițiilor naționale de către persoanele cărora li se
aplică acestea, să încorporeze elemente din prezentul regulament în dreptul lor intern.
(9) Obiectivele și principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit
fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, insecuritatea
juridică sau percepția publică larg răspândită conform căreia există riscuri semnificative pentru
protecția persoanelor fizice, în special în legătură cu activitatea online. Diferențele dintre
nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la
protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter
personal din statele membre pot împiedica libera circulație a datelor cu caracter personal în
întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de
activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să
îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. Această diferență

9
între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește
transpunerea și aplicarea Directivei 95/46/CE.
(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și
pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul
Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește
prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea
consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților
fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
ar trebui să fie asigurată în întreaga Uniune. În ceea ce privește prelucrarea datelor cu caracter
personal în vederea respectării unei obligații legale, a îndeplinirii unei sarcini care servește unui
interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul,
statelor membre ar trebui să li se permită să mențină sau să introducă dispoziții de drept intern
care să clarifice într-o mai mare măsură aplicarea normelor prezentului regulament. În
coroborare cu legislația generală și orizontală privind protecția datelor, prin care este pusă în
aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice în domenii
care necesită dispoziții mai precise. Prezentul regulament oferă, de asemenea, statelor membre
o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce privește prelucrarea
categoriilor speciale de date cu caracter personal ("date sensibile"). În acest sens, prezentul
regulament nu exclude dreptul statelor membre care stabilește circumstanțele aferente unor
situații de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condițiilor în care
prelucrarea datelor cu caracter personal este legală.
(11) Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai
consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care
prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente
pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter
personal și sancțiuni echivalente pentru infracțiuni în statele membre.
(12) Articolul 16 alineatul (2) din TFUE mandatează Parlamentul European și Consiliul să
stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu
caracter personal, precum și normele privind libera circulație a acestor date.
(13) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga
Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul
pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și
transparență pentru operatorii economici, inclusiv microîntreprinderi și întreprinderi mici și
mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi,
obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele
împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu
caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea eficace
a autorităților de supraveghere ale diferitelor state membre. Pentru buna funcționare a pieței
interne este necesar ca libera circulație a datelor cu caracter personal în cadrul Uniunii să nu fie
restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal. Pentru a se lua în considerare situația specifică a
microîntreprinderilor și a întreprinderilor mici și mijlocii, prezentul regulament include o
derogare pentru organizațiile cu mai puțin de 250 de angajați în ceea ce privește păstrarea
evidențelor. În plus, instituțiile și organele Uniunii și statele membre și autoritățile lor de

10
supraveghere sunt încurajate să ia în considerare necesitățile specifice ale microîntreprinderilor
și ale întreprinderilor mici și mijlocii în aplicarea prezentului regulament. Noțiunea de
microîntreprinderi și de întreprinderi mici și mijlocii ar trebui să se bazeze pe articolul 2 din
anexa la Recomandarea 2003/361/CE a Comisiei *5).
(14) Protecția conferită de prezentul regulament ar trebui să vizeze persoanele fizice,
indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea
datelor cu caracter personal ale acestora. Prezentul regulament nu se aplică prelucrării datelor
cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate
juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.
(15) Pentru a preveni apariția unui risc major de eludare, protecția persoanelor fizice ar
trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnologiile utilizate.
Protecția persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin
mijloace automatizate, precum și prelucrării manuale, în cazul în care datele cu caracter
personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau
seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu
criterii specifice nu ar trebui să intre în domeniul de aplicare al prezentului regulament.
(16) Prezentul regulament nu se aplică chestiunilor de protecție a drepturilor și libertăților
fundamentale sau la libera circulație a datelor cu caracter personal referitoare la activități care
nu intră în domeniul de aplicare al dreptului Uniunii, de exemplu activitățile privind securitatea
națională. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către
statele membre atunci când acestea desfășoară activități legate de politica externă și de
securitatea comună a Uniunii.
(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului *6) se
aplică prelucrării de date cu caracter personal de către instituțiile, organele, oficiile și agențiile
Uniunii. Regulamentul (CE) nr. 45/2001 și alte acte juridice ale Uniunii aplicabile unei
asemenea prelucrări a datelor cu caracter personal ar trebui adaptate la principiile și normele
stabilite în prezentul regulament și aplicate în conformitate cu prezentul regulament. În vederea
asigurării unui cadru solid și coerent în materie de protecție a datelor în Uniune, ar trebui ca
după adoptarea prezentului regulament să se aducă Regulamentului (CE) nr. 45/2001 adaptările
necesare, astfel încât acestea să poată fi aplicate odată cu prezentul regulament.
(18) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o
persoană fizică în cadrul unei activități exclusiv personale sau domestice și care, prin urmare,
nu are legătură cu o activitate profesională sau comercială. Activitățile personale sau domestice
ar putea include corespondența și repertoriul de adrese sau activitățile din cadrul rețelelor
sociale și activitățile online desfășurate în contextul respectivelor activități. Cu toate acestea,
prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care
furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități
personale sau domestice.
(19) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale
a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la
adresa siguranței publice și al prevenirii acestora, precum și libera circulație a acestor date, face
obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui să

11
se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele cu caracter
personal prelucrate de către autoritățile publice în temeiul prezentului regulament, atunci când
sunt utilizate în aceste scopuri, ar trebui să fie reglementate printr-un act juridic mai specific al
Uniunii, și anume Directiva (UE) 2016/680 a Parlamentului European și a Consiliului *7).
Statele membre pot încredința autorităților competente în sensul Directivei (UE) 2016/680
sarcini care nu sunt neapărat îndeplinite în scopul prevenirii, investigării, depistării sau urmăririi
penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor
la adresa siguranței publice și al prevenirii acestora, astfel încât prelucrarea datelor cu caracter
personal pentru alte scopuri, în măsura în care se încadrează în domeniul de aplicare al dreptului
Uniunii, să intre în domeniul de aplicare al prezentului regulament.
În ceea ce privește prelucrarea datelor cu caracter personal de către aceste autorități
competente în scopuri care intră în domeniul de aplicare al prezentului regulament, statele
membre ar trebui să poată menține sau introduce dispoziții mai detaliate pentru a adapta
aplicarea normelor din prezentul regulament. Aceste dispoziții pot stabili mai precis cerințe
specifice pentru prelucrarea datelor cu caracter personal de către respectivele autorități
competente în aceste alte scopuri, ținând seama de structura constituțională, organizatorică și
administrativă a statului membru în cauză. Atunci când prelucrarea de date cu caracter personal
de către organisme private face obiectul prezentului regulament, prezentul regulament ar trebui
să prevadă posibilitatea ca statele membre, în anumite condiții, să impună prin lege restricții
asupra anumitor obligații și drepturi, în cazul în care asemenea restricții constituie o măsură
necesară și proporțională într-o societate democratică în scopul garantării unor interese
specifice importante, printre care se numără siguranța publică și prevenirea, investigarea,
depistarea și urmărirea penală a infracțiunilor sau executarea pedepselor, inclusiv protejarea
împotriva amenințărilor la adresa siguranței publice și prevenirea acestora. Acest lucru este
relevant, de exemplu, în cadrul combaterii spălării de bani sau al activităților laboratoarelor
criminalistice.
(20) Deși prezentul regulament se aplică, inter alia, activităților instanțelor și ale altor
autorități judiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operațiunile și
procedurile de prelucrare în ceea ce privește prelucrarea datelor cu caracter personal de către
instanțe și alte autorități judiciare. Prelucrarea datelor cu caracter personal nu ar trebui să fie de
competența autorităților de supraveghere în cazul în care instanțele își exercită atribuțiile
judiciare, în scopul garantării independenței sistemului judiciar în îndeplinirea sarcinilor sale
judiciare, inclusiv în luarea deciziilor. Supravegherea unor astfel de operațiuni de prelucrare a
datelor ar trebui să poată fi încredințată unor organisme specifice din cadrul sistemului judiciar
al statului membru, care ar trebui să asigure în special respectarea normelor prevăzute de
prezentul regulament, să sensibilizeze membrii sistemului judiciar cu privire la obligațiile care
le revin în temeiul prezentului regulament și să trateze plângerile în legătură cu astfel de
operațiuni de prelucrare a datelor.
(21) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE a
Parlamentului European și a Consiliului *8),în special normelor privind răspunderea
furnizorilor intermediari de servicii prevăzute la articolele 12-15 din directiva menționată.
Respectiva directivă își propune să contribuie la buna funcționare a pieței interne, prin
asigurarea liberei circulații a serviciilor societății informaționale între statele membre.

12
 (22) Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui
operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în
conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau
nu în cadrul Uniunii. Sediul implică exercitarea efectivă și reală a unei activități în cadrul unor
înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau
al unei filiale cu personalitate juridică, nu este factorul determinant în această privință.
(23) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în
temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate
care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta
care nu își are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care
activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane
vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel
de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor
persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că
operatorul sau persoana împuternicită de operator intenționează să furnizeze servicii
persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că
există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui
intermediar în Uniune, că este disponibilă o adresă de e-mail și alte date de contact sau că este
utilizată o limbă folosită în general în țara terță în care operatorul își are sediul este insuficient
pentru a confirma o astfel de intenție, factori precum utilizarea unei limbi sau a unei monede
utilizate în general în unul sau mai multe state membre cu posibilitatea de a comanda bunuri și
servicii în respectiva limbă sau menționarea unor clienți sau utilizatori care se află pe teritoriul
Uniunii pot conduce la concluzia că operatorul intenționează să ofere bunuri sau servicii unor
persoane vizate în Uniune.
(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul
Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în
Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este
legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care
acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate
de prelucrare poate fi considerată ca "monitorizare a comportamentului" persoanelor vizate, ar
trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila
utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în
crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la
aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale,
comportamentele și atitudinile acesteia.
(25) În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internațional
public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este
stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui
stat membru.
(26) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o
persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse
pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații
suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă.
Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare

13
toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le
utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a
persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie
utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii
obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama
atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică.
Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică
informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor
cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este
identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de
informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de
cercetare.
(27) Prezentul regulament nu se aplică datelor cu caracter personal referitoare la persoane
decedate. Statele membre pot să prevadă norme privind prelucrarea datelor cu caracter personal
referitoare la persoane decedate.
(28) Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru
persoanele vizate și poate ajuta operatorii și persoanele împuternicite de aceștia să își
îndeplinească obligațiile de protecție a datelor. Introducerea explicită a conceptului de
"pseudonimizare" în prezentul regulament nu este destinată să împiedice alte eventuale măsuri
de protecție a datelor.
(29) Pentru a crea stimulente pentru aplicarea pseudonimizării atunci când sunt prelucrate
date cu caracter personal, ar trebui să fie posibile măsuri de pseudonimizare, permițând în
același timp analiza generală, în cadrul aceluiași operator atunci când operatorul a luat măsurile
tehnice și organizatorice necesare pentru a se asigura că prezentul regulament este pus în
aplicare în ceea ce privește respectiva prelucrare a datelor și că informațiile suplimentare pentru
atribuirea datelor cu caracter personal unei anumite persoane vizate sunt păstrate separat.
Operatorul care prelucrează datele cu caracter personal ar trebui să indice persoanele autorizate
din cadrul aceluiași operator.
(30) Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele,
aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți
identificatori precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care,
în special atunci când sunt combinate cu identificatori unici și alte informații primite de servere,
pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.
(31) Autoritățile publice cărora le sunt divulgate date cu caracter personal în conformitate
cu o obligație legală în vederea exercitării funcției lor oficiale, cum ar fi autoritățile fiscale și
vamale, unitățile de investigare financiară, autoritățile administrative independente sau
autoritățile piețelor financiare responsabile de reglementarea și supravegherea piețelor titlurilor
de valoare, nu ar trebui să fie considerate destinatari în cazul în care primesc date cu caracter
personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, în
conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de
autoritățile publice ar trebui să fie întotdeauna prezentate în scris, motivate și ocazionale și nu
ar trebui să se refere la un sistem de evidență în totalitate sau să conducă la interconectarea
sistemelor de evidență. Prelucrarea datelor cu caracter personal de către autoritățile publice

14
respective ar trebui să respecte normele aplicabile în materie de protecție a datelor în
conformitate cu scopurile prelucrării.
(32) Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o
manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei
vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în
scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci
când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății
informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context
acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.
Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar
trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de
prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în
mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în
care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale
electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil
utilizarea serviciului pentru care se acordă consimțământul.
(33) Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se
identifice pe deplin scopul prelucrării datelor în scopuri de cercetare științifică. Din acest motiv,
persoanelor vizate ar trebui să li se permită să își exprime consimțământul pentru anumite
domenii ale cercetării științifice atunci când sunt respectate standardele etice recunoscute pentru
cercetarea științifică. Persoanele vizate ar trebui să aibă posibilitatea de a-și exprima
consimțământul doar pentru anumite domenii de cercetare sau părți ale proiectelor de cercetare
în măsura permisă de scopul preconizat.
(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la
caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care rezultă în urma
unei analize a unei mostre de material biologic al persoanei fizice în cauză, în special a unei
analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului
ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații
echivalente.
(35) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având
legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de
sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ
informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență
medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt
menționate în Directiva 2011/24/UE a Parlamentului European și a Consiliului *9); un număr,
un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a
acesteia în scopuri medicale; informații rezultate din testarea sau examinarea unei părți a
corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material
biologic; precum și orice informații privind, de exemplu, o boală, un handicap, un risc de
îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a
persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical,
un spital, un dispozitiv medical sau un test de diagnostic in vitro.
(36) Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află
administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind

15
scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al
operatorului în Uniune. În acest caz, acesta din urmă ar trebui considerat drept sediul principal.
Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii
obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care
să determine principalele decizii cu privire la scopurile și mijloacele de prelucrare în cadrul
unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea prelucrării datelor cu
caracter personal în locul respectiv. Prezența și utilizarea mijloacelor tehnice și a tehnologiilor
de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie un sediu
principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al
persoanei împuternicite de operator ar trebui să fie locul în care se află administrația centrală a
acestuia în Uniune sau, în cazul în care nu are o administrație centrală în Uniune, locul în care
se desfășoară principalele activități de prelucrare în Uniune. În cazurile care implică atât
operatorul, cât și persoana împuternicită de operator, autoritatea de supraveghere principală
competentă ar trebui să rămână autoritatea de supraveghere a statului membru în care operatorul
își are sediul principal, dar autoritatea de supraveghere a persoanei împuternicite de operator ar
trebui considerată ca fiind o autoritate de supraveghere vizată și acea autoritate de supraveghere
ar trebui să participe la procedura de cooperare prevăzută de prezentul regulament. În orice caz,
autoritățile de supraveghere ale statului membru sau ale statelor membre în care persoana
împuternicită de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autorități
de supraveghere vizate în cazul în care proiectul de decizie nu se referă decât la operator. În
cazul în care prelucrarea este efectuată de un grup de întreprinderi, sediul principal al
întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de
întreprinderi, cu excepția cazului în care scopurile și mijloacele aferente prelucrării sunt
stabilite de o altă întreprindere.
(37) Un grup de întreprinderi ar trebui să cuprindă o întreprindere care exercită controlul și
întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar
trebui să fie întreprinderea care poate exercita o influență dominantă asupra celorlalte
întreprinderi, de exemplu în temeiul proprietății, al participării financiare sau al regulilor care
o reglementează sau al competenței de a pune în aplicare norme în materie de protecție a datelor
cu caracter personal. O întreprindere care controlează prelucrarea datelor cu caracter personal
în întreprinderile sale afiliate ar trebui considerată, împreună cu acestea din urmă, drept "grup
de întreprinderi".
(38) Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot
fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce
privește prelucrarea datelor cu caracter personal. Această protecție specifică ar trebui să se
aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau
pentru crearea de profiluri de personalitate sau de utilizator și la colectarea datelor cu caracter
personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimțământul
titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire
sau consiliere oferite direct copiilor.
(39) Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar
trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau
prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter
personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și
comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile

16
și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special
la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum
și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă
în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica
datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui
informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a
datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură
cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate
ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor
respective. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce
este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea
faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la
minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate
fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu
caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească
de către operator termene pentru ștergere sau revizuirea periodică. Ar trebui să fie luate toate
măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt
rectificate sau șterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure
în mod adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii accesului
neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a
echipamentului utilizat pentru prelucrare.
(40) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui
efectuată pe baza consimțământului persoanei vizate sau în temeiul unui alt motiv legitim,
prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul
intern, după cum se prevede în prezentul regulament, inclusiv necesitatea respectării obligațiilor
legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana
vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la
solicitarea persoanei vizate.
(41) Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură
legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a
aduce atingere cerințelor care decurg din ordinea constituțională a statului membru în cauză.
Cu toate acestea, un astfel de temei juridic sau o astfel de măsură legislativă ar trebui să fie
clară și precisă, iar aplicarea acesteia ar trebui să fie previzibilă pentru persoanele vizate de
aceasta, în conformitate cu jurisprudența Curții de Justiție a Uniunii Europene ("Curtea de
Justiție") și a Curții Europene a Drepturilor Omului.
(42) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul
ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul
pentru operațiunea de prelucrare. În special, în contextul unei declarații scrise cu privire la un
alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat
consimțământul și în ce măsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a
Consiliului *10), ar trebui furnizată o declarație de consimțământ formulată în prealabil de către
operator, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, iar
această declarație nu ar trebui să conțină clauze abuzive. Pentru ca acordarea consimțământului
să fie în cunoștință de cauză, persoana vizată ar trebui să fie la curent cel puțin cu identitatea
operatorului și cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal.

17
Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu
dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă
consimțământul fără a fi prejudiciată.
(43) Pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să
constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul
particular în care există un dezechilibru evident între persoana vizată și operator, în special în
cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea
consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare.
Consimțământul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu permite
să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu
caracter personal, deși acest lucru este adecvat în cazul particular, sau dacă executarea unui
contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în ciuda faptului
că consimțământul în cauză nu este necesar pentru executarea contractului.
(44) Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul
unui contract sau în vederea încheierii unui contract.
(45) În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a
operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care
servește unui interes public sau care face parte din exercitarea autorității publice, prelucrarea ar
trebui să aibă un temei în dreptul Uniunii sau în dreptul intern. Prezentul regulament nu impune
existența unei legi specifice pentru fiecare prelucrare în parte. Poate fi suficientă o singură lege
drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație
legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei
sarcini care servește unui interes public sau care face parte din exercitarea autorității publice.
De asemenea, ar trebui ca scopul prelucrării să fie stabilit în dreptul Uniunii sau în dreptul
intern. Mai mult decât atât, dreptul respectiv ar putea să specifice condițiile generale ale
prezentului regulament care reglementează legalitatea prelucrării datelor cu caracter personal,
să determine specificațiile pentru stabilirea operatorului, a tipului de date cu caracter personal
care fac obiectul prelucrării, a persoanelor vizate, a entităților cărora le pot fi divulgate datele
cu caracter personal, a limitărilor în funcție de scop, a perioadei de stocare și a altor măsuri
pentru a garanta o prelucrare legală și echitabilă. De asemenea, ar trebui să se stabilească în
dreptul Uniunii sau în dreptul intern dacă operatorul care îndeplinește o sarcină care servește
unui interes public sau care face parte din exercitarea autorității publice ar trebui să fie o
autoritate publică sau o altă persoană fizică sau juridică guvernată de dreptul public sau, atunci
când motive de interes public justifică acest lucru, inclusiv în scopuri medicale, precum
sănătatea publică și protecția socială, precum și gestionarea serviciilor de asistență medicală,
de dreptul privat, cum ar fi o asociație profesională.
(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală
în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru
viața persoanei vizate sau pentru viața unei alte persoane fizice. Prelucrarea datelor cu caracter
personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată
numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele
tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor
vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri

18
umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații
de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.
(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi
divulgate datele cu caracter personal sau ale unei terțe părți, pot constitui un temei juridic pentru
prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale
persoanei vizate, luând în considerare așteptările rezonabile ale persoanelor vizate bazate pe
relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când
există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care
persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz,
existența unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o
persoană vizată poate preconiza în mod rezonabil, în momentul și în contextul colectării datelor
cu caracter personal, posibilitatea prelucrării în acest scop. Interesele și drepturile fundamentale
ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci
când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele vizate nu
preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze
temeiul juridic pentru prelucrarea datelor cu caracter personal de către autoritățile publice,
temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autoritățile publice în
îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în
scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în
cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi
considerată ca fiind desfășurată pentru un interes legitim.
(48) Operatorii care fac parte dintr-un grup de întreprinderi sau instituții afiliate unui
organism central pot avea un interes legitim de a transmite date cu caracter personal în cadrul
grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor
cu caracter personal ale clienților sau angajaților. Principiile generale ale transferului de date
cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere situată într-o țară
terță rămân neschimbate.
(49) Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în
scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a
unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor
accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea,
autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau
transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme, sau
accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz
de urgență informatică, echipele de intervenție în cazul producerii unor incidente care afectează
securitatea informatică, furnizorii de rețele și servicii de comunicații electronice, precum și de
către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului
de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la
rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de
"blocare a serviciului", precum și prevenirea daunelor aduse calculatoarelor și sistemelor de
comunicații electronice.
(50) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care
datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când
prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au

19
fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia
a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară
pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea
autorității publice cu care este învestit operatorul, dreptul Uniunii sau dreptul intern poate stabili
și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi
compatibilă și legală. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri
de cercetare științifică sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând
operațiuni de prelucrare legale compatibile. Temeiul juridic prevăzut în dreptul Uniunii sau în
dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un
temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare
este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal,
operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui
să țină seama, printre altele, de orice legătură între respectivele scopuri și scopurile prelucrării
ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în
special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în
ceea ce privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de
consecințele prelucrării ulterioare preconizate asupra persoanelor vizate, precum și de existența
garanțiilor corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul
operațiunilor de prelucrare ulterioare preconizate.
În cazul în care persoana vizată și-a dat consimțământul sau prelucrarea se bazează pe
dreptul Uniunii sau pe dreptul intern, care constituie o măsură necesară și proporțională într-o
societate democratică pentru a proteja, în special, obiective importante de interes public general,
operatorul ar trebui să aibă posibilitatea de a prelucra în continuare datele cu caracter personal,
indiferent de compatibilitatea scopurilor. În orice caz, aplicarea principiilor stabilite de
prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri
și la drepturile sale, inclusiv dreptul la opoziție, ar trebui să fie garantate. Indicarea unor posibile
infracțiuni sau amenințări la adresa siguranței publice de către operator și transmiterea către o
autoritate competentă a datelor cu caracter personal relevante în cazuri individuale sau în mai
multe cazuri legate de aceeași infracțiune sau de aceleași amenințări la adresa siguranței publice
ar trebui considerată ca fiind în interesul legitim urmărit de operator. Cu toate acestea, o astfel
de transmitere în interesul legitim al operatorului sau prelucrarea ulterioară a datelor cu caracter
personal ar trebui interzisă în cazul în care prelucrarea nu este compatibilă cu o obligație legală,
profesională sau cu o altă obligație de păstrare a confidențialității.
(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce
privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul
prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților
fundamentale. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal
care dezvăluie originea rasială sau etnică, utilizarea termenului "origine rasială" în prezentul
regulament neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească
existența unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în
mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât
fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt
prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei
persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepția cazului
în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ținând
seama de faptul că dreptul statelor membre poate prevedea dispoziții specifice cu privire la
20
protecția datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea
respectării unei obligații legale sau a îndeplinirii unei sarcini care servește unui interes public
sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Pe lângă
cerințele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile generale și alte
norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru
prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de
prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când
persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoile specifice în
special atunci când prelucrarea este efectuată în cadrul unor activități legitime de către anumite
asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale.
(52) Derogarea de la interdicția privind prelucrarea categoriilor speciale de date cu caracter
personal ar trebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern
prevede acest lucru și ar trebui să facă obiectul unor garanții adecvate, astfel încât să fie
protejate datele cu caracter personal și alte drepturi fundamentale, atunci când acest lucru se
justifică din motive de interes public, în special în cazul prelucrării datelor cu caracter personal
în domeniul legislației privind ocuparea forței de muncă, protecția socială, inclusiv pensiile,
precum și în scopuri de securitate, supraveghere și alertă în materie de sănătate, pentru
prevenirea sau controlul bolilor transmisibile și a altor amenințări grave la adresa sănătății.
Această derogare poate fi acordată în scopuri medicale, inclusiv sănătatea publică și gestionarea
serviciilor de asistență medicală, în special în vederea asigurării calității și eficienței din punctul
de vedere al costurilor ale procedurilor utilizate pentru soluționarea cererilor de prestații și
servicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de arhivare în interes public,
în scopuri de cercetare științifică sau istorică ori în scopuri statistice. De asemenea, prelucrarea
unor asemenea date cu caracter personal ar trebui permisă, printr-o derogare, atunci când este
necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție, indiferent dacă are
loc în cadrul unei proceduri în fața unei instanțe sau în cadrul unei proceduri administrative sau
a unei proceduri extrajudiciare.
(53) Categoriile speciale de date cu caracter personal care necesită un nivel mai ridicat de
protecție ar trebui prelucrate doar în scopuri legate de sănătate atunci când este necesar pentru
realizarea acestor scopuri în beneficiul persoanelor fizice și al societății în general, în special în
contextul gestionării serviciilor și sistemelor de sănătate sau de asistență socială, inclusiv
prelucrarea acestor date de către autoritățile de management și de către autoritățile centrale
naționale din domeniul sănătății în scopul controlului calității, furnizării de informații de
gestiune și al supravegherii generale a sistemului de sănătate sau de asistență socială la nivel
național și local, precum și în contextul asigurării continuității asistenței medicale sau sociale
și a asistenței medicale transfrontaliere ori în scopuri de securitate, supraveghere și alertă în
materie de sănătate ori în scopuri de arhivare în interes public, în scopuri de cercetare științifică
sau istorică ori în scopuri statistice în temeiul dreptului Uniunii sau al dreptului intern, care
trebuie să urmărească un obiectiv de interes public, precum și în cazul studiilor realizate în
interes public în domeniul sănătății publice. Prin urmare, prezentul regulament ar trebui să
prevadă condiții armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal
privind sănătatea, în ceea ce privește nevoile specifice, în special atunci când prelucrarea
acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac
obiectul unei obligații legale de a păstra secretul profesional. Dreptul Uniunii sau dreptul intern
ar trebui să prevadă măsuri specifice și adecvate pentru a proteja drepturile fundamentale și
datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui să aibă posibilitatea
21
de a menține sau de a introduce condiții suplimentare, inclusiv restricții, în ceea ce privește
prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea. Totuși, acest
lucru nu ar trebui să împiedice libera circulație a datelor cu caracter personal în cadrul Uniunii
atunci când aceste condiții se aplică prelucrării transfrontaliere a unor astfel de date.
(54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din
motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate.
O astfel de prelucrare ar trebui condiționată de măsuri adecvate și specifice destinate să
protejeze drepturile și libertățile persoanelor fizice. În acest context, conceptul de "sănătate
publică" ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al
Parlamentului European și al Consiliului *11), și anume toate elementele referitoare la sănătate
și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au
efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate
asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta,
precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității.
Această prelucrare a datelor privind sănătatea din motive de interes public nu ar trebui să ducă
la prelucrarea acestor date în alte scopuri de către părți terțe, cum ar fi angajatorii sau societățile
de asigurări și băncile.
(55) În plus, prelucrarea datelor cu caracter personal de către autoritățile publice în vederea
realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public, ale
asociațiilor religioase recunoscute oficial se efectuează din motive de interes public.
(56) În cazul în care, în cadrul activităților electorale, funcționarea sistemului democratic
necesită, într-un stat membru, ca partidele politice să colecteze date cu caracter personal privind
opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisă din motive de
interes public, cu condiția să se prevadă garanțiile corespunzătoare.
(57) Dacă datele cu caracter personal prelucrate de un operator nu îi permit acestuia să
identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține
informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta
oricare dintre dispozițiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui să
refuze să preia informațiile suplimentare furnizate de persoana vizată cu scopul de a sprijini
exercitarea drepturilor acesteia. Identificarea ar trebui să includă identificarea digitală a unei
persoane vizate, de exemplu prin mecanisme de autentificare precum aceleași acreditări
utilizate de către persoana vizată pentru a accesa serviciile online oferite de operatorul de date.
(58) Principiul transparenței prevede că orice informații care se adresează publicului sau
persoanei vizate să fie concise, ușor accesibile și ușor de înțeles și să se utilizeze un limbaj
simplu și clar, precum și vizualizare acolo unde este cazul. Aceste informații ar putea fi
furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul
unui site. Acest lucru este important în special în situații în care datorită multitudinii actorilor
și a complexității, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizată să
știe și să înțeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine
și în ce scop, cum este cazul publicității online. Întrucât copiii necesită o protecție specifică,
orice informații și orice comunicare, în cazul în care prelucrarea vizează un copil, ar trebui să
fie exprimate într-un limbaj simplu și clar, astfel încât copilul să îl poată înțelege cu ușurință.

22
 (59) Ar trebui să fie prevăzute modalități de facilitare a exercitării de către persoana vizată
a drepturilor care îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care
aceasta poate solicita și, dacă este cazul, obține, în mod gratuit, în special, acces la datele cu
caracter personal, precum și rectificarea sau ștergerea acestora, și exercitarea dreptului la
opoziție. Operatorul ar trebui să ofere, de asemenea, modalități de introducere a cererilor pe
cale electronică, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin
mijloace electronice. Operatorul ar trebui să aibă obligația de a răspunde cererilor persoanelor
vizate fără întârzieri nejustificate și cel târziu în termen de o lună și, în cazul în care nu
intenționează să se conformeze respectivele cereri, să motiveze acest refuz.
(60) Conform principiilor prelucrării echitabile și transparente, persoana vizată este
informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia. Operatorul
ar trebui să furnizeze persoanei vizate orice informații suplimentare necesare pentru a asigura
o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul
în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată
cu privire la crearea de profiluri, precum și la consecințele acesteia. Atunci când datele cu
caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea,
dacă are obligația de a furniza datele cu caracter personal și care sunt consecințele în cazul unui
refuz. Aceste informații pot fi furnizate în combinație cu pictograme standardizate pentru a oferi
într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra
prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic,
acestea ar trebui să poată fi citite automat.
(61) Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la
persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în
cazul în care datele cu caracter personal sunt obținute din altă sursă, într-o perioadă rezonabilă,
în funcție de circumstanțele cazului. În cazul în care datele cu caracter personal pot fi divulgate
în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu
caracter personal sunt divulgate pentru prima dată destinatarului. În cazul în care operatorul
intenționează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care
acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această
prelucrare ulterioară, informații privind scopul secundar respectiv și alte informații necesare. În
cazul în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate din
cauză că au fost utilizate surse diverse, informațiile generale ar trebui furnizate.
(62) Cu toate acestea, nu este necesară impunerea obligației de a furniza informații în cazul
în care persoana vizată deține deja informațiile, în cazul în care înregistrarea sau divulgarea
datelor cu caracter personal este prevăzută în mod expres de lege sau în cazul în care informarea
persoanei vizate se dovedește imposibilă sau ar implica eforturi disproporționate. Acesta din
urmă ar putea fi cazul în special atunci când prelucrarea se efectuează în scopuri de arhivare în
interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. În această
privință, ar trebui luate în considerare numărul persoanelor vizate, vechimea datelor și orice
garanții adecvate adoptate.
(63) O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate
care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile,
pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Acest lucru
include dreptul persoanelor vizate de a avea acces la datele lor privind sănătatea, de exemplu

23
datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale
examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată. Orice
persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în
special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se
prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de
prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe
crearea de profiluri, consecințele unei astfel de prelucrări. Dacă acest lucru este posibil,
operatorul de date ar trebui să poată furniza acces de la distanță la un sistem sigur, care să ofere
persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă
atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății
intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu
toate acestea, considerațiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza
toate informațiile persoanei vizate. Atunci când operatorul prelucrează un volum mare de
informații privind persoana vizată, operatorul ar trebui să poată solicita ca, înainte de a îi fi
furnizate informațiile, persoana vizată să precizeze informațiile sau activitățile de prelucrare la
care se referă cererea sa.
(64) Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei
persoane vizate care solicită acces la date, în special în contextul serviciilor online și al
identificatorilor online. Un operator nu ar trebui să rețină datele cu caracter personal în scopul
exclusiv de a fi în măsură să reacționeze la cereri potențiale.
(65) O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal
care o privesc și "dreptul de a fi uitată", în cazul în care păstrarea acestor date încalcă prezentul
regulament sau dreptul Uniunii sau dreptul intern sub incidența căruia intră operatorul. În
special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse
și să nu mai fie prelucrate, în cazul în care datele cu caracter personal nu mai sunt necesare
pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-
au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării
datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter
personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în
special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea
pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date
cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de
a-și exercita acest drept în pofida faptului că nu mai este copil. Cu toate acestea, păstrarea în
continuare a datelor cu caracter personal ar trebui să fie legală în cazul în care este necesară
pentru exercitarea dreptului la libertatea de exprimare și de informare, pentru respectarea unei
obligații legale, pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă
din exercitarea autorității publice cu care este învestit operatorul, din motive de interes public
în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare
științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea
unui drept în instanță.
(66) Pentru a se consolida "dreptul de a fi uitat" în mediul online, dreptul de ștergere ar
trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui
să aibă obligația de a informa operatorii care prelucrează respectivele date cu caracter personal
să șteargă orice linkuri către datele respective sau copii sau reproduceri ale acestora. În acest
scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ținând seama de tehnologia

24
disponibilă și de mijloacele aflate la dispoziția lui, inclusiv măsuri tehnice, pentru a informa
operatorii care prelucrează datele cu caracter personal în ceea ce privește cererea persoanei
vizate.
(67) Metodele de restricționare a prelucrării de date cu caracter personal ar putea include,
printre altele, mutarea temporară a datelor cu caracter personal selectate într-un alt sistem de
prelucrare, sau anularea accesului utilizatorilor la datele selectate sau înlăturarea temporară a
datelor publicate de pe un site. În ceea ce privește sistemele automatizate de evidență a datelor,
restricționarea prelucrării ar trebui, în principiu, asigurată prin mijloace tehnice în așa fel încât
datele cu caracter personal să nu facă obiectul unor operațiuni de prelucrare ulterioară și să nu
mai poată fi schimbate. Faptul că prelucrarea datelor cu caracter personal este restricționată ar
trebui indicat în mod clar în sistem.
(68) Pentru a spori suplimentar controlul asupra propriilor date, persoana vizată ar trebui,
în cazul în care datele cu caracter personal sunt prelucrate prin mijloace automate, să poată
primi datele cu caracter personal care o privesc și pe care le-a furnizat unui operator, într-un
format structurat, utilizat în mod curent, prelucrabil automat și interoperabil și să le poată
transmite unui alt operator. Operatorii de date ar trebui să fie încurajați să dezvolte formate
interoperabile care să permită portabilitatea datelor. Acest drept ar trebui să se aplice în cazul
în care persoana vizată a furnizat datele cu caracter personal pe baza propriului consimțământ
sau în cazul în care prelucrarea datelor este necesară pentru executarea unui contract. Acest
drept nu ar trebui să se aplice în cazul în care prelucrarea se bazează pe un alt temei juridic
decât consimțământul sau contractul. Prin însăși natura sa, acest drept nu ar trebui exercitat
împotriva operatorilor care prelucrează date cu caracter personal în cadrul exercitării funcțiilor
lor publice. Acesta nu ar trebui să se aplice în special în cazul în care prelucrarea de date cu
caracter personal este necesară în vederea respectării unei obligații legale căreia îi este supus
operatorul sau în cazul îndeplinirii unei sarcini care servește unui interes public sau care rezultă
din exercitarea unei autorități publice cu care este învestit operatorul. Dreptul persoanei vizate
de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui să creeze
pentru operatori obligația de a adopta sau de a menține sisteme de prelucrare care să fie
compatibile din punct de vedere tehnic. În cazul în care, într-un anumit set de date cu caracter
personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter
personal nu ar trebui să aducă atingere drepturilor și libertăților altor persoane vizate, în
conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui să aducă atingere
dreptului persoanei vizate de a obține ștergerea datelor cu caracter personal și limitărilor
dreptului respectiv, astfel cum sunt prevăzute în prezentul regulament, și nu ar trebui, în special,
să implice ștergerea acelor date cu caracter personal referitoare la persoana vizată care au fost
furnizate de către aceasta în vederea executării unui contract, în măsura în care și atât timp cât
datele respective sunt necesare pentru executarea contractului. Persoana vizată ar trebui să aibă
dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dacă acest
lucru este fezabil din punct de vedere tehnic.
(69) În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal
deoarece prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes
public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau pe
baza intereselor legitime ale unui operator sau ale unei părți terțe, o persoană vizată ar trebui să
aibă totuși dreptul de a se opune prelucrării oricăror date cu caracter personal care se referă la
situația sa particulară. Ar trebui să revină operatorului sarcina de a demonstra că interesele sale

25
legitime și imperioase prevalează asupra intereselor sau a drepturilor și libertăților
fundamentale ale persoanei vizate.
(70) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing
direct, persoana vizată ar trebui să aibă dreptul de a se opune unei astfel de prelucrări, inclusiv
creării de profiluri în măsura în care aceasta are legătură cu marketingul direct, indiferent dacă
prelucrarea în cauză este cea inițială sau una ulterioară, în orice moment și în mod gratuit. Acest
drept ar trebui adus în mod explicit în atenția persoanei vizate și prezentat în mod clar și separat
de orice alte informații.
(71) Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate
include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se
bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana
vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al
unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenție
umană. O astfel de prelucrare include "crearea de profiluri", care constă în orice formă de
prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale
referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte
privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de
sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau
deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o
afectează în mod similar într-o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza
unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este
autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului,
inclusiv în scopul monitorizării și prevenirii fraudei și a evaziunii fiscale, desfășurate în
conformitate cu reglementările, standardele și recomandările instituțiilor Uniunii sau ale
organismelor naționale de supraveghere, și în scopul asigurării securității și fiabilității unui
serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea
unui contract între persoana vizată și un operator sau în cazul în care persoana vizată și-a dat în
mod explicit consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor
garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și
dreptul acesteia de a obține intervenție umană, de a-și exprima punctul de vedere, de a primi o
explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta
decizia. O astfel de măsură nu ar trebui să se refere la un copil.
Pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată,
având în vedere circumstanțele specifice și contextul în care sunt prelucrate datele cu caracter
personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru
crearea de profiluri, să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura
în special faptul că factorii care duc la inexactități ale datelor cu caracter personal sunt corectați
și că riscul de erori este redus la minimum, precum și să securizeze datele cu caracter personal
într-un mod care să țină seama de pericolele potențiale la adresa intereselor și drepturilor
persoanei vizate și care să prevină, printre altele, efectele discriminatorii împotriva persoanelor
pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală,
caracteristici genetice, stare de sănătate sau orientare sexuală sau care să ducă la măsuri care să
aibă astfel de efecte. Procesul decizional automatizat și crearea de profiluri pe baza unor
categorii speciale de date cu caracter personal ar trebui permise numai în condiții specifice.

26
 (72) Crearea de profiluri este supusă normelor prezentului regulament care reglementează
prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrării sau
principiile de protecție a datelor. Comitetul european pentru protecția datelor instituit prin
prezentul regulament ("comitetul") ar trebui să poată emite orientări în acest context.
(73) Dreptul Uniunii sau dreptul intern poate impune restricții în privința unor principii
specifice, în privința dreptului de informare, a dreptului de acces la datele cu caracter personal
și de rectificare sau ștergere a acestora, în privința dreptului la portabilitatea datelor, a dreptului
la opoziție, a deciziilor bazate pe crearea de profiluri, precum și în privința comunicării unei
încălcări a securității datelor cu caracter personal persoanei vizate și a anumitor obligații conexe
ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate
democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special
ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea
penală a infracțiunilor sau executarea pedepselor, inclusiv protejarea împotriva amenințărilor
la adresa siguranței publice sau împotriva încălcării eticii în cazul profesiilor reglementate și
prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui
stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat
membru, menținerea de registre publice din motive de interes public general, prelucrarea
ulterioară a datelor cu caracter personal arhivate pentru a transmite informații specifice legate
de comportamentul politic în perioada regimurilor fostelor state totalitare, protecția persoanei
vizate sau a drepturilor și libertăților unor terți, inclusiv protecția socială, sănătatea publică și
scopurile umanitare. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de cartă și
de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.
(74) Ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice
prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special,
operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură
să demonstreze conformitatea activităților de prelucrare cu prezentul regulament, inclusiv
eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare,
contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor
fizice.
(75) Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de
probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu
caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în
special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a
identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu
caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării
sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar
putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra
datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie
originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența
sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală
sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate
aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind
randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau
interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se
crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor

27
persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date
cu caracter personal și afectează un număr larg de persoane vizate.
(76) Probabilitatea de a se materializa și gravitatea riscului pentru drepturile și libertățile
persoanei vizate ar trebui să fie determinate în funcție de natura, domeniul de aplicare, contextul
și scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei
evaluări obiective prin care se stabilește dacă operațiunile de prelucrare a datelor prezintă un
risc sau un risc ridicat.
(77) Orientări pentru implementarea unor măsuri adecvate și pentru demonstrarea
conformității de către operator sau persoana împuternicită de operator, mai ales în ceea ce
privește identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al
originii, naturii, probabilității de a se materializa și al gravității, precum și identificarea bunelor
practici pentru atenuarea riscului ar putea fi oferite în special prin coduri de conduită aprobate,
certificări aprobate, orientări ale comitetului sau prin indicații furnizate de un responsabil cu
protecția datelor. Comitetul poate, de asemenea, să emită orientări cu privire la operațiunile de
prelucrare care sunt considerate puțin susceptibile de a genera un risc ridicat pentru drepturile
și libertățile persoanelor fizice și să indice măsurile care se pot dovedi suficiente în asemenea
cazuri pentru a aborda un astfel de risc.
(78) Protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice
corespunzătoare pentru a se asigura îndeplinirea cerințelor din prezentul regulament. Pentru a
fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să
adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul
protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. Astfel
de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu
caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparența în ceea ce
privește funcțiile și prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să
monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranță și să
le îmbunătățească. Atunci când elaborează, proiectează, selectează și utilizează aplicații,
servicii și produse care se bazează pe prelucrarea datelor cu caracter personal sau care
prelucrează date cu caracter personal pentru a-și îndeplini rolul, producătorii acestor produse și
furnizorii acestor servicii și aplicații ar trebui să fie încurajați să aibă în vedere dreptul la
protecția datelor la momentul elaborării și proiectării unor astfel de produse, servicii și aplicații
și, ținând cont de stadiul actual al dezvoltării, să se asigure că operatorii și persoanele
împuternicite de operatori sunt în măsură să își îndeplinească obligațiile referitoare la protecția
datelor.Principiul protecției datelor începând cu momentul conceperii și cel al protecției
implicite a datelor ar trebui să fie luate în considerare și în contextul licitațiilor publice.
(79) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și
răspunderea operatorilor și a persoanelor împuternicite de operator, inclusiv în ceea ce privește
monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o
atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care
un operator stabilește scopurile și mijloacele prelucrării împreună cu alți operatori sau în cazul
în care o operațiune de prelucrare este efectuată în numele unui operator.
(80) Atunci când un operator sau o persoană împuternicită de operator care nu este stabilită
în Uniune prelucrează date cu caracter personal ale unor persoane vizate care se află pe teritoriul

28
Uniunii, iar activitățile sale de prelucrare au legătură cu oferirea de bunuri sau servicii unor
astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de
către persoana vizată, sau cu monitorizarea comportamentului unor persoane vizate dacă acesta
se manifestă în cadrul Uniunii, operatorul sau persoana împuternicită de operator ar trebui să
desemneze un reprezentant, cu excepția cazului în care prelucrarea are caracter ocazional, nu
include prelucrarea pe scară largă a unor categorii speciale de date cu caracter personal și nici
prelucrarea de date referitoare la condamnări penale și la infracțiuni, și este puțin susceptibilă
să genereze un risc pentru drepturile și libertățile persoanelor fizice, având în vedere natura,
contextul, domeniul de aplicare și scopurile prelucrării, precum și a cazului în care operatorul
este o autoritate publică sau un organism public. Reprezentantul ar trebui să acționeze în numele
operatorului sau al persoanei împuternicite de operator, putând fi contactat de orice autoritate
de supraveghere. Reprezentantul ar trebui desemnat în mod explicit, printr-un mandat scris al
operatorului sau al persoanei împuternicite de operator, să acționeze în numele acestuia
(acesteia) în ceea ce privește obligațiile lor în temeiul prezentului regulament. Desemnarea unui
astfel de reprezentant nu aduce atingere responsabilității sau răspunderii operatorului sau a
persoanei împuternicite de operator în temeiul prezentului regulament. Un astfel de reprezentant
ar trebui să își îndeplinească sarcinile în conformitate cu mandatul primit de la operator sau de
la persoana împuternicită de operator, inclusiv să coopereze cu autoritățile de supraveghere
competente în ceea ce privește orice acțiune întreprinsă pentru a asigura respectarea prezentului
regulament. Reprezentantul desemnat ar trebui să fie supus unor proceduri de asigurare a
respectării legii în cazul nerespectării prezentului regulament de către operator sau de către
persoana împuternicită de operator.
(81) Pentru a asigura respectarea cerințelor impuse de prezentul regulament în ceea ce
privește prelucrarea care trebuie efectuată în numele operatorului de către persoana
împuternicită de operator, atunci când atribuie activități de prelucrare unei persoane
împuternicite de operator, acesta din urmă ar trebui să utilizeze numai persoane împuternicite
care oferă garanții suficiente, în special în ceea ce privește cunoștințele de specialitate,
fiabilitatea și resursele, pentru a implementa măsuri tehnice și organizatorice care îndeplinesc
cerințele impuse de prezentul regulament, inclusiv pentru securitatea prelucrării. Aderarea de
către persoana împuternicită de operator la un cod de conduită aprobat sau la un mecanism de
certificare aprobat poate fi utilizată drept element care să demonstreze respectarea obligațiilor
de către operator. Efectuarea prelucrării de către o persoană împuternicită de un operator ar
trebui să fie reglementată printr-un contract sau un alt tip de act juridic, în temeiul dreptului
Uniunii sau al dreptului intern, care creează obligații pentru persoana împuternicită de operator
în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopurile
prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, și ar trebui să
țină seama de sarcinile și responsabilitățile specifice ale persoanei împuternicite de operator în
contextul prelucrării care trebuie efectuată, precum și de riscul pentru drepturile și libertățile
persoanei vizate. Operatorul și persoana împuternicită de operator pot alege să utilizeze un
contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie,
fie de o autoritate de supraveghere în conformitate cu mecanismul de asigurare a coerenței și
apoi adoptate de Comisie. După finalizarea prelucrării în numele operatorului, persoana
împuternicită de operator ar trebui să returneze sau să șteargă, în funcție de opțiunea
operatorului, datele cu caracter personal, cu excepția cazului în care există o cerință de stocare
a datelor cu caracter personal în temeiul dreptului Uniunii sau al dreptului intern care instituie
obligații pentru persoana împuternicită de operator.

29
 (82) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana
împuternicită de operator ar trebui să păstreze evidențe ale activităților de prelucrare aflate în
responsabilitatea sa. Fiecare operator și fiecare persoană împuternicită de operator ar trebui să
aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la
cerere, aceste evidențe, pentru a putea fi utilizate în scopul monitorizării operațiunilor de
prelucrare respective.
(83) În vederea menținerii securității și a prevenirii prelucrărilor care încalcă prezentul
regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile
inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi
criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv
confidențialitatea, luând în considerare stadiul actual al dezvoltării și costurile implementării în
raport cu riscurile și cu natura datelor cu caracter personal a căror protecție trebuie asigurată.
La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui să se acorde
atenție riscurilor pe care le prezintă prelucrarea datelor, cum ar fi distrugerea, pierderea,
modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal
transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special
la prejudicii fizice, materiale sau morale.
(84) Pentru a favoriza respectarea dispozițiilor prezentului regulament în cazurile în care
operațiunile de prelucrare sunt susceptibile să genereze un risc ridicat pentru drepturile și
libertățile persoanelor fizice, operatorul ar trebui să fie responsabil de efectuarea unei evaluări
a impactului asupra protecției datelor, care să estimeze, în special, originea, natura,
specificitatea și gravitatea acestui risc. Rezultatul evaluării ar trebui luat în considerare la
stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu
caracter personal respectă prezentul regulament. În cazul în care o evaluare a impactului asupra
protecției datelor arată că operațiunile de prelucrare implică un risc ridicat, pe care operatorul
nu îl poate atenua prin măsuri adecvate sub aspectul tehnologiei disponibile și al costurilor
implementării, ar trebui să aibă loc o consultare a autorității de supraveghere înainte de
prelucrare.
(85) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor
cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor
fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea
drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea
neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu
caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură
economică sau socială adus persoanei fizice în cauză. Prin urmare, de îndată ce a luat cunoștință
de producerea unei încălcări a securității datelor cu caracter personal, operatorul ar trebui să
notifice această încălcare autorității de supraveghere, fără întârziere nejustificată și, dacă este
posibil, în cel mult 72 de ore după ce a luat la cunoștință de existența acesteia, cu excepția
cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul
responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să
genereze un risc pentru drepturile și libertățile persoanelor fizice. Atunci când notificarea nu se
poate realiza în termen de 72 de ore, aceasta ar trebui să cuprindă motivele întârzierii, iar
informațiile pot fi furnizate treptat, fără altă întârziere.

30
 (86) Operatorul ar trebui să comunice persoanei vizate o încălcare a securității datelor cu
caracter personal, fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanei fizice, pentru a-i permite să ia
măsurile de precauție necesare. Comunicarea ar trebui să descrie natura încălcării securității
datelor cu caracter personal și să cuprindă recomandări pentru persoana fizică în cauză în scopul
atenuării eventualelor efecte negative. Comunicările către persoanele vizate ar trebui efectuate
în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de
supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente,
cum ar fi autoritățile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de
producere a unui prejudiciu ar presupune comunicarea cu promptitudine către persoanele vizate,
în timp ce necesitatea de a implementa măsuri corespunzătoare împotriva încălcării în
continuare a securității datelor cu caracter personal sau împotriva unor încălcări similare ale
securității datelor cu caracter personal ar putea justifica un termen mai îndelungat pentru
comunicare.
(87) Ar trebui să se stabilească dacă au fost implementate toate măsurile tehnologice de
protecție și organizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a produs o
încălcare a securității datelor cu caracter personal și de a se informa cu promptitudine autoritatea
de supraveghere și persoana vizată. Faptul că notificarea a fost efectuată fără întârziere
nejustificată ar trebui stabilit luându-se în considerare, în special, natura și gravitatea încălcării
securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia
asupra persoanei vizate. Această notificare poate conduce la o intervenție a autorității de
supraveghere, în conformitate cu sarcinile și competențele specificate în prezentul regulament.
(88) La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării
referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția
cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția
datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție
corespunzătoare, care să limiteze efectiv probabilitatea fraudării identității sau a altor forme de
utilizare abuzivă. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime
ale autorităților de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în
mod inutil investigarea circumstanțelor în care a avut loc o încălcare a datelor cu caracter
personal.
(89) Directiva 95/46/CE a prevăzut o obligație generală de a notifica prelucrarea datelor cu
caracter personal autorităților de supraveghere. Cu toate că obligația respectivă generează
sarcini administrative și financiare, aceasta nu a contribuit întotdeauna la îmbunătățirea
protecției datelor cu caracter personal. Prin urmare, astfel de obligații de notificare generală
nediferențiată ar trebui să fie abrogate și înlocuite cu proceduri și mecanisme eficace care să
pună accentul, în schimb, pe acele tipuri de operațiuni de prelucrare susceptibile să genereze un
risc ridicat pentru drepturile și libertățile persoanelor fizice prin însăși natura lor, prin domeniul
lor de aplicare, prin contextul și prin scopurile lor. Astfel de tipuri de operațiuni de prelucrare
pot fi cele care presupun, în special, utilizarea unor noi tehnologii sau care reprezintă un nou
tip de operațiuni, pentru care nicio evaluare a impactului asupra protecției datelor nu a fost
efectuată anterior de către operator ori care devin necesare dată fiind perioada de timp care s-a
scurs de la prelucrarea inițială.

31
 (90) În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a
impactului asupra protecției datelor, în scopul evaluării gradului specific de probabilitate a
materializării riscului ridicat și gravitatea acestuia, având în vedere natura, domeniul de
aplicare, contextul și scopurile prelucrării, precum și sursele riscului. Respectiva evaluare a
impactului ar trebui să includă, în special, măsurile, garanțiile și mecanismele avute în vedere
pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și
pentru demonstrarea conformității cu prezentul regulament.
(91) Aceasta ar trebui să se aplice, în special, operațiunilor de prelucrare la scară largă, care
au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel
regional, național sau supranațional, care ar putea afecta un număr mare de persoane vizate și
care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilității lor, în
cazul în care, în conformitate cu nivelul atins al cunoștințelor tehnologice, se folosește la scară
largă o tehnologie nouă, precum și altor operațiuni de prelucrare care generează un risc ridicat
pentru drepturile și libertățile persoanelor vizate, în special în cazul în care operațiunile
respective limitează capacitatea persoanelor vizate de a-și exercita drepturile. Ar trebui
efectuată o evaluare a impactului asupra protecției datelor și în situațiile în care datele cu
caracter personal sunt prelucrate în scopul luării de decizii care vizează anumite persoane fizice
în urma unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane
fizice, pe baza creării de profiluri pentru datele respective, sau în urma prelucrării unor categorii
speciale de date cu caracter personal, a unor date biometrice sau a unor date privind
condamnările penale și infracțiunile sau măsurile de securitate conexe. Este la fel de necesară
o evaluare a impactului asupra protecției datelor pentru monitorizarea la scară largă a zonelor
accesibile publicului, mai ales în cazul utilizării dispozitivelor optoelectronice sau pentru orice
alte operațiuni în cazul în care autoritatea de supraveghere competentă consideră că prelucrarea
este susceptibilă de a genera un risc ridicat pentru drepturile și libertățile persoanelor vizate, în
special deoarece acestea împiedică persoanele vizate să exercite un drept sau să utilizeze un
serviciu ori un contract, sau deoarece acestea sunt efectuate în mod sistematic la scară largă.
Prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în
care prelucrarea se referă la date cu caracter personal de la pacienți sau clienți de către un anumit
medic, un alt profesionist în domeniul sănătății sau un avocat. În aceste cazuri, o evaluare a
impactului asupra protecției datelor nu ar trebui să fie obligatorie.
(92) În unele circumstanțe ar putea fi rezonabil și util din punct de vedere economic ca o
evaluare a impactului asupra protecției datelor să aibă o perspectivă mai extinsă decât cea a
unui singur proiect, de exemplu în cazul în care autorități sau organisme publice intenționează
să instituie o aplicație sau o platformă de prelucrare comună sau în cazul în care mai mulți
operatori preconizează să introducă o aplicație comună sau un mediu de prelucrare comun în
cadrul unui sector sau segment industrial sau pentru o activitate orizontală utilizată la scară
largă.
(93) În contextul adoptării legislației naționale pe care se bazează îndeplinirea sarcinilor
autorității publice sau ale organismului public și care reglementează operațiunea sau seria de
operațiuni de prelucrare în cauză, statele membre pot considera că este necesară efectuarea unei
astfel de evaluări înaintea desfășurării activităților de prelucrare.
(94) În cazul în care o evaluare a impactului asupra protecției datelor arată că prelucrarea
ar genera, în absența garanțiilor, măsurilor de securitate și mecanismelor de atenuare a riscului,

32
un risc ridicat pentru drepturile și libertățile persoanelor fizice, iar operatorul consideră că riscul
nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al
costurilor implementării, autoritatea de supraveghere ar trebui să fie consultată înainte de
începerea activităților de prelucrare. Un astfel de risc ridicat este susceptibil să fie generat de
anumite tipuri de prelucrare, precum și de amploarea și frecvența prelucrării, care pot duce și
la producerea unor prejudicii sau pot atinge drepturile și libertățile persoanelor fizice.
Autoritatea de supraveghere ar trebui să răspundă cererii de consultare într-un anumit termen.
Cu toate acestea, lipsa unei reacții din partea autorității de supraveghere în termenul respectiv
ar trebui să nu aducă atingere niciunei intervenții a autorității de supraveghere în conformitate
cu sarcinile și competențele sale prevăzute în prezentul regulament, inclusiv competența de a
interzice operațiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei
evaluări a impactului asupra protecției datelor efectuate cu privire la prelucrarea în cauză poate
fi transmis autorității de supraveghere, în special măsurile avute în vedere pentru a atenua riscul
pentru drepturile și libertățile persoanelor fizice.
(95) Persoana împuternicită de operator ar trebui să acorde asistență operatorului, dacă este
necesar și la cerere, la asigurarea respectării obligațiilor care decurg din realizarea de evaluări
ale impactului asupra protecției datelor și din consultarea prealabilă a autorității de
supraveghere.
(96) În timpul elaborării unei măsuri legislative sau de reglementare care prevede
prelucrarea unor date cu caracter personal ar trebui, de asemenea, să aibă loc o consultare a
autorității de supraveghere, pentru a garanta conformitatea prelucrării avute în vedere cu
prezentul regulament și, în special, pentru a atenua riscul la care este expusă persoana vizată.
(97) În cazul în care prelucrarea este efectuată de o autoritate publică, cu excepția instanțelor
sau a autorităților judiciare independente atunci când acționează în calitatea lor judiciară, în
cazul în care, în sectorul privat, prelucrarea este efectuată de un operator a cărui activitate
principală constă în operațiuni de prelucrare care necesită o monitorizare regulată și sistematică
a persoanelor vizate pe scară largă, sau în cazul în care activitatea principală a operatorului sau
a persoanei împuternicite de operator constă în prelucrarea pe scară largă de categorii speciale
de date cu caracter personal și de date privind condamnările penale și infracțiunile, o persoană
care deține cunoștințe de specialitate în materie de legislație și practici privind protecția datelor
ar trebui să acorde asistență operatorului sau persoanei împuternicite de operator pentru
monitorizarea conformității, la nivel intern, cu prezentul regulament. În sectorul privat,
activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea
datelor cu caracter personal drept activități auxiliare. Nivelul necesar al cunoștințelor de
specialitate ar trebui să fie stabilit în special în funcție de operațiunile de prelucrare a datelor
efectuate și de nivelul de protecție impus pentru datele cu caracter personal prelucrate de
operator sau de persoana împuternicită de operator. Acești responsabili cu protecția datelor,
indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească
atribuțiile și sarcinile în mod independent.
(98) Asociațiile sau alte organisme care reprezintă categorii de operatori sau de persoane
împuternicite de operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele
prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament,
luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare
și necesitățile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii. În

33
special, astfel de coduri de conduită ar putea să ajusteze obligațiile operatorilor și ale
persoanelor împuternicite de operatori, ținând seama de riscul aferent prelucrării care este
susceptibil de a fi generat pentru drepturile și libertățile persoanelor fizice.
(99) Atunci când elaborează un cod de conduită sau când modifică sau extind un astfel de
cod, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane
împuternicite de operatori ar trebui să consulte părțile implicate relevante, inclusiv persoanele
vizate, dacă este fezabil, și să ia în considerare contribuțiile transmise și opiniile exprimate în
cadrul unor astfel de consultări.
(100) Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui
să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci în materie
de protecție a datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție
a datelor aferent produselor și serviciilor relevante.
(101) Fluxurile de date cu caracter personal către și dinspre țări situate în afara Uniunii și
organizații internaționale sunt necesare pentru dezvoltarea comerțului internațional și a
cooperării internaționale. Creșterea acestor fluxuri a generat noi provocări și preocupări cu
privire la protecția datelor cu caracter personal. Cu toate acestea, în cazul în care se transferă
date cu caracter personal din Uniune către operatori, persoane împuternicite de operatori sau
alți destinatari din țări terțe sau organizații internaționale, nivelul de protecție a persoanelor
fizice asigurat în Uniune prin prezentul regulament nu ar trebui să fie diminuat, inclusiv în
cazurile de transferuri ulterioare de date cu caracter personal dinspre țara terță sau organizația
internațională către operatori, persoane împuternicite de operatori din aceeași sau dintr-o altă
țară terță sau organizație internațională. În orice caz, transferurile către țări terțe și organizații
internaționale pot fi desfășurate numai în conformitate deplină cu prezentul regulament. Un
transfer ar putea avea loc numai dacă, sub rezerva respectării celorlalte dispoziții ale prezentului
regulament, operatorul sau persoana împuternicită de operator îndeplinește condițiile prevăzute
de dispozițiile prezentului regulament privind transferul de date cu caracter personal către țări
terțe sau organizații internaționale.
(102) Prezentul regulament nu aduce atingere acordurilor internaționale încheiate între
Uniune și țări terțe în vederea reglementării transferului de date cu caracter personal, inclusiv
garanții adecvate pentru persoanele vizate. Statele membre pot încheia acorduri internaționale
care implică transferul de date cu caracter personal către țări terțe sau organizații internaționale,
în măsura în care astfel de acorduri nu afectează prezentul regulament și nici alte dispoziții din
dreptul Uniunii și includ un nivel corespunzător de protecție a drepturilor fundamentale ale
persoanelor vizate.
(103) Comisia poate decide, cu efect în întreaga Uniune, că o țară terță, un teritoriu sau un
anumit sector dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de
protecție a datelor, asigurând astfel securitate juridică și uniformitate în Uniune în ceea ce
privește țara terță sau organizația internațională care este considerată a furniza un astfel de nivel
de protecție. În aceste cazuri, transferurile de date cu caracter personal către țara terță sau
organizația internațională respectivă pot avea loc fără a fi necesar să se obțină autorizări
suplimentare. De asemenea, Comisia poate să decidă, după trimiterea unei notificări și a unei
justificări complete țării terțe sau organizației internaționale, să anuleze o astfel de decizie.

34
 (104) În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special
protecția drepturilor omului, Comisia ar trebui, în evaluarea sa referitoare la țara terță sau la un
teritoriu sau la un sector specificat dintr-o țară terță, să ia în considerare modul în care aceasta
respectă statul de drept, accesul la justiție, precum și normele și standardele internaționale în
materie de drepturi ale omului și legislația sa generală și sectorială, inclusiv legislația privind
securitatea publică, apărarea și securitatea națională, precum și ordinea publică și dreptul penal.
Adoptarea unei decizii privind caracterul adecvat al nivelului de protecție pentru un teritoriu
sau un sector specificat dintr-o țară terță ar trebui să țină seama de criterii clare și obiective,
cum ar fi activitățile specifice de prelucrare și domeniul de aplicare al standardelor legale
aplicabile și legislația în vigoare în țara terță respectivă. Țara terță ar trebui să ofere garanții
care să asigure un nivel adecvat de protecție, echivalent în esență cu cel asigurat în cadrul
Uniunii, în special atunci când datele cu caracter personal sunt prelucrate în unul sau mai multe
sectoare specifice. În special, țara terță ar trebui să asigure o supraveghere efectivă
independentă în materie de protecție a datelor și să prevadă mecanisme de cooperare cu
autoritățile statelor membre de protecție a datelor, iar persoanele vizate ar trebui să beneficieze
de drepturi efective și opozabile și de reparații efective pe cale administrativă și judiciară.
(105) Pe lângă angajamentele internaționale asumate de țara terță sau de organizația
internațională, Comisia ar trebui să țină seama de obligațiile care decurg din participarea țării
terțe sau a organizației internaționale la sistemele multilaterale sau regionale, în special în ceea
ce privește protecția datelor cu caracter personal, precum și de punerea în aplicare a unor astfel
de obligații. În special, ar trebui să fie luată în considerare aderarea țării terțe la Convenția
Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor față de prelucrarea
automatizată a datelor cu caracter personal și protocolul adițional la aceasta. Comisia ar trebui
să consulte comitetul atunci când evaluează nivelul de protecție din țările terțe sau din
organizațiile internaționale.
(106) Comisia ar trebui să monitorizeze funcționarea deciziilor privind nivelul de protecție
dintr-o țară terță sau un teritoriu sau un anumit sector dintr-o țară terță sau dintr-o organizație
internațională și să monitorizeze funcționarea deciziilor adoptate în temeiul articolului 25
alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. În deciziile sale privind
caracterul adecvat al nivelului de protecție, Comisia ar trebui să prevadă un mecanism de
revizuire periodică a modului lor de funcționare. Această revizuire periodică ar trebui să fie
efectuată în consultare cu țara terță sau organizația internațională în cauză și ar trebui să ia în
considerare toate evoluțiile relevante din țara terță sau organizația internațională. În scopul
monitorizării și al efectuării revizuirilor periodice, Comisia ar trebui să ia în considerare opiniile
și constatările Parlamentului European și ale Consiliului, precum și ale altor organisme și surse
relevante. Comisia ar trebui să evalueze, într-un termen rezonabil, funcționarea deciziilor din
urmă și să raporteze toate constatările relevante comitetului, în sensul Regulamentului (UE) nr.
182/2011 al Parlamentului European și al Consiliului *12), după cum s-a stabilit în temeiul
prezentului regulament, Parlamentului European și Consiliului.
(107) Comisia poate să recunoască faptul că o țară terță,un teritoriu sau un sector specificat
dintr-o țară terță sau o organizație internațională nu mai asigură un nivel adecvat de protecție a
datelor. În consecință, transferul de date cu caracter personal către țara terță sau organizația
internațională respectivă ar trebui să fie interzis, cu excepția cazului în care sunt îndeplinite
cerințele prevăzute în prezentul regulament privind transferurile în baza unor garanții adecvate,
inclusiv regulile corporatiste obligatorii și derogările de la situațiile specifice. În acest caz, ar

35
trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau
organizații internaționale. Comisia ar trebui ca, în timp util, să informeze țara terță sau
organizația internațională cu privire la aceste motive și să inițieze consultări cu aceasta pentru
remedierea situației.
(108) În absența unei decizii privind caracterul adecvat al nivelului de protecție, operatorul
sau persoana împuternicită de operator ar trebui să adopte măsuri pentru a compensa lipsa
protecției datelor într-o țară terță prin intermediul unor garanții adecvate pentru persoana vizată.
Astfel de garanții adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor
standard de protecție a datelor adoptate de Comisie, a clauzelor standard de protecție a datelor
adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate
de supraveghere. Respectivele garanții ar trebui să asigure respectarea cerințelor în materie de
protecție a datelor și drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul
Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate și a unor căi de
atac eficiente, printre care dreptul de acces la reparații efective pe cale administrativă sau
judiciară și dreptul de a solicita despăgubiri, în Uniune sau într-o țară terță. Acestea ar trebui să
se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter
personal: principiul protecției datelor începând cu momentul conceperii și principiul protecției
implicite a datelor. Transferurile pot fi efectuate și de către autoritățile sau organismele publice
cu autorități sau organisme publice în țări terțe sau cu organizații internaționale cu atribuții și
funcții corespunzătoare, inclusiv pe baza dispozițiilor care prevăd drepturi opozabile și efective
pentru persoanele vizate, care trebuie introduse în acordurile administrative, cum ar fi un
memorandum de înțelegere. Autorizația din partea autorității de supraveghere competente ar
trebui obținută atunci când garanțiile sunt oferite în cadrul unor acorduri administrative fără
caracter juridic obligatoriu.
(109) Posibilitatea ca operatorul sau persoana împuternicită de operator să utilizeze clauze
standard în materie de protecție a datelor, adoptate de Comisie sau de o autoritate de
supraveghere, nu ar trebui să împiedice operatorii sau persoanele împuternicite de aceștia să
includă clauzele standard în materie de protecție a datelor într-un contract mai amplu, precum
un contract între persoana împuternicită de operator și o altă persoană împuternicită de operator,
și nici să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct
sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de
supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate.
Operatorii și persoanele împuternicite de operatori ar trebui să fie încurajați să ofere garanții
suplimentare prin intermediul unor angajamente contractuale care să completeze clauzele
standard în materie de protecție.
(110) Un grup de întreprinderi sau un grup de întreprinderi implicat într-o activitate
economică comună ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru
transferurile sale internaționale dinspre Uniune către organizații din cadrul aceluiași grup de
întreprinderi sau grup de întreprinderi implicate într-o activitate economică comună, cu condiția
ca astfel de reguli corporatiste să includă toate principiile esențiale și drepturile opozabile în
scopul asigurării unor garanții adecvate pentru transferurile sau categoriile de transferuri de
date cu caracter personal.
(111) Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe
în care persoana vizată și-a dat consimțământul explicit, în care transferul este ocazional și

36
necesar în legătură cu un contract sau cu o acțiune în justiție, indiferent dacă este în contextul
unei proceduri judiciare sau în contextul unei proceduri administrative sau extrajudiciare,
inclusiv în cadrul procedurilor înaintate organismelor de reglementare. De asemenea, ar trebui
să se prevadă posibilitatea de a se efectua transferuri în cazul în care motive importante de
interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau în cazul
în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de
către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de
transfer nu ar trebui să implice totalitatea datelor cu caracter personal sau ansamblul categoriilor
de date conținute în registru, iar atunci când registrul este destinat să fie consultat de persoane
care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor
respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele și
drepturile fundamentale ale persoanei vizate.
(112) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și
necesare din considerente importante de interes public, de exemplu în cazul schimbului
internațional de date între autoritățile din domeniul concurenței, administrațiile fiscale sau
vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de
securitate socială sau de sănătate publică, de exemplu în cazul depistării punctelor de contact
pentru bolile contagioase sau pentru reducerea și/sau eliminarea dopajului în sport. Un transfer
de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care este
necesar în scopul protejării unui interes care este esențial în interesele vitale ale persoanei vizate
sau ale unei alte persoane, inclusiv pentru integritatea fizică sau pentru viața acesteia, în cazul
în care persona vizată nu are capacitatea să își dea consimțământul. În absența unei decizii
privind caracterul adecvat al nivelului de protecție, dreptul Uniunii sau dreptul intern poate, din
considerente importante de interes public, stabili în mod expres limite asupra transferului unor
categorii specifice de date către o țară terță sau o organizație internațională. Statele membre ar
trebui să notifice Comisiei aceste dispoziții. Orice transfer către o organizație umanitară
internațională al datelor cu caracter personal ale unei persoane vizate care se află în incapacitate
fizică sau juridică de a își da consimțământul, în vederea îndeplinirii unei sarcini care decurge
din Convențiile de la Geneva sau în vederea conformării cu dreptul internațional umanitar
aplicabil în conflictele armate, ar putea fi considerat necesar pentru un motiv important de
interes public sau pentru că este în interesul vital al persoanei vizate.
(113) Transferurile care pot fi considerate ca nefiind repetitive și care se referă doar la un
număr limitat de persoane vizate, ar putea, de asemenea, să fie efectuate în scopul realizării
intereselor legitime urmărite de operator, atunci când asupra respectivelor interese nu
prevalează interesele sau drepturile și libertățile persoanei vizate și atunci când operatorul a
evaluat toate circumstanțele aferente transferului de date. Operatorul ar trebui să acorde o
atenție deosebită naturii datelor cu caracter personal, scopului și duratei operațiunii sau
operațiunilor propuse de prelucrare, precum și situației din țara de origine, din țara terță și din
țara de destinație finală și ar trebui să ofere garanții adecvate pentru protecția drepturilor și
libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor lor cu
caracter personal. Astfel de transferuri ar trebui să fie posibile numai în cazurile reziduale în
care nu se poate aplica niciunul dintre celelalte motive de transfer. În ceea ce privește scopurile
de cercetare științifică sau istorică sau scopurile statistice, ar trebui să se ia în considerare
așteptările legitime ale societății cu privire la creșterea nivelului de cunoștințe. Operatorul ar
trebui să informeze autoritatea de supraveghere și persoana vizată cu privire la transfer.

37
 (114) În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de
protecție a datelor dintr-o țară terță, operatorul sau persoana împuternicită de operator ar trebui
să utilizeze soluții care să ofere persoanelor vizate drepturi opozabile și efective în ceea ce
privește prelucrarea datelor lor în Uniune odată ce aceste date au fost transferate, astfel încât
persoanele vizate să beneficieze în continuare de drepturi fundamentale și garanții.
(115) Unele țări terțe au adoptat legi, reglementări și alte acte juridice care au drept obiectiv
să reglementeze în mod direct activitățile de prelucrare a datelor ale persoanelor fizice și
juridice aflate sub jurisdicția statelor membre. Aceasta poate include hotărâri ale instanțelor
judecătorești sau decizii ale autorităților administrative din țări terțe care solicită unui operator
sau unei persoane împuternicite de operator să transfere sau să divulge date cu caracter personal
și care nu se bazează pe un acord internațional, cum ar fi un tratat de asistență juridică reciprocă,
în vigoare între țara terță solicitantă și Uniune sau un stat membru. Aplicarea extrateritorială a
acestor legi, reglementări și alte acte juridice poate încălca dreptul internațional și poate
împiedica asigurarea protecției persoanelor fizice asigurată în Uniune prin prezentul
regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor
prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul,
inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public
recunoscut în dreptul Uniunii sau în dreptul intern care se aplică operatorului.
(116) Fluxul transfrontalier de date cu caracter personal în afara Uniunii poate expune unui
risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a
datelor, în special pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a
acestor informații. În același timp, autoritățile de supraveghere pot constata că se află în
imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile
desfășurate în afara frontierelor lor. Eforturile acestora de a conlucra în context transfrontalier
pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere, de
caracterul eterogen al regimurilor juridice și de existența unor obstacole de ordin practic, cum
ar fi constrângerile în materie de resurse. Prin urmare, este necesar să se promoveze o cooperare
mai strânsă între autoritățile de supraveghere a protecției datelor pentru a putea face schimb de
informații și a desfășura investigații împreună cu omologii lor internaționali. În scopul
elaborării de mecanisme de cooperare internațională pentru a facilita și a oferi asistență
internațională reciprocă în asigurarea aplicării legislației din domeniul protecției datelor cu
caracter personal, Comisia și autoritățile de supraveghere ar trebui să facă schimb de informații
și să coopereze în cadrul activităților legate de exercitarea competențelor lor cu autoritățile
competente din țări terțe, pe bază de reciprocitate și în conformitate cu prezentul regulament.
(117) Instituirea în statele membre a unor autorități de supraveghere, împuternicite să își
îndeplinească sarcinile și să își exercite competențele în deplină independență, este un element
esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter
personal. Statele membre ar trebui să poată institui mai multe autorități de supraveghere, pentru
a reflecta structura lor constituțională, organizatorică și administrativă.
(118) Independența autorităților de supraveghere nu ar trebui să însemne că autoritățile de
supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare în ceea ce
privește cheltuielile acestora sau unui control jurisdicțional.
(119) În cazul în care un stat membru instituie mai multe autorități de supraveghere, acesta
ar trebui să stabilească prin lege mecanisme care să asigure participarea efectivă a autorităților

38
de supraveghere respective la mecanismul pentru asigurarea coerenței. Statul membru respectiv
ar trebui, în special, să desemneze autoritatea de supraveghere care îndeplinește funcția de punct
unic de contact pentru participarea efectivă a acestor autorități la mecanism, în scopul asigurării
unei cooperări rapide și armonioase cu alte autorități de supraveghere, cu comitetul și cu
Comisia.
(120) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și
umane, de spațiile și de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor
lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere
în întreaga Uniune. Fiecare autoritate de supraveghere ar trebui să aibă un buget public anual
separat, care poate face parte din bugetul general de stat sau național.
(121) Condițiile generale pentru membrul sau membrii autorității de supraveghere ar trebui
stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că respectivii membri
sunt numiți printr-o procedură transparentă fie de parlamentul, de guvernul ori șeful de stat al
statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a
parlamentului sau a unei camere a parlamentului, fie de către un organism independent
împuternicit prin dreptul intern. În vederea asigurării independenței autorității de supraveghere,
membrul sau membrii acesteia ar trebui să acționeze cu integritate, să nu întreprindă acțiuni
incompatibile cu îndatoririle lor, iar, pe durata mandatului, ar trebui să nu desfășoare activități
incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui să aibă personal
propriu, ales de autoritatea de supraveghere sau de un organism independent înființat în temeiul
dreptului intern, care ar trebui să fie subordonat exclusiv membrului sau membrilor autorității
de supraveghere.
(122) Fiecare autoritate de supraveghere ar trebui să aibă, pe teritoriul statului membru de
care aparține, atribuția de a exercita competențele și de a îndeplini sarcinile cu care este învestită
în conformitate cu prezentul regulament. Aceasta ar trebui să includă în special prelucrarea în
contextul activităților unui sediu al operatorului sau al persoanei împuternicite de operator pe
teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuată de
autoritățile publice sau de organisme private care acționează în interes public, prelucrarea care
afectează persoanele vizate de pe teritoriul său sau prelucrarea efectuată de către un operator
sau o persoană împuternicită de operator care nu își are sediul în Uniune în cazul în care aceasta
privește persoane vizate care își au reședința pe teritoriul său. Aceasta ar trebui să includă
tratarea plângerilor depuse de o persoană vizată, efectuarea de investigații privind aplicarea
prezentului regulament și promovarea informării publicului cu privire la riscurile, normele,
garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal.
(123) Autoritățile de supraveghere ar trebui să monitorizeze aplicarea dispozițiilor
prevăzute de prezentul regulament și să contribuie la aplicarea coerentă a acestuia în întreaga
Uniune, în scopul asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor
lor cu caracter personal și al facilitării liberei circulații a datelor cu caracter personal în interiorul
pieței interne. În acest sens, autoritățile de supraveghere ar trebui să coopereze reciproc, precum
și cu Comisia, fără să fie necesar niciun acord între statele membre cu privire la acordarea de
asistență reciprocă sau cu privire la respectiva cooperare.
(124) În cazul în care prelucrarea datelor cu caracter personal se desfășoară în cadrul
activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din
Uniune, iar operatorul sau persoana împuternicită de operator are sedii în mai multe state

39
membre, sau în cazul în care prelucrarea care se desfășoară în contextul activităților unui singur
sediu al unui operator sau al unei persoane împuternicite de operator din Uniune afectează sau
este susceptibilă să afecteze semnificativ persoane vizate din mai multe state membre,
autoritatea de supraveghere a sediului principal al operatorului sau al persoanei împuternicite
de operator ori a sediului unic al operatorului sau al persoanei împuternicite de operator ar trebui
să acționeze în calitate de autoritate principală. Aceasta ar trebui să coopereze cu celelalte
autorități vizate, pentru că operatorul sau persoana împuternicită de operator are un sediu pe
teritoriul statului lor membru, pentru că persoanele vizate care își au reședința pe teritoriul lor
sunt afectate în mod semnificativ sau pentru că le-a fost înaintată o plângere. De asemenea, în
cazul în care o persoană vizată care nu își are reședința în statul membru respectiv a depus o
plângere, autoritatea de supraveghere la care a fost depusă plângerea ar trebui, de asemenea, să
fie o autoritate de supraveghere vizată. În cadrul sarcinilor sale de a emite orientări cu privire
la orice chestiune referitoare la punerea în aplicare a prezentului regulament, comitetul ar trebui
să poată emite orientări privind, în special, criteriile care trebuie luate în considerare pentru a
se stabili dacă prelucrarea în cauză afectează în mod semnificativ persoane vizate din mai multe
state membre și privind conținutul unei obiecții relevante și motivate.
(125) Autoritatea principală ar trebui să aibă competența de a adopta decizii obligatorii
privind măsurile de aplicare a competențelor care îi sunt conferite în conformitate cu prezentul
regulament. În calitatea sa de autoritate principală, autoritatea de supraveghere ar trebui să
implice îndeaproape și să coordoneze activitățile autorităților de supraveghere vizate în
procesul decizional. În cazurile în care decizia este de respingere parțială sau totală a plângerii
din partea persoanei vizate, o asemenea decizie ar trebui adoptată de către autoritatea de
supraveghere la care s-a depus plângerea.
(126) Decizia ar trebui convenită în comun de autoritatea de supraveghere principală și de
autoritățile de supraveghere vizate și ar trebui să vizeze sediul principal sau sediul unic al
operatorului sau al persoanei împuternicite de operator și să fie obligatorie pentru operator și
pentru persoana împuternicită de operator. Operatorul sau persoana împuternicită de operator
ar trebui să ia măsurile necesare pentru a asigura conformitatea cu prezentul regulament și
punerea în aplicare a deciziei notificate de autoritatea de supraveghere principală sediului
principal al operatorului sau al persoanei împuternicite de operator în ceea ce privește
activitățile de prelucrare în Uniune.
(127) Fiecare autoritate de supraveghere care nu acționează ca autoritate de supraveghere
principală ar trebui să aibă competența de a trata cazuri locale, în care operatorul sau persoana
împuternicită de operator are sedii în mai multe state membre, dar obiectul respectivei prelucrări
privește doar prelucrarea efectuată într-un singur stat membru și implicând doar persoane vizate
din acel unic stat membru, de exemplu în cazul în care obiectul îl constituie prelucrarea datelor
cu caracter personal ale angajaților în contextul specific legat de forța de muncă dintr-un stat
membru. În astfel de cazuri, autoritatea de supraveghere ar trebui să informeze fără întârziere
autoritatea de supraveghere principală cu privire la această chestiune. După ce a fost informată,
autoritatea de supraveghere principală ar trebui să decidă dacă va trata ea însăși cazul în temeiul
dispoziției privind cooperarea între autoritatea de supraveghere principală și alte autorități de
supraveghere vizate ("mecanismul ghișeului unic"), sau dacă autoritatea de supraveghere care
a informat-o ar trebui să se ocupe de caz la nivel local. Atunci când decide dacă va trata cazul,
autoritatea de supraveghere principală ar trebui să ia în considerare dacă există un sediu al
operatorului sau al persoanei împuternicite de operator în statul membru al autorității de

40
supraveghere care a informat-o, în vederea garantării respectării efective a unei decizii în ceea
ce privește operatorul sau persoana împuternicită de operator. În cazul în care autoritatea de
supraveghere principală decide să trateze cazul, autoritatea de supraveghere care a informat-o
ar trebui să beneficieze de posibilitatea de a prezenta un proiect de decizie, de care autoritatea
de supraveghere principală ar trebui să țină seama în cea mai mare măsură atunci când
pregătește proiectul său de decizie în cadrul respectivului mecanism al ghișeului unic.
(128) Normele privind autoritatea de supraveghere principală și mecanismul ghișeului unic
nu ar trebui să se aplice în cazul în care prelucrarea este efectuată de autorități publice sau
organisme private în interes public. În asemenea cazuri, singura autoritate de supraveghere
competentă să își exercite competențele care i-au fost atribuite în conformitate cu prezentul
regulament ar trebui să fie autoritatea de supraveghere a statului membru în care autoritatea
publică sau organismul privat își are sediul.
(129) Pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în
întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași
sarcini și competențe efective, inclusiv competențe de investigare, competențe corective și
sancțiuni, precum și competențe de autorizare și de consiliere, în special în cazul plângerilor
depuse de persoane fizice, precum și, fără a aduce atingere competențelor autorităților de
urmărire penală în temeiul dreptului intern, de a aduce în atenția autorităților judiciare cazurile
de încălcare a prezentului regulament și de a se implica în proceduri judiciare. Aceste
competențe ar trebui să includă și competența de a impune o limitare temporară sau definitivă,
inclusiv o interdicție, asupra prelucrării. Statele membre pot stabili alte sarcini legate de
protecția datelor cu caracter personal în temeiul prezentului regulament. Competențele
autorităților de supraveghere ar trebui exercitate în conformitate cu garanții procedurale
adecvate prevăzute în dreptul Uniunii și în dreptul intern, în mod imparțial, echitabil și într-un
termen rezonabil. În special, fiecare măsură ar trebui să fie adecvată, necesară și proporțională
în scopul de a asigura conformitatea cu dispozițiile prezentului regulament, luând în considerare
circumstanțele fiecărui caz în parte, să respecte dreptul oricărei persoane de a fi ascultată înainte
de luarea oricărei măsuri individuale care ar putea să îi aducă atingere și să evite costurile inutile
și inconvenientele excesive pentru persoanele în cauză. Competențele de investigare în ceea ce
privește accesul în incinte ar trebui exercitate în conformitate cu cerințele specifice din dreptul
procedural național, cum ar fi obligația de a obține în prealabil o autorizare judiciară. Fiecare
măsură obligatorie din punct de vedere juridic luată de autoritatea de supraveghere ar trebui să
fie prezentată în scris, să fie clară și lipsită de ambiguitate, să indice autoritatea de supraveghere
care a emis măsura, data emiterii măsurii, să poarte semnătura șefului sau a unui membru al
autorității de supraveghere autorizat de acesta, să furnizeze motivele pentru care s-a luat măsura
și să facă trimitere la dreptul la o cale de atac eficientă. Acest lucru nu ar trebui să excludă
cerințe suplimentare în conformitate cu dreptul procedural național. Adoptarea unor astfel de
decizii obligatorii din punct de vedere juridic implică faptul că se poate da naștere unui control
jurisdicțional în statul membru al autorității de supraveghere care a adoptat decizia.
(130) În cazul în care autoritatea de supraveghere la care s-a depus plângerea nu este
autoritatea de supraveghere principală, autoritatea de supraveghere principală ar trebui să
coopereze îndeaproape cu autoritatea de supraveghere la care s-a depus plângerea, în
conformitate cu dispozițiile privind cooperarea și consecvența prevăzute în prezentul
regulament. În astfel de cazuri, autoritatea de supraveghere principală ar trebui, atunci când ia
măsuri destinate să producă efecte juridice, inclusiv impunerea de amenzi administrative, să

41
țină seama cât mai mult posibil de opinia autorității de supraveghere la care a fost depusă
plângerea și care ar trebui să își mențină competența de a desfășura orice investigație pe
teritoriul propriului stat membru, în colaborare cu autoritatea de supraveghere principală.
(131) În cazurile în care o altă autoritate de supraveghere ar trebui să acționeze în calitate
de autoritate de supraveghere principală pentru activitățile de prelucrare ale operatorului sau
ale persoanei împuternicite de operator, dar obiectul concret al unei plângeri sau posibila
încălcare vizează numai activitățile de prelucrare ale operatorului sau ale persoanei
împuternicite de operator în statul membru în care a fost depusă plângerea sau a fost depistată
posibila încălcare, iar chestiunea nu afectează în mod substanțial sau nu este susceptibilă să
afecteze în mod substanțial persoane vizate din alte state membre, autoritatea de supraveghere
care a primit o plângere sau a depistat ori a fost informată în alt mod asupra unor situații de
posibile încălcări ale prezentului regulament ar trebui să încerce o soluționare pe cale amiabilă
cu operatorul și, în cazul în care aceasta eșuează, să își exercite plenitudinea competențelor.
Aceasta ar trebui să includă activități specifice de prelucrare efectuate pe teritoriul statului
membru al autorității de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui
stat membru, activități de prelucrare care au loc în contextul unei oferte de bunuri sau servicii
destinate în mod special persoanelor vizate pe teritoriul statului membru al autorității de
supraveghere sau activități de prelucrare care trebuie evaluate ținând seama de obligațiile
juridice relevante în temeiul dreptului intern.
(132) Activitățile de creștere a gradului de conștientizare organizate pentru public de
autoritățile de supraveghere ar trebui să includă măsuri specifice care să vizeze operatorii și
persoanele împuternicite de operatori, inclusiv microîntreprinderile și întreprinderile mici și
mijlocii, precum și persoanele fizice, în special în context educațional.
(133) Autoritățile de supraveghere ar trebui să își acorde reciproc asistență în îndeplinirea
sarcinilor care le revin, pentru a se asigura coerența aplicării prezentului regulament pe piața
internă. O autoritate de supraveghere care solicită asistență reciprocă poate adopta o măsură
provizorie în cazul în care nu primește un răspuns la o solicitare de asistență reciprocă în termen
de o lună de la primirea solicitării de către cealaltă autoritate de supraveghere.
(134) Fiecare autoritate de supraveghere ar trebui să participe, după caz, la operațiuni
comune între autoritățile de supraveghere. Autoritatea de supraveghere căreia i s-a adresat
solicitarea ar trebui să aibă obligația de a răspunde cererii într-un anumit termen.
(135) Pentru a se asigura aplicarea coerentă a prezentului regulament în întreaga Uniune, ar
trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de
supraveghere să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o
autoritate de supraveghere intenționează să adopte o măsură prevăzută a produce efecte juridice
în ceea ce privește operațiunile de prelucrare care afectează în mod substanțial un număr
semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui să se aplice,
de asemenea, în cazul în care o autoritate de supraveghere vizată sau Comisia solicită ca
aspectul respectiv să fie tratat în cadrul mecanismului pentru asigurarea coerenței. Acest
mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în
exercitarea competențelor care îi revin în temeiul tratatelor.
(136) În aplicarea mecanismului pentru asigurarea coerenței, comitetul ar trebui, într-un
anumit termen, să emită un aviz în cazul în care o majoritate a membrilor săi decide astfel sau

42
în cazul în care orice autoritate de supraveghere vizată sau Comisia solicită acest lucru.
Comitetul ar trebui, de asemenea, să fie împuternicit să adopte decizii obligatorii din punct de
vedere juridic în cazul unor litigii între autoritățile de supraveghere. În acest scop, acesta ar
trebui să emită, în principiu cu o majoritate de două treimi din membrii săi, decizii obligatorii
din punct de vedere juridic, în cazuri bine definite, în cazul în care există opinii divergente între
autoritățile de supraveghere, în special în cadrul mecanismului de cooperare între autoritatea de
supraveghere principală și autoritățile de supraveghere vizate privind fondul cauzei, în special
existența sau nu a unei încălcări a prezentului regulament.
(137) Este posibil să existe o necesitate urgentă de a se acționa pentru asigurarea protecției
drepturilor și libertăților persoanelor vizate, în special în cazul în care există pericolul ca
exercitarea unui drept al unei persoane vizate să fie împiedicată în mod considerabil. Prin
urmare, o autoritate de supraveghere ar trebui să poată adopta măsuri provizorii pe teritoriul
său, justificate în mod corespunzător, având o perioadă de valabilitate determinată care nu ar
trebui să depășească trei luni.
(138) Aplicarea unui astfel de mecanism ar trebui să constituie o condiție pentru legalitatea
unei măsuri destinate să producă efecte juridice, luate de o autoritate de supraveghere, în
cazurile în care aplicarea acesteia este obligatorie. În alte cazuri cu relevanță transfrontalieră,
ar trebui pus în aplicare mecanismul de cooperare între autoritatea de supraveghere principală
și autoritățile de supraveghere vizate, iar între autoritățile de supraveghere vizate s-ar putea
acorda asistență reciprocă și s-ar putea desfășura operațiuni comune pe bază bilaterală sau
multilaterală, fără declanșarea mecanismului pentru asigurarea coerenței.
(139) Cu scopul de a promova aplicarea coerentă a prezentului regulament, comitetul ar
trebui instituit ca organ independent al Uniunii. Pentru a-și îndeplini obiectivele, comitetul ar
trebui să aibă personalitate juridică. Comitetul ar trebui să fie reprezentat de președintele său.
Acesta ar trebui să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește
prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să
fie alcătuit din șefii autorităților de supraveghere din fiecare stat membru și din Autoritatea
Europeană pentru Protecția Datelor sau reprezentanții acestora. Comisia ar trebui să participe
la activitățile comitetului fără a avea drept de vot, iar Autoritatea Europeană pentru Protecția
Datelor ar trebui să aibă drepturi de vot speciale. Comitetul ar trebui să contribuie la aplicarea
coerentă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consiliere
Comisiei, în special cu privire la nivelul de protecție în țările terțe și în cadrul organizațiilor
internaționale, și prin promovarea cooperării autorităților de supraveghere în întreaga Uniune.
Comitetul ar trebui să acționeze în mod independent în îndeplinirea sarcinilor sale.
(140) Comitetul ar trebui să fie asistat de un secretariat asigurat de Autoritatea Europeană
pentru Protecția Datelor. Personalul Autorității Europene pentru Protecția Datelor implicat în
îndeplinirea sarcinilor conferite comitetului în temeiul prezentului regulament ar trebui să își
îndeplinească sarcinile exclusiv conform instrucțiunilor președintelui comitetului și să
raporteze acestuia.
(141) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o singură
autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită,
precum și dreptul la o cale de atac eficientă în conformitate cu articolul 47 din cartă, în cazul în
care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt
încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere, respinge

43
sau refuză parțial sau total o plângere sau nu acționează atunci când o astfel de acțiune este
necesară pentru asigurarea protecției drepturilor persoanei vizate. Investigația în urma unei
plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție
de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluția
și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o
investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se
furnizeze informații intermediare persoanei vizate. În vederea facilitării depunerii plângerilor,
fiecare autoritate de supraveghere ar trebui să ia măsuri precum punerea la dispoziție a unui
formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără
a exclude alte mijloace de comunicare.
(142) În cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului
regulament sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o
organizație sau o asociație fără scop lucrativ care este înființat(ă) în conformitate cu dreptul
intern, ale cărui (cărei) obiective statutare sunt în interesul public și care își desfășoară
activitatea în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere
în numele său la o autoritate de supraveghere, să exercite dreptul la o cale de atac în numele
persoanelor vizate sau, în cazul în care se prevede în dreptul intern, să exercite dreptul de a
primi despăgubiri în numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de
organism, organizație sau asociație să aibă dreptul de a depune o plângere în statul membru
respectiv, independent de mandatul acordat de o persoană vizată, și să aibă dreptul la o cale de
atac eficientă în cazul în care are motive să considere că drepturile unei persoane vizate au fost
încălcate ca rezultat al unei prelucrări a datelor cu caracter personal care încalcă prezentul
regulament. Organismul, organizația sau asociația în cauza nu poate pretinde despăgubiri în
numele unei persoane vizate, independent de mandatul acordat de persoana vizată.
(143) Orice persoană fizică sau juridică are dreptul de a introduce o acțiune în anulare
împotriva deciziilor comitetului în fața Curții de Justiție, în conformitate cu condițiile prevăzute
la articolul 263 din TFUE. În calitate de destinatare ale acestor decizii, autoritățile de
supraveghere vizate care doresc să le conteste trebuie să introducă o acțiune împotriva deciziilor
respective în termen de două luni de la data la care le-au fost notificate, în conformitate cu
articolul 263 din TFUE. În cazul în care deciziile comitetului vizează în mod direct și individual
un operator, o persoană împuternicită de operator sau reclamantul, aceștia din urmă pot
introduce o acțiune în anularea respectivelor decizii în termen de două luni de la publicarea
acestora pe site-ul comitetului, în conformitate cu articolul 263 din TFUE. Fără a aduce atingere
acestui drept în temeiul articolului 263 din TFUE, orice persoană fizică sau juridică ar trebui să
aibă dreptul la o cale de atac judiciară eficientă în fața instanței naționale competente împotriva
unei decizii a unei autorități de supraveghere care produce efecte juridice privind respectiva
persoană. O astfel de decizie se referă în special la exercitarea competențelor de investigare,
corective și de autorizare de către autoritatea de supraveghere sau la refuzul sau respingerea
plângerilor. Cu toate acestea, dreptul la o cale de atac judiciară eficientă nu include măsuri ale
autorităților de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi
avizele emise de autoritatea de supraveghere sau consiliere furnizată de aceasta. Acțiunile
împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului
membru în care este stabilită autoritatea de supraveghere și ar trebui să se desfășoare în
conformitate cu dreptul procesual al statului membru respectiv. Respectivele instanțe ar trebui
să își exercite competența judiciară deplină, care ar trebui să includă competența de a examina
toate aspectele de fapt sau de drept care au relevanță pentru litigiul cu care acestea sunt sesizate.
44
 În cazul în care o plângere a fost respinsă sau refuzată de o autoritate de supraveghere,
reclamantul poate introduce o acțiune la instanțele din același stat membru. În contextul căilor
de atac judiciare privind aplicarea prezentului regulament, instanțele naționale care consideră
necesară o decizie privind chestiunea respectivă pentru a le permite să ia o hotărâre pot sau, în
cazul prevăzut la articolul 267 din TFUE, trebuie să solicite Curții de Justiție să pronunțe o
decizie preliminară privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament.
În plus, în cazul în care o decizie a unei autorități de supraveghere care pune în aplicare o decizie
a comitetului este contestată în fața unei instanțe naționale și este în discuție validitatea deciziei
comitetului, respectiva instanță națională nu are competența de a declara nulă decizia
comitetului, ci trebuie să aducă chestiunea validității în fața Curții de Justiție, în conformitate
cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea de Justiție, ori de câte ori
instanța națională consideră decizia nulă. Cu toate acestea, o instanță națională nu poate să
transmită o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane fizice
sau juridice care a avut posibilitatea de a introduce o acțiune în anulare împotriva respectivei
decizii, în special dacă aceasta era vizată în mod direct și individual de decizia în cauză, dar nu
a făcut acest lucru în termenul prevăzut la articolul 263 din TFUE.
(144) Atunci când o instanță sesizată cu o procedură împotriva unei decizii a unei autorități
de supraveghere are motive să creadă că în fața unei instanțe competente dintr-un alt stat
membru au fost introduse proceduri cu privire la aceeași prelucrare, cum ar fi același obiect al
prelucrării, de către același operator sau aceleeași persoană împuternicită de operator, sau
aceeași cauză, instanța respectivă ar trebui să contacteze cea de a doua instanță pentru a
confirma existența unor astfel de proceduri conexe. În cazul în care aceste proceduri conexe se
află pe rolul unei instanțe dintr-un alt stat membru, orice instanță, cu excepția celei sesizate
inițial, poate să își suspende procedurile sau, la cererea uneia dintre părți, își poate declina
competența în favoarea instanței sesizate inițial, cu condiția ca aceasta din urmă să aibă
competența de a soluționa procedurile în cauză și ca dreptul care i se aplică să îi permită
consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci când sunt
atât de strâns legate între ele încât este oportună instrumentarea și judecarea lor în același timp
pentru a se evita riscul pronunțării unor hotărâri ireconciliabile în cazul judecării lor în mod
separat.
(145) În ceea ce privește acțiunile inițiate împotriva unui operator sau unei persoane
împuternicite de operator, reclamantul ar trebui să aibă posibilitatea de a introduce acțiunea în
fața instanțelor din statele membre în care operatorul sau persoana împuternicită de operator
are un sediu sau în care persoana vizată își are reședința, cu excepția cazului în care operatorul
este o autoritate publică dintr-un stat membru ce acționează în exercitarea competențelor sale
publice.
(146) Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri
pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă
prezentul regulament. Operatorul sau persoana împuternicită de operator ar trebui să fie
exonerați de răspundere dacă dovedesc că nu sunt în niciun fel răspunzători pentru prejudiciu.
Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții
de Justiție, într-un mod care să reflecte pe deplin obiectivele prezentului regulament. Această
dispoziție nu aduce atingere niciunei cereri de despăgubire care rezultă din încălcarea altor
norme din dreptul Uniunii sau din dreptul intern. O prelucrare care încalcă prezentul regulament
include și prelucrarea care încalcă actele delegate și de punere în aplicare adoptate în

45
conformitate cu prezentul regulament și cu dreptul intern care specifică norme din prezentul
regulament. Persoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru
prejudiciul pe care le-au suferit. În cazul în care operatorii sau persoanele împuternicite de
operatori sunt implicate în aceeași prelucrare, fiecare operator sau fiecare persoană
împuternicită de operator ar trebui să fie considerată răspunzătoare pentru întregul prejudiciu.
Cu toate acestea, atunci când procedurile juridice care le vizează sunt conexate, în conformitate
cu dreptul intern, despăgubirile pot fi împărțite în funcție de răspunderea fiecărui operator sau
a fiecărei persoane împuternicite de operator, cu condiția să se asigure despăgubirea integrală
și efectivă a persoanei vizate care a suferit prejudiciul. Orice operator sau persoană
împuternicită de operator care a plătit despăgubiri integrale poate formula ulterior o acțiune în
regres împotriva altor operatori sau persoane împuternicite de operatori implicate în aceeași
prelucrare.
(147) În cazul în care prezentul regulament cuprinde norme specifice privind competența
judiciară, în special în ceea ce privește căile de atac judiciare, inclusiv acțiunile în despăgubiri,
împotriva unui operator sau a unei persoane împuternicite de operator, normele generale privind
competența judiciară precum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului
European și al Consiliului *13) nu ar trebui să aducă atingere aplicării unor astfel de norme
specifice.
(148) Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament,
ar trebui impuse sancțiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului
regulament, pe lângă sau în locul măsurilor adecvate impuse de autoritatea de supraveghere în
temeiul prezentului regulament. În cazul unei încălcări minore sau în cazul în care amenda
susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, poate
fi emis un avertisment în locul unei amenzi. Cu toate acestea, ar trebui să se ia în considerare
în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării,
acțiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări
anterioare relevante, modul în care încălcarea a fost adusă la cunoștința autorității de
supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei
împuternicite de operator, aderarea la un cod de conduită și orice alt factor agravant sau
atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul
unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii
și cu carta, inclusiv o protecție judiciară eficientă și un proces echitabil.
(149) Statele membre ar trebui să poată stabili normele privind sancțiunile penale pentru
încălcările prezentului regulament, inclusiv pentru încălcarea normelor de drept intern adoptate
în temeiul și în limitele prezentului regulament. Respectivele sancțiuni penale pot, de asemenea,
permite privarea de profiturile obținute prin încălcarea prezentului regulament. Cu toate
acestea, impunerea de sancțiuni penale pentru încălcări ale unor asemenea norme de drept intern
și de sancțiuni administrative nu ar trebui să ducă la încălcarea principiului ne bis in idem, astfel
cum a fost interpretat de Curtea de Justiție.
(150) Pentru consolidarea și armonizarea sancțiunilor administrative în cazul încălcării
prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competența de a
impune amenzi administrative. Prezentul regulament ar trebui să indice încălcările, și limita
maximă și criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui să fie
stabilite de autoritatea de supraveghere competentă în fiecare caz în parte, ținând seama de toate

46
circumstanțele relevante ale situației specifice, luându-se în considerare în mod corespunzător,
în special, natura, gravitatea și durata încălcării, precum și consecințele acesteia și măsurile
luate pentru a se asigura respectarea obligațiilor în temeiul prezentului regulament și pentru a
se preveni sau atenua consecințele încălcării. În cazul în care amenzile administrative sunt
impuse unei întreprinderi, o întreprindere ar trebui înțeleasă ca fiind o întreprindere în
conformitate cu articolele 101 și 102 din TFUE în aceste scopuri. În cazul în care se impun
amenzi administrative unor persoane care nu sunt întreprinderi, autoritatea de supraveghere ar
trebui să țină seama de nivelul general al veniturilor din statul membru respectiv, precum și de
situația economică a persoanei atunci când estimează cuantumul adecvat al amenzii.
Mecanismul pentru asigurarea coerenței poate fi, de asemenea, utilizat pentru a promova
aplicarea consecventă a amenzilor administrative. Competența de a stabili dacă și în ce măsură
autoritățile publice ar trebui să facă obiectul unor amenzi administrative ar trebui să revină
statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertizări nu
afectează aplicarea altor competențe ale autorităților de supraveghere sau a altor sancțiuni în
temeiul prezentului regulament.
(151) Sistemele juridice ale Danemarcei și Estoniei nu permit amenzi administrative astfel
cum sunt prevăzute în prezentul regulament. Normele privind amenzile administrative pot fi
aplicate astfel încât, în Danemarca, amenda să fie impusă de instanțele naționale competente ca
sancțiune penală, iar în Estonia amenda să fie impusă de autoritatea de supraveghere în cadrul
unei proceduri privind delictele, cu condiția ca o astfel de aplicare a normelor în statele membre
respective să aibă un efect echivalent cu cel al amenzilor administrative impuse de autoritățile
de supraveghere. Prin urmare, instanțele naționale competente ar trebui să țină seama de
recomandarea autorității de supraveghere care a inițiat amenda. În orice caz, amenzile impuse
ar trebui să fie eficace, proporționale și disuasive.
(152) În cazul în care prezentul regulament nu armonizează sancțiunile administrative sau
în alte cazuri, acolo unde este necesar, de exemplu în cazul unor încălcări grave ale prezentului
regulament, statele membre ar trebui să pună în aplicare un sistem care să prevadă sancțiuni
eficace, proporționale și disuasive. Natura unor astfel de sancțiuni, penale sau administrative,
ar trebui stabilită în dreptul intern.
(153) Dreptul statelor membre ar trebui să stabilească un echilibru între normele care
reglementează libertatea de exprimare și de informare, inclusiv exprimarea jurnalistică,
academică, artistică și/sau literară, și dreptul la protecția datelor cu caracter personal în temeiul
prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice
sau în scopul exprimării academice, artistice sau literare ar trebui să facă obiectul unor derogări
sau al unor excepții de la anumite dispoziții ale prezentului regulament în cazul în care este
necesară stabilirea unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul
la libertatea de exprimare și de informare, astfel cum este prevăzut în articolul 11 din cartă.
Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal în domeniul
audiovizualului, precum și în arhivele de știri și în bibliotecile ziarelor. Prin urmare, statele
membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare
în vederea asigurării echilibrului între aceste drepturi fundamentale. Statele membre ar trebui
să adopte astfel de excepții și derogări în ceea ce privește principiile generale, drepturile
persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu
caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere
independente, cooperarea și coerența, precum și în ceea ce privește situații specifice de

47
prelucrare a datelor. În cazul în care aceste excepții sau derogări diferă de la un stat membru la
altul, ar trebui să se aplice dreptul statului membru sub incidența căruia intră operatorul. Pentru
a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică,
este necesar ca noțiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în
sens larg.
(154) Prezentul regulament permite luarea în considerare a principiului accesului public la
documente oficiale în aplicarea prezentului regulament. Accesul public la documente oficiale
poate fi considerat a fi în interes public. Datele cu caracter personal din documentele deținute
de o autoritate publică sau de un organism public ar trebui să poată fi divulgate de autoritatea
respectivă sau de organismul respectiv în cazul în care dreptul Uniunii sau dreptul intern sub
incidența căruia intră autoritatea publică sau organismul public prevede acest lucru. Dreptul
Uniunii și dreptul intern ar trebui să asigure un echilibru între accesul public la documentele
oficiale și reutilizarea informațiilor din sectorul public, pe de o parte, și dreptul la protecția
datelor cu caracter personal, pe de altă parte, și ar putea prin urmare să prevadă echilibrul
necesar cu dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament.
Trimiterea la autoritățile și organismele publice ar trebui, în acest context, să includă toate
autoritățile sau alte organisme reglementate de dreptul intern privind accesul public la
documente. Directiva 2003/98/CE a Parlamentului European și a Consiliului *14) lasă intact și
nu aduce atingere în niciun fel nivelului de protecție a persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal în conformitate cu dreptul Uniunii și cu cel intern și, în
special, nu modifică drepturile și obligațiile prevăzute de prezentul regulament. În special,
directiva sus-menționată nu se aplică documentelor la care accesul este exclus sau restrâns în
temeiul regimurilor de acces din motive legate de protecția datelor cu caracter personal și nici
părților din documente accesibile în temeiul respectivelor regimuri care conțin date cu caracter
personal a căror reutilizare a fost stabilită prin lege ca fiind incompatibilă cu dreptul privind
protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
(155) Dreptul intern sau acordurile colective, inclusiv "acordurile de muncă", pot prevedea
norme specifice care să reglementeze prelucrarea datelor cu caracter personal ale angajaților în
contextul ocupării unui loc de muncă, în special condițiile în care datele cu caracter personal în
contextul ocupării unui loc de muncă pot fi prelucrate pe baza consimțământului angajatului, în
scopul recrutării, al respectării clauzelor contractului de muncă, inclusiv descărcarea de
obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării
muncii, al egalității și diversității la locul de muncă, al asigurării sănătății și securității la locul
de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de
drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și în scopul încetării
raporturilor de muncă.
(156) Prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în
scopuri de cercetare științifică sau istorică ori în scopuri statistice ar trebui să facă obiectul unor
garanții adecvate pentru drepturile și libertățile persoanei vizate în temeiul prezentului
regulament. Respectivele garanții ar trebui să asigure faptul că au fost instituite măsuri tehnice
și organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a
datelor. Prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare în interes
public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice se efectuează atunci
când operatorul a evaluat fezabilitatea pentru îndeplinirea acestor obiective prin prelucrarea
unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate,

48
cu condiția să existe garanții adecvate (cum ar fi pseudonimizarea datelor cu caracter personal).
Statele membre ar trebui să prevadă garanții adecvate pentru prelucrarea datelor cu caracter
personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică
ori în scopuri statistice. Statele membre ar trebui să fie autorizate să ofere, în anumite condiții
și sub rezerva unor garanții adecvate pentru persoanele vizate, precizări și derogări în ceea ce
privește cererile de informații și dreptul la rectificare, dreptul la ștergere, dreptul de a fi uitat,
dreptul la restricționarea prelucrării,dreptul la portabilitatea datelor, precum și dreptul la
opoziție în cazul prelucrării datelor cu caracter personal în scopuri de arhivare în interes public,
în scopuri de cercetare științifică sau istorică ori în scopuri statistice. Condițiile și garanțiile în
cauză pot genera proceduri specifice astfel încât persoanele vizate să își exercite respectivele
drepturi dacă acest lucru este adecvat în contextul scopurilor vizate de prelucrarea specifică,
precum și măsuri tehnice și organizaționale vizând reducerea la minimum a prelucrării datelor
cu caracter personal, în conformitate cu principiile proporționalității și necesității. Prelucrarea
datelor cu caracter personal în scopuri științifice ar trebui să fie, de asemenea, conformă cu alte
acte legislative relevante, cum ar fi cele privind studiile clinice.
(157) Prin combinarea informațiilor din registre, cercetătorii pot obține noi cunoștințe de
mare valoare în ceea ce privește bolile cu largă răspândire, cum ar fi bolile cardiovasculare,
cancerul și depresia. Pe baza registrelor, rezultatele cercetărilor pot fi întărite, întrucât acestea
se bazează pe o populație mai mare. În domeniul științelor sociale, cercetarea pe baza registrelor
le permite cercetătorilor să obțină informații esențiale despre corelarea pe termen lung a unei
serii de condiții sociale, precum șomajul sau educația, cu alte condiții de viață. Rezultatele
cercetărilor obținute pe baza registrelor furnizează cunoștințe solide, de înaltă calitate, care pot
constitui baza pentru elaborarea și punerea în aplicare a unor politici bazate pe cunoaștere și
care pot îmbunătăți calitatea vieții pentru un număr de persoane, eficiența serviciilor sociale.
Pentru a facilita cercetarea științifică, datele cu caracter personal pot fi prelucrate în scopuri de
cercetare științifică, sub rezerva condițiilor și a garanțiilor corespunzătoare stabilite în dreptul
Uniunii sau în dreptul intern.
(158) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare,
prezentul regulament ar trebui să se aplice și prelucrării respective, ținând seama de faptul că
prezentul regulament nu ar trebui să se aplice persoanelor decedate. Autoritățile publice sau
organismele publice sau private care dețin evidențe de interes public ar trebui, în temeiul
dreptului Uniunii sau al dreptului național, să aibă o obligație legală de a dobândi, a păstra, a
evalua, a pregăti, a descrie, a comunica, a promova, a disemina și a asigura accesul la evidențe
de valoare durabilă de interes public general. Statele membre ar trebui, de asemenea, să poată
să prevadă prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare, de
exemplu cu scopul de a furniza informații specifice referitoare la comportamentul politic în
perioada fostelor regimuri de stat totalitare, la genociduri, la crime împotriva umanității, în
special holocaustul, sau la crime de război.
(159) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare
științifică, prezentul regulament ar trebui să se aplice și prelucrării respective. În sensul
prezentului regulament, prelucrarea datelor cu caracter personal în scopuri de cercetare
științifică ar trebui să fie interpretată în sens larg, incluzând de exemplu dezvoltarea tehnologică
și activitățile demonstrative, cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată
din surse private. Ar trebui, în plus, luat în considerare obiectivul Uniunii de creare a unui
Spațiu european de cercetare, astfel cum este menționat la articolul 179 alineatul (1) din TFUE.

49
Scopurile de cercetare științifică ar trebui să includă, de asemenea, studii efectuate în interes
public în domeniul sănătății publice. Pentru a îndeplini caracteristicile specifice ale prelucrării
datelor cu caracter personal în scopuri de cercetare științifică, ar trebui să se aplice condiții
specifice, în special în ceea ce privește publicarea sau divulgarea într-un alt mod a datelor cu
caracter personal în contextul scopurilor de cercetare științifică. În cazul în care rezultatul
cercetării științifice, în special în contextul sănătății, constituie un motiv pentru măsuri
suplimentare în interesul persoanei vizate, normele generale ale prezentului regulament ar
trebui să se aplice având în vedere aceste măsuri.
(160) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare
istorică, prezentul regulament ar trebui să se aplice și prelucrării respective. Acest lucru ar trebui
să includă, de asemenea, cercetarea istorică și cercetarea în scopuri genealogice, ținând seama
de faptul că prezentul regulament nu ar trebui să se aplice persoanelor decedate.
(161) În scopul acordării consimțământului de a participa la activități de cercetare științifică
în cadrul testelor clinice, ar trebui să se aplice dispozițiile relevante ale Regulamentului (UE)
nr. 536/2014 al Parlamentului European și al Consiliului *15).
(162) În cazul în care datele cu caracter personal sunt prelucrate în scopuri statistice,
prezentul regulament ar trebui să se aplice prelucrării respective. Dreptul Uniunii sau dreptul
intern ar trebui, în limitele prezentului regulament, să determine conținutul statistic, controlul
accesului, specificațiile pentru prelucrarea datelor cu caracter personal în scopuri statistice și
măsurile adecvate pentru a proteja drepturile și libertățile persoanelor vizate și pentru a asigura
confidențialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior în diferite
scopuri, inclusiv în scopuri de cercetare științifică. Scopuri statistice înseamnă orice operațiune
de colectare și prelucrare de date cu caracter personal necesară pentru anchetele statistice sau
pentru producerea de rezultate statistice. Scopurile statistice presupun că rezultatul prelucrării
în scopuri statistice nu constituie date cu caracter personal, ci date agregate și că acest rezultat
sau datele cu caracter personal nu sunt utilizate în sprijinul unor măsuri sau decizii privind o
anumită persoană fizică.
(163) Informațiile confidențiale pe care autoritățile statistice de la nivelul Uniunii și de la
nivel național le colectează în vederea elaborării de statistici europene și naționale oficiale ar
trebui să fie protejate. Statisticile europene ar trebui concepute, elaborate și difuzate în
conformitate cu principiile statistice prevăzute la articolul 338 alineatul (2) din TFUE, în timp
ce statisticile naționale ar trebui, de asemenea, să fie în conformitate cu dreptul intern.
Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului *16) prevede
specificații suplimentare privind confidențialitatea datelor statistice pentru statisticile europene.
(164) În ceea ce privește competențele autorităților de supraveghere de a obține de la
operator sau de la persoana împuternicită de operator accesul la datele cu caracter personal și
accesul în clădirile lor, statele membre pot adopta, pe cale legislativă și în limitele stabilite de
prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor
obligații echivalente, în măsura în care acest lucru este necesar pentru a asigura un echilibru
între dreptul la protecția datelor cu caracter personal și obligația de păstrare a secretului
profesional. Aceasta nu aduce atingere obligațiilor existente ale statelor membre de a adopta
norme privind secretul profesional în situațiile cerute de dreptul Uniunii.

50
 (165) Prezentul regulament respectă și nu aduce atingere statutului de care beneficiază, în
temeiul dreptului constituțional existent, bisericile și asociațiile sau comunitățile religioase din
statele membre, astfel cum este recunoscut în articolul 17 din TFUE.
(166) În vederea îndeplinirii obiectivelor prezentului regulament, și anume protejarea
drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora
la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu
caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul
290 din TFUE ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în
ceea ce privește criteriile și cerințele privind mecanismele de certificare, informațiile care
trebuie prezentate prin pictograme standardizate și procedurile pentru furnizarea unor astfel de
pictograme. Este deosebit de important ca, în cadrul activității sale pregătitoare, Comisia să
organizeze consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează
acte delegate, Comisia ar trebui să asigure transmiterea simultană, la timp și în mod
corespunzător a documentelor relevante către Parlamentul European și către Consiliu.
(167) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului
regulament, Comisia ar trebui învestită cu competențe de executare în situațiile stabilite de
prezentul regulament. Competențele respective ar trebui să fie exercitate în conformitate cu
Regulamentul (UE) nr. 182/2011. În acest context, Comisia ar trebui să ia în considerare măsuri
specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii.
(168) Procedura de examinare ar trebui utilizată pentru adoptarea de acte de punere în
aplicare privind: clauzele contractuale standard dintre operatori și persoanele împuternicite de
operatori, precum și dintre persoanele împuternicite de operatori; codurile de conduită;
standardele tehnice și mecanismele de certificare; nivelul adecvat de protecție oferit de o țară
terță, de un teritoriu sau de un anumit sector de prelucrare din țara terță respectivă, sau de o
organizație internațională; clauzele standard de protecție a datelor; formatele și procedurile
pentru schimbul electronic de informații între operatori, persoanele împuternicite de operatori
și autoritățile de supraveghere pentru regulile corporatiste obligatorii; asistența reciprocă;
precum și modalitățile de realizare a schimbului electronic de informații între autoritățile de
supraveghere, precum și între autoritățile de supraveghere și comitetul.
(169) Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când
dovezile disponibile arată că o țară terță, un teritoriu sau un anumit sector de prelucrare din țara
terță respectivă, sau o organizație internațională nu asigură un nivel de protecție adecvat,
precum și din motive imperative de urgență.
(170) Deoarece obiectivul prezentului regulament, și anume asigurarea unui nivel
echivalent de protecție a persoanelor fizice și libera circulație a datelor cu caracter personal în
întreaga Uniune, nu poate fi realizat în mod satisfăcător de către statele membre dar, având în
vedere amploarea sau efectele acțiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta
poate adopta măsuri în conformitate cu principiul subsidiarității, astfel cum este definit la
articolul 5 din Tratatul privind Uniunea Europeană ("Tratatul UE"). În conformitate cu
principiul proporționalității, astfel cum este definit la articolul respectiv, prezentul regulament
nu depășește ceea ce este necesar pentru realizarea obiectivelor menționate.
(171) Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Prelucrările
în derulare la data aplicării prezentului regulament ar trebui să fie aduse în conformitate cu

51
prezentul regulament în termen de doi ani de la data intrării în vigoare a prezentului regulament.
În cazul în care prelucrările se bazează pe consimțământ în temeiul Directivei 95/46/CE, nu
este necesar ca persoana vizată să își dea încă o dată consimțământul în cazul în care modul în
care consimțământul a fost dat este în conformitate cu condițiile din prezentul regulament, astfel
încât operatorului să i se permită să continue o astfel de prelucrare după data aplicării
prezentului regulament. Deciziile adoptate ale Comisiei și autorizațiile autorităților de
supraveghere emise pe baza Directivei 95/46/CE rămân în vigoare până când vor fi modificate,
înlocuite sau abrogate.
(172) Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu
articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 și a emis un aviz la 7 martie 2012
*17).
(173) Prezentul regulament ar trebui să se aplice tuturor aspectelor referitoare la protecția
drepturilor și libertăților fundamentale legate de prelucrarea datelor cu caracter personal, care
nu fac obiectul unor obligații specifice cu același obiectiv ca cel stabilit în Directiva 2002/58/CE
a Parlamentului European și a Consiliului *18), inclusiv obligațiile privind operatorul și
drepturile persoanelor fizice. Pentru a se clarifica relația dintre prezentul regulament și
Directiva 2002/58/CE, respectiva directivă ar trebui să fie modificată în consecință. După
adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui să fie revizuită în special
pentru a se asigura coerența cu prezentul regulament,

ADOPTĂ PREZENTUL REGULAMENT:

Capitolul I Dispoziții generale

Articolul 1 Obiect și obiective

(1) Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera
circulație a datelor cu caracter personal.
(2) Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale
persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.
(3) Libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi
restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal.

Articolul 2 Domeniul de aplicare material

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total
sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele

52
automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor
sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:
(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii;
(b) de către statele membre atunci când desfășoară activități care intră sub incidența
capitolului 2 al titlului V din Tratatul UE;
(c) de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice;
(d) de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi
penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva
amenințărilor la adresa siguranței publice și al prevenirii acestora.
(3) Pentru prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și
agențiile Uniunii, se aplică Regulamentul (CE) nr. 45/2001.Regulamentul (CE) nr. 45/2001 și
alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu caracter personal
se adaptează la principiile și normele din prezentul regulament în conformitate cu articolul 98.
(4) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special
normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12-
15 din directiva menționată.

Articolul 3 Domeniul de aplicare teritorial

(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul
activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe
teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane
vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care
nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă
se solicită sau nu efectuarea unei plăți de către persoana vizată; sau
(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un
operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul
dreptului internațional public.

Articolul 4 Definiții
În sensul prezentului regulament:

53
 1. "date cu caracter personal" înseamnă orice informații privind o persoană fizică
identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o
persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de
identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator
online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice,
genetice, psihice, economice, culturale sau sociale;
2. "prelucrare" înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu
caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de
mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea,
adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea,
ștergerea sau distrugerea;
3. "restricționarea prelucrării" înseamnă marcarea datelor cu caracter personal stocate cu
scopul de a limita prelucrarea viitoare a acestora;
4. "creare de profiluri" înseamnă orice formă de prelucrare automată a datelor cu caracter
personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte
personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte
privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale,
interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau
deplasările acesteia;
5. "pseudonimizare" înseamnă prelucrarea datelor cu caracter personal într-un asemenea
mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza
informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și
să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea
respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
6. "sistem de evidență a datelor" înseamnă orice set structurat de date cu caracter personal
accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate
după criterii funcționale sau geografice;
7. "operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt
organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a
datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin
dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia
pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
8. "persoană împuternicită de operator" înseamnă persoana fizică sau juridică, autoritatea
publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele
operatorului;
9. "destinatar" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt
organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau
nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter
personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern
nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective

54
respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile
prelucrării;
10. "parte terță" înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau
organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și
persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator,
sunt autorizate să prelucreze date cu caracter personal;
11. "consimțământ" al persoanei vizate înseamnă orice manifestare de voință liberă,
specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-
o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să
fie prelucrate;
12. "încălcarea securității datelor cu caracter personal" înseamnă o încălcare a securității
care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea
neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau
la accesul neautorizat la acestea;
13. "date genetice" înseamnă datele cu caracter personal referitoare la caracteristicile
genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice privind
fiziologia sau sănătatea persoanei respective și care rezultă în special în urma unei analize a
unei mostre de material biologic recoltate de la persoana în cauză;
14. "date biometrice" înseamnă o date cu caracter personal care rezultă în urma unor tehnici
de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale
unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum
ar fi imaginile faciale sau datele dactiloscopice;
15. "date privind sănătatea" înseamnă date cu caracter personal legate de sănătatea fizică
sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistență medicală, care
dezvăluie informații despre starea de sănătate a acesteia;
16. "sediu principal" înseamnă:
(a) în cazul unui operator cu sedii în cel puțin două state membre, locul în care se află
administrația centrală a acestuia în Uniune, cu excepția cazului în care deciziile privind
scopurile și mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al
operatorului din Uniune, sediu care are competența de a dispune punerea în aplicare a acestor
decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal;
(b) în cazul unei persoane împuternicite de operator cu sedii în cel puțin două state membre,
locul în care se află administrația centrală a acesteia în Uniune, sau, în cazul în care persoana
împuternicită de operator nu are o administrație centrală în Uniune, sediul din Uniune al
persoanei împuternicite de operator în care au loc activitățile principale de prelucrare, în
contextul activităților unui sediu al persoanei împuternicite de operator, în măsura în care
aceasta este supusă unor obligații specifice în temeiul prezentului regulament;
17. "reprezentant" înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în
scris de către operator sau persoana împuternicită de operator în temeiul articolului 27, care
reprezintă operatorul sau persoana împuternicită în ceea ce privește obligațiile lor respective
care le revin în temeiul prezentului regulament;

55
 18. "întreprindere" înseamnă o persoană fizică sau juridică ce desfășoară o activitate
economică, indiferent de forma juridică a acesteia, inclusiv parteneriate sau asociații care
desfășoară în mod regulat o activitate economică;
19. "grup de întreprinderi" înseamnă o întreprindere care exercită controlul și întreprinderile
controlate de aceasta;
20. "reguli corporatiste obligatorii" înseamnă politicile în materie de protecție a datelor cu
caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de
operator stabilită pe teritoriul unui stat membru, în ceea ce privește transferurile sau seturile de
transferuri de date cu caracter personal către un operator sau o persoană împuternicită de
operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de
întreprinderi implicate într-o activitate economică comună;
21. "autoritate de supraveghere" înseamnă o autoritate publică independentă instituită de un
stat membru în temeiul articolului 51;
22. "autoritate de supraveghere vizată" înseamnă o autoritate de supraveghere care este
vizată de procesul de prelucrare a datelor cu caracter personal deoarece:
(a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului
membru al autorității de supraveghere respective;
(b) persoanele vizate care își au reședința în statul membru în care se află autoritatea de
supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate
în mod semnificativ de prelucrare; sau
(c) la autoritatea de supraveghere respectivă a fost depusă o plângere;
23. "prelucrare transfrontalieră" înseamnă:
(a) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor
din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator
pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel
puțin două state membre; sau
(b) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui
singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii,
dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ
persoane vizate din cel puțin două state membre;
24. "obiecție relevantă și motivată" înseamnă o obiecție la un proiect de decizie în scopul
de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în
ceea ce privește operatorul sau persoana împuternicită de operator respectă prezentul
regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul
de decizie în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate și,
după caz, libera circulație a datelor cu caracter personal în cadrul Uniunii;
25. "serviciile societății informaționale" înseamnă un serviciu astfel cum este definit la
articolul 1 alineatul (1) litera (b) din Directiva 2015/1535/CE a Parlamentului European și a
Consiliului *19);

56
 26. "organizație internațională" înseamnă o organizație și organismele sale subordonate
reglementate de dreptul internațional public sau orice alt organism care este instituit printr-un
acord încheiat între două sau mai multe țări sau în temeiul unui astfel de acord.

Capitolul II Principii

Articolul 5 Principii legate de prelucrarea datelor cu caracter personal

(1) Datele cu caracter personal sunt:
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată ("legalitate,
echitate și transparență");
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-
un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes
public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată
incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) ("limitări legate
de scop");
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt
prelucrate ("reducerea la minimum a datelor");
(d) exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile
necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere
scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere ("exactitate");
(e) păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu
depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu
caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate
exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică
ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în
aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament
în vederea garantării drepturilor și libertăților persoanei vizate ("limitări legate de stocare");
(f) prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal,
inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a
distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice
corespunzătoare ("integritate și confidențialitate").
(2) Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această
respectare ("responsabilitate").

Articolul 6 Legalitatea prelucrării

(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre
următoarele condiții:

57
 (a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter
personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este
parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine
operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale
altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes
public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o
parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile
fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în
special atunci când persoana vizată este un copil.
Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice
în îndeplinirea atribuțiilor lor.
(2) Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării
normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării
alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la
prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru
alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX.
(3) Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie
prevăzut în:
(a) dreptul Uniunii; sau
(b) dreptul intern care se aplică operatorului.
Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește
prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini
efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului.
Respectivul temei juridic poate conține dispoziții specifice privind adaptarea aplicării normelor
prezentului regulament, printre altele: condițiile generale care reglementează legalitatea
prelucrării de către operator; tipurile de date care fac obiectul prelucrării; persoanele vizate;
entitățile cărora le pot fi divulgate datele și scopul pentru care respectivele date cu caracter
personal pot fi divulgate; limitările legate de scop; perioadele de stocare; și operațiunile și
procedurile de prelucrare, inclusiv măsurile de asigurare a unei prelucrări legale și echitabile
cum sunt cele pentru alte situații concrete de prelucrare astfel cum sunt prevăzute în capitolul
IX. Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este
proporțional cu obiectivul legitim urmărit.
(4) În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal
au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau
dreptul intern, care constituie o măsură necesară și proporțională într-o societate democratică

58
pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili
dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal
au fost colectate inițial, ia în considerare, printre altele:
(a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și
scopurile prelucrării ulterioare preconizate;
(b) contextul în care datele cu caracter personal au fost colectate, în special în ceea ce
privește relația dintre persoanele vizate și operator;
(c) natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale
de date cu caracter personal, în conformitate cu articolul 9, sau în cazul în care sunt prelucrate
date cu caracter personal referitoare la condamnări penale și infracțiuni, în conformitate cu
articolul 10;
(d) posibilele consecințe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
(e) existența unor garanții adecvate, care pot include criptarea sau pseudonimizarea.

Articolul 7 Condiții privind consimțământul

(1) În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în
măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor
sale cu caracter personal.
(2) În cazul în care consimțământul persoanei vizate este dat în contextul unei declarații
scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată
într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor
accesibilă, utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care constituie
o încălcare a prezentului regulament nu este obligatorie.
(3) Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea
consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului
înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este
informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca
acordarea acestuia.
(4) Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât
mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu,
este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal
care nu este necesară pentru executarea acestui contract.

Articolul 8 Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu

serviciile societății informaționale

59
 (1) În cazul în care se aplică articolul 6 alineatul (1) litera (a), în ceea ce privește oferirea
de servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter
personal ale unui copil este legală dacă copilul are cel puțin vârsta de 16 ani. Dacă copilul are
sub vârsta de 16 ani, respectiva prelucrare este legală numai dacă și în măsura în care
consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra
copilului.
Statele membre pot prevedea prin lege o vârstă inferioară în aceste scopuri, cu condiția ca
acea vârstă inferioară să nu fie mai mică de 13 ani.
(2) Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că
titularul răspunderii părintești a acordat sau a autorizat consimțământul, ținând seama de
tehnologiile disponibile.
(3) Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre,
cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un
copil.

Articolul 9 Prelucrarea de categorii speciale de date cu caracter personal

(1) Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau
etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la
sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei
persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea
sexuală ale unei persoane fizice.
(2) Alineatul (1) nu se aplică în următoarele situații:
(a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu
caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care
dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi
ridicată prin consimțământul persoanei vizate;
(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi
specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al
securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul
Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului
intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei
vizate;
(c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale
unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică
de a-și da consimțământul;
(d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de
către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic,
filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la
foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente

60
în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără
consimțământul persoanelor vizate;
(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest
de către persoana vizată;
(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în
instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;
(g) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii
sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la
protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor
fundamentale și a intereselor persoanei vizate;
(h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de
evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de
furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea
sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al
dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva
respectării condițiilor și garanțiilor prevăzute la alineatul (3);
(i) prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum
ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea
de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a
dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede
măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în
special a secretului profesional; sau
(j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare
științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în
baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit,
respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice
pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.
(3) Datele cu caracter personal menționate la alineatul (1) pot fi prelucrate în scopurile
menționate la alineatul (2) litera (h) în cazul în care datele respective sunt prelucrate de către
un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea
acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite
de organisme naționale competente sau de o altă persoană supusă, de asemenea, unei obligații
de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite
de organisme naționale competente.
(4) Statele membre pot menține sau introduce condiții suplimentare, inclusiv restricții, în
ceea ce privește prelucrarea de date genetice, date biometrice sau date privind sănătatea.

Articolul 10 Prelucrarea de date cu caracter personal referitoare la condamnări penale și

infracțiuni

61
 Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau
la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub
controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii
sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor
vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei
autorități de stat.

Articolul 11 Prelucrarea care nu necesită identificare

(1) În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal
nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul
nu are obligația de a păstra, obține sau prelucra informații suplimentare pentru a identifica
persoana vizată în scopul unic al respectării prezentului regulament.
(2) Dacă, în cazurile menționate la alineatul (1) din prezentul articol, operatorul poate
demonstra că nu este în măsură să identifice persoana vizată, operatorul informează persoana
vizată în mod corespunzător, în cazul în care este posibil. În astfel de cazuri, articolele 15-20
nu se aplică, cu excepția cazului în care persoana vizată, în scopul exercitării drepturilor sale în
temeiul respectivelor articole, oferă informații suplimentare care permit identificarea sa.

Capitolul III Drepturile persoanei vizate

Secţiunea 1 Transparență și modalități

Articolul 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a

drepturilor persoanei vizate
(1) Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații
menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare
la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un
limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil.
Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în
format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu
condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.
(2) Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 15-
22. În cazurile menționate la articolul 11 alineatul (2), operatorul nu refuză să dea curs cererii
persoanei vizate de a-și exercita drepturile în conformitate cu articolele 15-22, cu excepția
cazului în care operatorul demonstrează că nu este în măsură să identifice persoana vizată.
(3) Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma
unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate și în orice caz în cel mult o
lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este

62
necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează
persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii,
prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format
electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția
cazului în care persoana vizată solicită un alt format.
(4) Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana
vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele
pentru care nu ia măsuri și la posibilitatea de a depune o plângere în fața unei autorități de
supraveghere și de a introduce o cale de atac judiciară.
(5) Informațiile furnizate în temeiul articolelor 13 și 14 și orice comunicare și orice măsuri
luate în temeiul articolelor 15-22 și 34 sunt oferite gratuit. În cazul în care cererile din partea
unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului
lor repetitiv, operatorul poate:
(a) fie să perceapă o taxă rezonabilă ținând cont de costurile administrative pentru furnizarea
informațiilor sau a comunicării sau pentru luarea măsurilor solicitate;
(b) fie să refuze să dea curs cererii.
În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau
excesiv al cererii.
(6) Fără a aduce atingere articolului 11, în cazul în care are îndoieli întemeiate cu privire la
identitatea persoanei fizice care înaintează cererea menționată la articolele 15-21, operatorul
poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea
persoanei vizate.
(7) Informațiile care urmează să fie furnizate persoanelor vizate în temeiul articolelor 13 și
14 pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor
vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în
vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să
poată fi citite automat.
(8) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 92 în
vederea determinării informațiilor care urmează să fie prezentate de pictograme și a
procedurilor pentru furnizarea de pictograme standardizate.

Secţiunea 2 Informare și acces la date cu caracter personal

Articolul 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt
colectate de la persoana vizată
(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate
de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează
persoanei vizate toate informațiile următoare:

63
 (a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
(b) datele de contact ale responsabilului cu protecția datelor, după caz;
(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al
prelucrării;
(d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terță;
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
(f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către o țară
terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind
caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau 47 sau la articolul
49 alineatul (1) al doilea paragraf, o trimitere la garanțiile adecvate sau corespunzătoare și la
mijloacele de a obține o copie a acestora, în cazul în care acestea au fost puse la dispoziție.
(2) În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu
caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații
suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:
(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu
este posibil, criteriile utilizate pentru a stabili această perioadă;
(b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau
restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la
portabilitatea datelor;
(c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul
9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără
a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea
acestuia;
(d) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală
sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este
obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale
nerespectării acestei obligații;
(f) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la
articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente
privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de
prelucrări pentru persoana vizată.
(3) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal
într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei
vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și
orice informații suplimentare relevante, în conformitate cu alineatul (2).

64
 (4) Alineatele (1), (2) și (3) nu se aplică dacă și în măsura în care persoana vizată deține
deja informațiile respective.

Articolul 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au

fost obținute de la persoana vizată
(1) În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată,
operatorul furnizează persoanei vizate următoarele informații:
(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
(b) datele de contact ale responsabilului cu protecția datelor, după caz;
(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al
prelucrării;
(d) categoriile de date cu caracter personal vizate;
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
(f) dacă este cazul, intenția operatorului de a transfera date cu caracter personal către un
destinatar dintr-o țară terță sau o organizație internațională și existența sau absența unei decizii
a Comisiei privind caracterul adecvat sau, în cazul transferurilor menționate la articolul 46 sau
47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanțiile adecvate sau
corespunzătoare și la mijloacele de a obține o copie a acestora, în cazul în care acestea au fost
puse la dispoziție.
(2) Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate
următoarele informații necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea
ce privește persoana vizată:
(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu
este posibil, criteriile utilizate pentru a stabili această perioadă;
(b) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terță;
(c) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau
restricționarea prelucrării și a dreptului de a se opune prelucrării, precum și a dreptului la
portabilitatea datelor;
(d) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul
9 alineatul (2) litera (a), existența dreptului de a retrage consimțământul în orice moment, fără
a afecta legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea
acestuia;
(e) dreptul de a depune o plângere în fața unei autorități de supraveghere;

65
 (f) sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin
din surse disponibile public;
(g) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la
articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente
privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de
prelucrări pentru persoana vizată.
(3) Operatorul furnizează informațiile menționate la alineatele (1) și (2):
(a) într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare
de o lună, ținându-se seama de circumstanțele specifice în care sunt prelucrate datele cu caracter
personal;
(b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana
vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau
(c) dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel
mai târziu la data la care acestea sunt divulgate pentru prima oară.
(4) În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal
într-un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei
vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și
orice informații suplimentare relevante, în conformitate cu alineatul (2).
(5) Alineatele (1)-(4) nu se aplică dacă și în măsura în care:
(a) persoana vizată deține deja informațiile;
(b) furnizarea acestor informații se dovedește a fi imposibilă sau ar implica eforturi
disproporționate, în special în cazul prelucrării în scopuri de arhivare în interes public, în
scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva condițiilor și a
garanțiilor prevăzute la articolul 89 alineatul (1), sau în măsura în care obligația menționată la
alineatul (1) din prezentul articol este susceptibil să facă imposibilă sau să afecteze în mod grav
realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate
pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea
informațiilor la dispoziția publicului;
(c) obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de
dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a
proteja interesele legitime ale persoanei vizate; sau
(d) în cazul în care datele cu caracter personal trebuie să rămână confidențiale în temeiul
unei obligații statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul
intern, inclusiv al unei obligații legale de a păstra secretul.

Articolul 15 Dreptul de acces al persoanei vizate

66
 (1) Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se
prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele
respective și la următoarele informații:
(a) scopurile prelucrării;
(b) categoriile de date cu caracter personal vizate;
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau
urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale;
(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu
caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această
perioadă;
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter
personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată
sau a dreptului de a se opune prelucrării;
(f) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice
informații disponibile privind sursa acestora;
(h) existența unui proces decizional automatizat incluzând crearea de profiluri, menționat la
articolul 22 alineatele (1) și (4), precum și, cel puțin în cazurile respective, informații pertinente
privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de
prelucrări pentru persoana vizată.
(2) În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o
organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile
adecvate în temeiul articolului 46 referitoare la transfer.
(3) Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării.
Pentru orice alte copii solicitate de persoana vizată, operatorul poate percepe o taxă rezonabilă,
bazată pe costurile administrative. În cazul în care persoana vizată introduce cererea în format
electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt
furnizate într-un format electronic utilizat în mod curent.
(4) Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și
libertăților altora.

Secţiunea 3 Rectificare și ștergere

Articolul 16 Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator, fără întârzieri nejustificate,
rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile

67
în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu
caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

Articolul 17 Dreptul la ștergerea datelor ("dreptul de a fi uitat")

(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu
caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a
șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul
dintre următoarele motive:
(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru
care au fost colectate sau prelucrate;
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în
conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu
există niciun alt temei juridic pentru prelucrarea;
(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există
motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune
prelucrării în temeiul articolului 21 alineatul (2);
(d) datele cu caracter personal au fost prelucrate ilegal;
(e) datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care
revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se
află operatorul;
(f) datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale
societății informaționale menționate la articolul 8 alineatul (1).
(2) În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat, în
temeiul alineatului (1), să le șteargă, operatorul, ținând seama de tehnologia disponibilă și de
costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii
care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către
acești operatori a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale
acestor date cu caracter personal.
(3) Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară:
(a) pentru exercitarea dreptului la liberă exprimare și la informare;
(b) pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului
Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini
executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit
operatorul;
(c) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 9
alineatul (2) literele (h) și (i) și cu articolul 9 alineatul (3);
(d) în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori
în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul

68
menționat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav
realizarea obiectivelor prelucrării respective; sau
(e) pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Articolul 18 Dreptul la restricționarea prelucrării

(1) Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării
în cazul în care se aplică unul din următoarele cazuri:
(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite
operatorului să verifice exactitatea datelor;
(b) prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter
personal, solicitând în schimb restricționarea utilizării lor;
(c) operatorul nu mai are nevoie de datele cu caracter personal în scopul prelucrării, dar
persoana vizată i le solicită pentru constatarea, exercitarea sau apărarea unui drept în instanță;
sau
(d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru
intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra
celor ale persoanei vizate.
(2) În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de date
cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul
persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau
pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public
important al Uniunii sau al unui stat membru.
(3) O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1) este
informată de către operator înainte de ridicarea restricției de prelucrare.

Articolul 19 Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter

personal sau restricționarea prelucrării
Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter
personal orice rectificare sau ștergere a datelor cu caracter personal sau restricționare a
prelucrării efectuate în conformitate cu articolul 16, articolul 17 alineatul (1) și articolul 18, cu
excepția cazului în care acest lucru se dovedește imposibil sau presupune eforturi
disproporționate. Operatorul informează persoana vizată cu privire la destinatarii respectivi
dacă persoana vizată solicită acest lucru.

Articolul 20 Dreptul la portabilitatea datelor

69
 (1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe
care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi
citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea
operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:
(a) prelucrarea se bazează pe consimțământ în temeiul articolului 6 alineatul (1) litera (a)
sau al articolului 9 alineatul (2) litera (a) sau pe un contract în temeiul articolului 6 alineatul (1)
litera (b); și
(b) prelucrarea este efectuată prin mijloace automate.
(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana
vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul
acolo unde acest lucru este fezabil din punct de vedere tehnic.
(3) Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere
articolului 17. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei
sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este
învestit operatorul.
(4) Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

Secţiunea 4 Dreptul la opoziție și procesul decizional individual automatizat

Articolul 21 Dreptul la opoziție

(1) În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația
particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f), a
datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor
dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care
operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care
prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este
constatarea, exercitarea sau apărarea unui drept în instanță.
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct,
persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu
caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de
marketingul direct respectiv.
(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct,
datele cu caracter personal nu mai sunt prelucrate în acest scop.
(4) Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la
alineatele (1) și (2) este adus în mod explicit în atenția persoanei vizate și este prezentat în mod
clar și separat de orice alte informații.

70
 (5) În contextual utilizării serviciilor societății informaționale și în pofida Directivei
2002/58/CE, persoana vizată își poate exercita dreptul de a se opune prin mijloace automate
care utilizează specificații tehnice.
(6) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare
științifică sau istorică sau în scopuri statistice în conformitate cu articolul 89 alineatul (1),
persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării
datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară
pentru îndeplinirea unei sarcini din motive de interes public.

Articolul 22 Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe
prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc
persoana vizată sau o afectează în mod similar într-o măsură semnificativă.
(2) Alineatul (1) nu se aplică în cazul în care decizia:
(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un
operator de date;
(b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care
prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și
intereselor legitime ale persoanei vizate; sau
(c) are la bază consimțământul explicit al persoanei vizate.
(3) În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în
aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime
ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea
operatorului, de a-și exprima punctul de vedere și de a contesta decizia.
(4) Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter
personal menționate la articolul 9 alineatul (1), cu excepția cazului în care se aplică articolul 9
alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru
protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.

Secţiunea 5 Restricții

Articolul 23 Restricții
(1) Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei
împuternicite de operator poate restricționa printr-o măsură legislativă domeniul de aplicare al
obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura

71
în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22,
atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și
constituie o măsură necesară și proporțională într-o societate democratică, pentru a asigura:
(a) securitatea națională;
(b) apărarea;
(c) securitatea publică;
(d) prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea
sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și
prevenirea acestora;
(e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru,
în special un interes economic sau financiar important al Uniunii sau al unui stat membru,
inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității
sociale;
(f) protejarea independenței judiciare și a procedurilor judiciare;
(g) prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul
profesiilor reglementate;
(h) funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de
exercitarea autorității oficiale în cazurile menționate la literele (a)-(e) și (g);
(i) protecția persoanei vizate sau a drepturilor și libertăților altora;
(j) punerea în aplicare a pretențiilor de drept civil.
(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice
cel puțin, dacă este cazul, în ceea ce privește:
(a) scopurile prelucrării sau ale categoriilor de prelucrare;
(b) categoriile de date cu caracter personal;
(c) domeniul de aplicare al restricțiilor introduse;
(d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;
(e) menționarea operatorului sau a categoriilor de operatori;
(f) perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare
și scopurile prelucrării sau ale categoriilor de prelucrare;
(g) riscurile pentru drepturile și libertăților persoanelor vizate; și
(h) dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului
în care acest lucru poate aduce atingere scopului restricției.

Capitolul IV Operatorul și persoana împuternicită de operator

72
 Secţiunea 1 Obligații generale

Articolul 24 Responsabilitatea operatorului

(1) Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum
și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile
persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru
a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu
prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.
(2) Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile
menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate
de protecție a datelor.
(3) Aderarea la coduri de conduită aprobate, menționate la articolul 40, sau la un mecanism
de certificare aprobat, menționat la articolul 42, poate fi utilizată ca element care să demonstreze
respectarea obligațiilor de către operator.

Articolul 25 Asigurarea protecției datelor începând cu momentul conceperii și în mod

implicit
(1) Având în vedere stadiul actual al tehnologiei, costurile implementării, și natura,
domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de
probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă
prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al
prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi
pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție
a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul
prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile
persoanelor vizate.
(2) Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura
că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru
fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate,
gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel
de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără
intervenția persoanei, de un număr nelimitat de persoane.
(3) Un mecanism de certificare aprobat în conformitate cu articolul 42 poate fi utilizat drept
element care să demonstreze îndeplinirea cerințelor prevăzute la alineatele (1) și (2) ale
prezentului articol.

73
 Articolul 26 Operatori asociați
(1) În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele
de prelucrare, aceștia sunt operatori asociați. Ei stabilesc într-un mod transparent
responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul
prezentului regulament, în special în ceea ce privește exercitarea drepturilor persoanelor vizate
și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolele 13 și 14, prin
intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile
operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora.
Acordul poate să desemneze un punct de contact pentru persoanele vizate.
(2) Acordul menționat la alineatul (1) reflectă în mod adecvat rolurile și raporturile
respective ale operatorilor asociați față de persoanele vizate. Esența acestui acord este făcută
cunoscută persoanei vizate.
(3) Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își poate
exercita drepturile în temeiul prezentului regulament cu privire la și în raport cu fiecare dintre
operatori.

Articolul 27 Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care

nu își au sediul în Uniune
(1) În cazul în care se aplică articolul 3 alineatul (2), operatorul sau persoana împuternicită
de operator desemnează în scris un reprezentant în Uniune.
(2) Obligația prevăzută la alineatul (1) din prezentul articol nu se aplică:
(a) prelucrării care are un caracter ocazional, care nu include, pe scară largă, prelucrarea
unor categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau prelucrarea
unor date cu caracter personal referitoare la condamnări penale și infracțiuni menționată la
articolul 10, și care este puțin susceptibilă de a genera un risc pentru drepturile și libertățile
persoanelor, ținând cont de natura, contextul, domeniul de aplicare și scopurile prelucrării; sau
(b) unei autorități sau unui organism public.
(3) Reprezentantul își are sediul în unul dintre statele membre în care se află persoanele
vizate ale căror date cu caracter personal sunt prelucrate în legătură cu furnizarea de bunuri și
servicii sau al căror comportament este monitorizat.
(4) Reprezentantul primește din partea operatorului sau a persoanei împuternicite de
operator un mandat prin care autoritățile de supraveghere și persoanele vizate, în special, se pot
adresa reprezentantului, în plus față de operator sau persoana împuternicită de operator sau în
locul acestora, cu privire la toate chestiunile legate de prelucrarea, în scopul asigurării
respectării prezentului regulament.
(5) Desemnarea unui reprezentant de către operator sau persoana împuternicită de operator
nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului sau
persoanei împuternicite de operator înseși.

74
 Articolul 28 Persoana împuternicită de operator
(1) În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul
recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare
a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele
prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.
(2) Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de
operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea
operatorului. În cazul unei autorizații generale scrise, persoana împuternicită de operator
informează operatorul cu privire la orice modificări preconizate privind adăugarea sau
înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de
a formula obiecții față de aceste modificări.
(3) Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un
contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter
obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește
obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și
categoriile de persoane vizate și obligațiile și drepturile operatorului. Respectivul contract sau
act juridic prevede în special că persoană împuternicită de operator:
(a) prelucrează datele cu caracter personal numai pe baza unor instrucțiuni documentate din
partea operatorului, inclusiv în ceea ce privește transferurile de date cu caracter personal către
o țară terță sau o organizație internațională, cu excepția cazului în care această obligație îi revine
persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în
acest caz, notifică această obligație juridică operatorului înainte de prelucrare, cu excepția
cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de
interesul public;
(b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat
să respecte confidențialitatea sau au o obligație statutară adecvată de confidențialitate;
(c) adoptă toate măsurile necesare în conformitate cu articolul 32;
(d) respectă condițiile menționate la alineatele (2) și (4) privind recrutarea unei alte persoane
împuternicite de operator;
(e) ținând seama de natura prelucrării, oferă asistență operatorului prin măsuri tehnice și
organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligației
operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor
prevăzute în capitolul III;
(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 32-36, ținând
seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de
operator;
(g) la alegerea operatorului, șterge sau returnează operatorului toate datele cu caracter
personal după încetarea furnizării serviciilor legate de prelucrare și elimină copiile existente,

75
cu excepția cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter
personal;
(h) pune la dispoziția operatorului toate informațiile necesare pentru a demonstra
respectarea obligațiilor prevăzute la prezentul articol, permite desfășurarea auditurilor, inclusiv
a inspecțiilor, efectuate de operator sau alt auditor mandatat și contribuie la acestea.
În ceea ce privește primul paragraf litera (h), persoana împuternicită de operator informează
imediat operatorul în cazul în care, în opinia sa, o instrucțiune încalcă prezentul regulament sau
alte dispoziții din dreptul intern sau din dreptul Uniunii referitoare la protecția datelor.
(4) În cazul în care o persoană împuternicită de un operator recrutează o altă persoană
împuternicită pentru efectuarea de activități de prelucrare specifice în numele operatorului,
aceleași obligații privind protecția datelor prevăzute în contractul sau în alt act juridic încheiat
între operator și persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin
celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic,
în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanții suficiente
pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât
prelucrarea să îndeplinească cerințele prezentului regulament. În cazul în care această a doua
persoană împuternicită nu își respectă obligațiile privind protecția datelor, persoana
împuternicită inițială rămâne pe deplin răspunzătoare față de operator în ceea ce privește
îndeplinirea obligațiilor acestei a doua persoane împuternicite.
(5) Aderarea persoanei împuternicite de operator la un cod de conduită aprobat, menționat
la articolul 40, sau la un mecanism de certificare aprobat, menționat la articolul 42, poate fi
utilizată ca element prin care să se demonstreze existența garanțiilor suficiente menționate la
alineatele (1) și (4) din prezentul articol.
(6) Fără a aduce atingere unui contract individual încheiat între operator și persoana
împuternicită de operator, contractul sau celălalt act juridic menționat la alineatele (3) și (4) din
prezentul articol se poate baza, integral sau parțial, pe clauze contractuale standard menționate
la alineatele (7) și (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare
acordată operatorului sau persoanei împuternicite de operator în temeiul articolelor 42 și 43.
(7) Comisia poate să prevadă clauze contractuale standard pentru aspectele menționate la
alineatele (3) și (4) din prezentul articol și în conformitate cu procedura de examinare
menționată la articolul 93 alineatul (2).
(8) O autoritate de supraveghere poate să adopte clauze contractuale standard pentru
aspectele menționate la alineatele (3) și (4) din prezentul articol și în conformitate cu
mecanismul pentru asigurarea coerenței menționat la articolul 63.
(9) Contractul sau celălalt act juridic menționat la alineatele (3) și (4) se formulează în scris,
inclusiv în format electronic.
(10) Fără a aduce atingere articolelor 82, 83 și 84, în cazul în care o persoană împuternicită
de operator încalcă prezentul regulament, prin stabilirea scopurilor și mijloacelor de prelucrare
a datelor cu caracter personal, persoana împuternicită de operator este considerată a fi un
operator în ceea ce privește prelucrarea respectivă.

76
 Articolul 29 Desfășurarea activității de prelucrare sub autoritatea operatorului sau a
persoanei împuternicite de operator
Persoana împuternicită de operator și orice persoană care acționează sub autoritatea
operatorului sau a persoanei împuternicite de operator care are acces la date cu caracter personal
nu le prelucrează decât la cererea operatorului, cu excepția cazului în care dreptul Uniunii sau
dreptul intern îl obligă să facă acest lucru.

Articolul 30 Evidențele activităților de prelucrare

(1) Fiecare operator și, după caz, reprezentantul acestuia păstrează o evidență a activităților
de prelucrare desfășurate sub responsabilitatea lor. Respectiva evidență cuprinde toate
următoarele informații:
(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale
reprezentantului operatorului și ale responsabilului cu protecția datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter
personal, inclusiv destinatarii din țări terțe sau organizații internaționale;
(e) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o
organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale
respective și, în cazul transferurilor menționate la articolul 49 alineatul (1) al doilea paragraf,
documentația care dovedește existența unor garanții adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor
categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
securitate menționate la articolul 32 alineatul (1).
(2) Fiecare persoană împuternicită de operator și, după caz, reprezentantul persoanei
împuternicite de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare
desfășurate în numele operatorului, care cuprind:
(a) numele și datele de contact ale persoanei sau persoanelor împuternicite de operator și
ale fiecărui operator în numele căruia acționează această persoană (aceste persoane), precum și,
după caz, ale reprezentantului operatorului sau ale reprezentantului persoanei împuternicite de
operator, și ale responsabilului cu protecția datelor;
(b) categoriile de activități de prelucrare desfășurate în numele fiecărui operator;
(c) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o
organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale
respective și, în cazul transferurilor prevăzute la articolul 49 alineatul (1) al doilea paragraf,
documentația care dovedește existența unor garanții adecvate;

77
 (d) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de
securitate menționate la articolul 32 alineatul (1).
(3) Evidențele menționate la alineatele (1) și (2) se formulează în scris, inclusiv în format
electronic.
(4) Operatorul sau persoana împuternicită de acesta, precum și, după caz, reprezentantul
operatorului sau al persoanei împuternicite de operator pun evidențele la dispoziția autorității
de supraveghere, la cererea acesteia.
(5) Obligațiile menționate la alineatele 1 și 2 nu se aplică unei întreprinderi sau organizații
cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează
este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate,
prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se
prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnări
penale și infracțiuni, astfel cum se menționează la articolul 10.

Articolul 31 Cooperarea cu autoritatea de supraveghere

Operatorul și persoana împuternicită de operator și, după caz, reprezentantul acestora
cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor acesteia.

Secţiunea 2 Securitatea datelor cu caracter personal

Articolul 32 Securitatea prelucrării

(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul
de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate
și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana
împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea
asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:
(a) pseudonimizarea și criptarea datelor cu caracter personal;
(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența
continue ale sistemelor și serviciilor de prelucrare;
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea
în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
(d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor
tehnice și organizatorice pentru a garanta securitatea prelucrării.
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile
prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea,

78
pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter
personal transmise, stocate sau prelucrate într-un alt mod.
(3) Aderarea la un cod de conduită aprobat, menționat la articolul 40, sau la un mecanism
de certificare aprobat, menționat la articolul 42, poate fi utilizată ca element prin care să se
demonstreze îndeplinirea cerințelor prevăzute la alineatul (1) din prezentul articol.
(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice
persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de
operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea
operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii
sau al dreptului intern.

Articolul 33 Notificarea autorității de supraveghere în cazul încălcării securității datelor cu

caracter personal
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul
notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără
întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a
luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc
pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea către autoritatea de
supraveghere nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată
pentru întârziere.
(2) Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate
după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.
(3) Notificarea menționată la alineatul (1) cel puțin:
(a) descrie caracterul încălcării securității datelor cu caracter personal, inclusiv, acolo unde
este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și
categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
(b) comunică numele și datele de contact ale responsabilului cu protecția datelor sau un alt
punct de contact de unde se pot obține mai multe informații;
(c) descrie consecințele probabile ale încălcării securității datelor cu caracter personal;
(d) descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema
încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea
eventualelor sale efecte negative.
(4) Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același
timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
(5) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității
datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc
încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de

79
remediere întreprinse. Această documentație permite autorității de supraveghere să verifice
conformitatea cu prezentul articol.

Articolul 34 Informarea persoanei vizate cu privire la încălcarea securității datelor cu

caracter personal
(1) În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să
genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează
persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
(2) În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul articol
se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu
caracter personal, precum și cel puțin informațiile și măsurile menționate la articolul 33
alineatul (3) literele (b), (c) și (d).
(3) Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care
oricare dintre următoarele condiții este îndeplinită:
(a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar
aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea
securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu
caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze,
cum ar fi criptarea;
(b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile
și libertățile persoanelor vizate menționat la alineatul (1) nu mai este susceptibil să se
materializeze;
(c) ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare
publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel
de eficace.
(4) În cazul în care operatorul nu a comunicat deja încălcarea securității datelor cu caracter
personal către persoana vizată, autoritatea de supraveghere, după ce a luat în considerare
probabilitatea ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat,
poate să îi solicite acestuia să facă acest lucru sau poate decide că oricare dintre condițiile
menționate la alineatul (3) sunt îndeplinite.

Secţiunea 3 Evaluarea impactului asupra protecției datelor și consultarea prealabilă

Articolul 35 Evaluarea impactului asupra protecției datelor

(1) Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul
în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil

80
să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul
efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute
asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de
operațiuni de prelucrare similare care prezintă riscuri ridicate similare.
(2) La realizarea unei evaluări a impactului asupra protecției datelor, operatorul solicită
avizul responsabilului cu protecția datelor, dacă acesta a fost desemnat.
(3) Evaluarea impactului asupra protecției datelor menționată la alineatul (1) se impune mai
ales în cazul:
(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane
fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza
unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod
similar într-o măsură semnificativă;
(b) prelucrării pe scară largă a unor categorii speciale de date, menționată la articolul 9
alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni,
menționată la articolul 10; sau
(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
(4) Autoritatea de supraveghere întocmește și publică o listă a tipurilor de operațiuni de
prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției
datelor, în conformitate cu alineatul (1). Autoritatea de supraveghere comunică aceste liste
comitetului menționat la articolul 68.
(5) Autoritatea de supraveghere poate, de asemenea, să stabilească și să pună la dispoziția
publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară o evaluare
a impactului asupra protecției datelor. Autoritatea de supraveghere comunică aceste liste
comitetului.
(6) Înainte de adoptarea listelor menționate la alineatele (4) și (5), autoritatea de
supraveghere competentă aplică mecanismul pentru asigurarea coerenței menționat la articolul
63 în cazul în care aceste liste implică activități de prelucrare care presupun furnizarea de bunuri
sau prestarea de servicii către persoane vizate sau monitorizarea comportamentului acestora în
mai multe state membre ori care pot afecta în mod substanțial libera circulație a datelor cu
caracter personal în cadrul Uniunii.
(7) Evaluarea conține cel puțin:
(a) o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor
prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
(b) o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu
aceste scopuri;
(c) o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la
alineatul (1); și
(d) măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de
securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să

81
demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare
drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.
(8) La evaluarea impactului operațiunilor de prelucrare efectuate de operatorii sau de
persoanele împuternicite de operatori relevante, se are în vedere în mod corespunzător
respectarea de către operatorii sau persoanele împuternicite respective a codurilor de conduită
aprobate menționate la articolul 40, în special în vederea unei evaluări a impactului asupra
protecției datelor.
(9) Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al
reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției
intereselor comerciale sau publice ori securității operațiunilor de prelucrare.
(10) Atunci când prelucrarea în temeiul articolului 6 alineatul (1) litera (c) sau (e) are un
temei juridic în dreptul Uniunii sau al unui stat membru sub incidența căruia intră operatorul,
iar dreptul respectiv reglementează operațiunea de prelucrare specifică sau setul de operațiuni
specifice în cauză și deja s-a efectuat o evaluare a impactului asupra protecției datelor ca parte
a unei evaluări a impactului generale în contextul adoptării respectivului temei juridic,
alineatele (1)-(7) nu se aplică, cu excepția cazului în care statele membre consideră că este
necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare.
(11) Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă
prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin
atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.

Articolul 36 Consultarea prealabilă

(1) Operatorul consultă autoritatea de supraveghere înainte de prelucrarea atunci când
evaluarea impactului asupra protecției datelor prevăzută la articolul 35 indică faptul că
prelucrarea ar genera un risc ridicat în absența unor măsuri luate de operator pentru atenuarea
riscului.
(2) Atunci când consideră că prelucrarea prevăzută menționată la alineatul (1) ar încălca
prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură
suficientă de către operator, autoritatea de supraveghere oferă consiliere în scris operatorului și,
după caz, persoanei împuternicite de operator, în cel mult opt săptămâni de la primirea cererii
de consultare, și își poate utiliza oricare dintre competențele menționate la articolul 58. Această
perioadă poate fi prelungită cu șase săptămâni, ținându-se seama de complexitatea prelucrării
prevăzute. Autoritatea de supraveghere informează operatorul și, după caz, persoana
împuternicită de operator, în termen de o lună de la primirea cererii, cu privire la orice astfel de
prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până când
autoritatea de supraveghere a obținut informațiile pe care le-a solicitat în scopul consultării.
(3) Atunci când consultă autoritatea de supraveghere în conformitate cu alineatul (1),
operatorul îi furnizează acesteia:

82
 (a) dacă este cazul, responsabilitățile respective ale operatorului, ale operatorilor asociați și
ale persoanelor împuternicite de operator implicate în activitățile de prelucrare, în special pentru
prelucrarea în cadrul unui grup de întreprinderi;
(b) scopurile și mijloacele prelucrării preconizate;
(c) măsurile și garanțiile prevăzute pentru protecția drepturilor și libertăților persoanelor
vizate, în conformitate cu prezentul regulament;
(d) dacă este cazul, datele de contact ale responsabilului cu protecția datelor;
(e) evaluarea impactului asupra protecției datelor prevăzută la articolul 35; și
(f) orice alte informații solicitate de autoritatea de supraveghere.
(4) Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a
unei propuneri de măsură legislativă care urmează să fie adoptată de un parlament național sau
a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la
prelucrarea.
(5) În pofida alineatului (1), dreptul intern poate impune operatorilor să se consulte cu
autoritatea de supraveghere și să obțină în prealabil autorizarea din partea acesteia în legătură
cu prelucrarea de către un operator în vederea îndeplinirii unei sarcini exercitate de acesta în
interes public, inclusiv prelucrarea în legătură cu protecția socială și sănătatea publică.

Secţiunea 4 Responsabilul cu protecția datelor

Articolul 37 Desemnarea responsabilului cu protecția datelor

(1) Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția
datelor ori de câte ori:
(a) prelucrarea este efectuată de o autoritate sau un organism public, cu excepția instanțelor
care acționează în exercițiul funcției lor jurisdicționale;
(b) activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor,
necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă; sau
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de operator
constau în prelucrarea pe scară largă a unor categorii speciale de date în temeiul articolului 9
sau a unor date cu caracter personal referitoare la condamnări penale și infracțiuni, menționată
la articolul 10.
(2) Un grup de întreprinderi poate numi un responsabil cu protecția datelor unic, cu condiția
ca responsabilul cu protecția datelor să fie ușor accesibil din fiecare întreprindere.
(3) În cazul în care operatorul sau persoana împuternicită de operator este o autoritate
publică sau un organism public, poate fi desemnat un responsabil cu protecția datelor unic

83
pentru mai multe dintre aceste autorități sau organisme, luând în considerare structura
organizatorică și dimensiunea acestora.
(4) În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana
împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori
sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau
dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor.
Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte
organisme care reprezintă operatori sau persoane împuternicite de operatori.
(5) Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în
special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor,
precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39.
(6) Responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau
persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract
de servicii.
(7) Operatorul sau persoana împuternicită de operator publică datele de contact ale
responsabilului cu protecția datelor și le comunică autorității de supraveghere.

Articolul 38 Funcția responsabilului cu protecția datelor

(1) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția
datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția
datelor cu caracter personal.
(2) Operatorul și persoana împuternicită de operator sprijină responsabilul cu protecția
datelor în îndeplinirea sarcinilor menționate la articolul 39, asigurându-i resursele necesare
pentru executarea acestor sarcini, precum și accesarea datelor cu caracter personal și a
operațiunilor de prelucrare, și pentru menținerea cunoștințelor sale de specialitate.
(3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția
datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini.
Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator
pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața
celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4) Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate
chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în temeiul
prezentului regulament.
(5) Responsabilul cu protecția datelor are obligația de a respecta secretul sau
confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul
Uniunii sau cu dreptul intern.
(6) Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul
sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu
generează un conflict de interese.
84
 Articolul 39 Sarcinile responsabilului cu protecția datelor
(1) Responsabilul cu protecția datelor are cel puțin următoarele sarcini:
(a) informarea și consilierea operatorului, sau a persoanei împuternicite de operator, precum
și a angajaților care se ocupă de prelucrare cu privire la obligațiile care le revin în temeiul
prezentului regulament și al altor dispoziții de drept al Uniunii sau drept intern referitoare la
protecția datelor;
(b) monitorizarea respectării prezentului regulament, a altor dispoziții de drept al Uniunii
sau de drept intern referitoare la protecția datelor și a politicilor operatorului sau ale persoanei
împuternicite de operator în ceea ce privește protecția datelor cu caracter personal, inclusiv
alocarea responsabilităților și acțiunile de sensibilizare și de formare a personalului implicat în
operațiunile de prelucrare, precum și auditurile aferente;
(c) furnizarea de consiliere la cerere în ceea ce privește evaluarea impactului asupra
protecției datelor și monitorizarea funcționării acesteia, în conformitate cu articolul 35;
(d) cooperarea cu autoritatea de supraveghere;
(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind
aspectele legate de prelucrare, inclusiv consultarea prealabilă menționată la articolul 36, precum
și, dacă este cazul, consultarea cu privire la orice altă chestiune.
(2) În îndeplinirea sarcinilor sale, responsabilul cu protecția datelor ține seama în mod
corespunzător de riscul asociat operațiunilor de prelucrare, luând în considerare natura,
domeniul de aplicare, contextul și scopurile prelucrării.

Secţiunea 5 Coduri de conduită și certificare

Articolul 40 Coduri de conduită

(1) Statele membre, autoritățile de supraveghere, comitetul și Comisia încurajează
elaborarea de coduri de conduită menite să contribuie la buna aplicare a prezentului regulament,
ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare și de nevoile
specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii.
(2) Asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane
împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele
existente, în scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi în ceea
ce privește:
(a) prelucrarea în mod echitabil și transparent;
(b) interesele legitime urmărite de operatori în contexte specifice;

85
 (c) colectarea datelor cu caracter personal;
(d) pseudonimizarea datelor cu caracter personal;
(e) informarea publicului și a persoanelor vizate;
(f) exercitarea drepturilor persoanelor vizate;
(g) informarea și protejarea copiilor și modalitatea în care trebuie obținut consimțământul
titularilor răspunderii părintești asupra copiilor;
(h) măsurile și procedurile menționate la articolele 24 și 25 și măsurile de asigurare a
securității prelucrării, menționate la articolul 32;
(i) notificarea autorităților de supraveghere cu privire la încălcările securității datelor cu
caracter personal și informarea persoanelor vizate cu privire la aceste încălcări;
(j) transferul de date cu caracter personal către țări terțe sau organizații internaționale; sau
(k) proceduri extrajudiciare și alte proceduri de soluționare a litigiilor pentru soluționarea
litigiilor între operatori și persoanele vizate în ceea ce privește prelucrarea, fără a aduce atingere
drepturilor persoanelor vizate, în temeiul articolelor 77 și 79.
(3) La codurile de conduită aprobate în temeiul alineatului (5) din prezentul articol și care
au o valabilitate generală în temeiul alineatului (9) din prezentul articol pot adera nu numai
operatorii sau persoanele împuternicite de operatori care fac obiectul prezentului regulament,
ci și operatorii sau persoanele împuternicite de operatori care nu fac obiectul prezentului
regulament în temeiul articolului 3, în scopul de a oferi garanții adecvate în cadrul transferurilor
de date cu caracter personal către țări terțe sau organizații internaționale în condițiile menționate
la articolul 46 alineatul (2) litera (e). Acești operatori sau persoane împuternicite de operatori
își asumă angajamente cu caracter obligatoriu și executoriu, prin intermediul unor instrumente
contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării
garanțiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(4) Codul de conduită prevăzut la alineatul (2) din prezentul articol cuprinde mecanisme
care permit organismului menționat la articolul 41 alineatul (1) să efectueze monitorizarea
obligatorie a respectării dispozițiilor acestuia de către operatorii sau persoanele împuternicite
de operatori care se angajează să îl aplice, fără a aduce atingere sarcinilor și competențelor
autorităților de supraveghere care sunt competente în temeiul articolului 55 sau 56.
(5) Asociațiile și alte organisme menționate la alineatul (2) din prezentul articol care
intenționează să pregătească un cod de conduită sau să modifice sau să extindă un cod existent
transmit proiectul de cod, de modificare sau de extindere autorității de supraveghere care este
competentă în temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu privire la
conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere și
îl aprobă în cazul în care se constată că acesta oferă garanții adecvate suficiente.
(6) În cazul în care proiectul de cod, de modificare sau de extindere este aprobat în
conformitate cu alineatul (5), iar codul de conduită în cauză nu are legătură cu activitățile de
prelucrare din mai multe state membre, autoritatea de supraveghere înregistrează și publică
codul.

86
 (7) În cazul în care un proiect de cod de conduită, de modificare sau de extindere are legătură
cu activitățile de prelucrare din mai multe state membre, înainte de aprobare, autoritatea de
supraveghere competentă în temeiul articolului 55 îl transmite, prin procedura menționată la
articolul 63, comitetului, care emite un aviz cu privire la conformitatea cu prezentul regulament
a proiectului respectiv, sau, în situația menționată la alineatul (3) din prezentul articol, oferă
garanții adecvate.
(8) În cazul în care avizul menționat la alineatul (7) confirmă conformitatea cu prezentul
regulament a proiectului de cod, de modificare sau de extindere sau în cazul în care, în situația
menționată la alineatul (3), oferă garanții adecvate, comitetul transmite avizul său Comisiei.
(9) Comisia poate adopta acte de punere în aplicare pentru a decide că codul de conduită,
modificarea sau extinderea aprobate care i-au fost prezentate în temeiul alineatului (8) din
prezentul articol au valabilitate generală în Uniune. Actele de punere în aplicare respective se
adoptă în conformitate cu procedura de examinare prevăzută la articolul 93 alineatul (2).
(10) Comisia asigură publicitatea adecvată pentru codurile aprobate asupra cărora s-a decis
că au valabilitate generală în conformitate cu alineatul (9).
(11) Comitetul regrupează toate codurile de conduită, modificările și extinderile aprobate
într-un registru și le pune la dispoziția publicului prin mijloace corespunzătoare.

Articolul 41 Monitorizarea codurilor de conduită aprobate

(1) Fără a aduce atingere sarcinilor și competențelor autorității de supraveghere competente
în temeiul articolelor 57 și 58, monitorizarea respectării unui cod de conduită în temeiul
articolului 40 poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în
legătură cu obiectul codului și care este acreditat în acest scop de autoritatea de supraveghere
competentă.
(2) Un organism menționat la alineatul (1) poate fi acreditat pentru monitorizarea respectării
unui cod de conduită dacă:
(a) a demonstrat autorității de supraveghere competente, într-un mod satisfăcător,
independența și expertiza sa în legătură cu obiectul codului;
(b) a instituit proceduri care îi permit să evalueze eligibilitatea operatorilor și a persoanelor
împuternicite de operatori în vederea aplicării codului, să monitorizeze respectarea de către
aceștia a dispozițiilor codului și să revizuiască periodic funcționarea acestuia;
(c) a instituit proceduri și structuri pentru tratarea plângerilor privind încălcări ale codului
sau privind modul în care codul a fost sau este pus în aplicare de un operator sau o persoană
împuternicită de operator, precum și pentru asigurarea transparenței acestor proceduri și
structuri pentru persoanele vizate și pentru public; și
(d) a demonstrat autorității de supraveghere competente, într-un mod satisfăcător, că
sarcinile și atribuțiile sale nu creează conflicte de interese.

87
 (3) Autoritatea de supraveghere competentă transmite proiectul de cerințe pentru acreditarea
unui organism menționat la alineatul (1) din prezentul articol comitetului, în conformitate cu
mecanismul pentru asigurarea coerenței menționat la articolul 63.
(4) Fără a aduce atingere sarcinilor și competențelor autorității de supraveghere competente
și dispozițiilor capitolului VIII, un organism menționat la alineatul (1) din prezentul articol ia
măsuri corespunzătoare, sub rezerva unor garanții adecvate, în cazul încălcării codului de către
un operator sau o persoană împuternicită de operator, inclusiv prin suspendarea sau excluderea
respectivului operator sau a respectivei persoane din cadrul codului. Organismul în cauză
informează autoritatea de supraveghere competentă cu privire la aceste măsuri și la motivele
care le-au determinat.
(5) Autoritatea de supraveghere competentă revocă acreditarea unui organism menționat la
alineatul (1) în cazul în care nu mai sunt îndeplinite cerințele pentru acreditare sau măsurile
luate de organismul în cauză încalcă prezentul regulament.
(6) Prezentul articol nu se aplică prelucrării efectuate de autorități și organisme publice.

Articolul 42 Certificare
(1) Statele membre, autoritățile de supraveghere, comitetul și Comisia încurajează, în
special la nivelul Uniunii, instituirea de mecanisme de certificare în domeniul protecției datelor,
precum și de sigilii și mărci în acest domeniu, care să permită demonstrarea faptului că
operațiunile de prelucrare efectuate de operatori și de persoanele împuternicite de operatori
respectă prezentul regulament. Sunt luate în considerare necesitățile specifice ale
microîntreprinderilor și ale întreprinderilor mici și mijlocii.
(2) Mecanismele de certificare din domeniul protecției datelor, sigiliile sau mărcile aprobate
în temeiul alineatului (5) din prezentul articol sunt instituite nu numai pentru a fi respectate de
operatorii sau de persoanele împuternicite de operatori care fac obiectul prezentului regulament,
ci și pentru a demonstra existența unor garanții adecvate oferite de operatorii sau de persoanele
împuternicite de operatori care nu fac obiectul prezentului regulament, în temeiul articolului 3,
în cadrul transferurilor de date cu caracter personal către țări terțe sau organizații internaționale
în condițiile menționate la articolul 46 alineatul (2) litera (f). Acești operatori sau persoane
împuternicite de operatori își asumă angajamente cu caracter obligatoriu și executoriu, prin
intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de
vedere juridic, în scopul aplicării garanțiilor adecvate respective, inclusiv cu privire la drepturile
persoanelor vizate.
(3) Certificarea este voluntară și disponibilă prin intermediul unui proces transparent.
(4) Certificarea în conformitate cu prezentul articol nu reduce responsabilitatea operatorului
sau a persoanei împuternicite de operator de a respecta prezentul regulament și nu aduce
atingere sarcinilor și competențelor autorităților de supraveghere care sunt competente în
temeiul articolului 55 sau 56.
(5) Organismele de certificare menționate la articolul 43 sau autoritatea de supraveghere
competentă emit o certificare în temeiul prezentului articol, pe baza criteriilor aprobate de către

88
autoritatea de supraveghere competentă respectivă în temeiul articolului 58 alineatul (3), sau de
către comitet în temeiul articolului 63. În cazul în care criteriile sunt aprobate de comitet,
aceasta poate duce la o certificare comună, și anume sigiliul european privind protecția datelor.
(6) Operatorul sau persoana împuternicită de operator care supune activitățile sale de
prelucrare mecanismului de certificare oferă organismului de certificare menționat la articolul
43 sau, după caz, autorității de supraveghere competente, toate informațiile necesare pentru
desfășurarea procedurii de certificare, precum și accesul la activitățile de prelucrare respective.
(7) Certificarea este eliberată unui operator sau unei persoane împuternicite de operator
pentru o perioadă maximă de trei ani și poate fi reînnoită în aceleași condiții, cu condiția ca
criteriile relevante să fie îndeplinite în continuare. Certificarea este retrasă, după caz, de către
organismele de certificare menționate la articolul 43 sau de către autoritatea de supraveghere
competentă în cazul în care nu mai sunt îndeplinite criteriile pentru certificare.
(8) Comitetul regrupează toate mecanismele de certificare și sigiliile și mărcile de protecție
a datelor într-un registru și le pune la dispoziția publicului prin orice mijloc corespunzător.

Articolul 43 Organisme de certificare

(1) Fără a aduce atingere sarcinilor și competențelor autorității de supraveghere competente,
prevăzute la articolele 57 și 58, organismele de certificare care dispun de un nivel adecvat de
competență în domeniul protecției datelor, după ce informează autoritatea de supraveghere
pentru a-i permite să își exercite competențele în temeiul articolului 58 alineatul (2) litera (h),
emit și reînnoiesc certificarea. Statele membre se asigură că aceste organisme de certificare sunt
acreditate de către una sau amândouă dintre următoarele entități:
(a) autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56;
(b) organismul național de acreditare desemnat în conformitate cu Regulamentul (CE) nr.
765/2008 al Parlamentului European și al Consiliului *20) în conformitate cu standardul EN-
ISO/IEC 17065/2012 și cu cerințele suplimentare stabilite de autoritatea de supraveghere care
este competentă în temeiul articolului 55 sau 56.
(2) Un organism de certificare menționat la alineatul (1) este acreditat în conformitate cu
alineatul respectiv numai dacă:
(a) a demonstrat autorității de supraveghere competente, într-un mod satisfăcător,
independența și expertiza sa în legătură cu obiectul certificării;
(b) s-a angajat să respecte criteriile menționate la articolul 42 alineatul (5) și aprobate de
autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56, sau de către
comitet în temeiul articolului 63;
(c) a instituit proceduri pentru emiterea, revizuirea periodică și retragerea certificării, a
sigiliilor și mărcilor din domeniul protecției datelor;
(d) a instituit proceduri și structuri pentru tratarea plângerilor privind încălcări ale
certificării sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator

89
sau o persoană împuternicită de operator, precum și pentru asigurarea transparenței acestor
proceduri și structuri pentru persoanele vizate și pentru public; și
(e) a demonstrat autorității de supraveghere competente, într-un mod satisfăcător, că
sarcinile și atribuțiile sale nu creează conflicte de interese.
(3) Acreditarea organismelor de certificare menționate la alineatele (1) și (2) din prezentul
articol se realizează pe baza cerințelor aprobate de către autoritatea de supraveghere care este
competentă în temeiul articolului 55 sau 56, sau de către comitet în temeiul articolului 63. În
cazul unei acreditări în temeiul alineatului (1) litera (b) din prezentul articol, aceste cerințe le
completează pe cele prevăzute în Regulamentul (CE) nr. 765/2008 și normele tehnice care
descriu metodele și procedurile organismelor de certificare.
(4) Organismele de certificare menționate la alineatul (1) sunt responsabile cu realizarea
unei evaluări adecvate în vederea certificării sau retragerii acestei certificări, fără a aduce
atingere responsabilității operatorului sau a persoanei împuternicite de operator de a respecta
prezentul regulament. Acreditarea se eliberează pentru o perioadă maximă de cinci ani și poate
fi reînnoită în aceleași condiții, cu condiția ca organismul de certificare să îndeplinească
cerințele prevăzute în prezentul articol.
(5) Organismele de certificare menționate la alineatul (1) transmite autorităților de
supraveghere competente motivele acordării sau retragerii certificării solicitate.
(6) Cerințele menționate la alineatul (3) din prezentul articol și criteriile menționate la
articolul 42 alineatul (5) se publică de către autoritatea de supraveghere într-o formă ușor de
accesat. Autoritățile de supraveghere transmit, de asemenea, aceste cerințe și criterii
comitetului.
(7) Fără a aduce atingere dispozițiilor capitolului VIII, autoritatea de supraveghere
competentă sau organismul național de acreditare revocă acreditarea acordată unui organism de
certificare în temeiul alineatului (1) din prezentul articol în cazul în care nu sunt sau nu mai
sunt îndeplinite condițiile pentru acreditare sau măsurile luate de organismul de acreditare
încalcă prezentul regulament.
(8) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 92, în
scopul specificării cerințelor care trebuie luate în considerare pentru mecanismele de certificare
din domeniul protecției datelor, menționate laarticolul 42 alineatul (1).
(9) Comisia poate adopta acte de punere în aplicare pentru a stabili standarde tehnice pentru
mecanismele de certificare și pentru sigiliile și mărcile din domeniul protecției datelor, precum
și mecanisme de promovare și recunoaștere a acelor mecanisme de certificare, sigilii și mărci.
Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare
menționată la articolul 93 alineatul (2).

Capitolul V Transferurile de date cu caracter personal către țări terțe sau organizații
internaționale

90
 Articolul 44 Principiul general al transferurilor
Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate
după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate
doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în
prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv
în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la
organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate
dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a
persoanelor fizice garantat prin prezentul regulament nu este subminat.

Articolul 45 Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de

protecție
(1) Transferul de date cu caracter personal către o țară terță sau o organizație internațională
se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe
sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel
de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.
(2) Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ține seama,
în special, de următoarele elemente:
(a) statul de drept, respectarea drepturilor omului și a libertăților fundamentale, legislația
relevantă, atât generală, cât și sectorială, inclusiv privind securitatea publică, apărarea,
securitatea națională și dreptul penal, precum și accesul autorităților publice la datele cu caracter
personal, precum și punerea în aplicare a acestei legislații, normele de protecție a datelor,
normele profesionale și măsurile de securitate, inclusiv normele privind transferul ulterior de
date cu caracter personal către o altă țară terță sau organizație internațională, care sunt respectate
în țara terță respectivă sau în organizația internațională respectivă, jurisprudența, precum și
existența unor drepturi efective și opozabile ale persoanelor vizate și a unor reparații efective
pe cale administrativă și judiciară pentru persoanele vizate ale căror date cu caracter personal
sunt transferate;
(b) existența și funcționarea eficientă a uneia sau mai multor autorități de supraveghere
independente în țara terță sau sub jurisdicția cărora intră o organizație internațională, cu
responsabilitate pentru asigurarea și impunerea respectării normelor de protecție a datelor,
incluzând competențe adecvate de asigurare a respectării aplicării, pentru acordarea de asistență
și consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora și pentru cooperarea
cu autoritățile de supraveghere din statele membre; și
(c) angajamentele internaționale la care a aderat țara terță sau organizația internațională în
cauză sau alte obligații care decurg din convenții sau instrumente obligatorii din punct de vedere
juridic, precum și din participarea acesteia la sisteme multilaterale sau regionale, mai ales în
domeniul protecției datelor cu caracter personal.
(3) Comisia, după ce evaluează caracterul adecvat al nivelului de protecție, poate decide,
printr-un act de punere în aplicare, că o țară terță, un teritoriu sau unul sau mai multe sectoare
specificate dintr-o țară terță sau o organizație internațională asigură un nivel de protecție
adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un

91
mecanism de revizuire periodică, cel puțin o dată la patru ani, care ia în considerare toate
evoluțiile relevante din țara terță sau organizația internațională. Actul de punere în aplicare
menționează aplicarea geografică și sectorială, și, după caz, identifică autoritatea sau autoritățile
de supraveghere menționate la alineatul (2) litera (b) din prezentul articol. Actul de punere în
aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 93
alineatul (2).
(4) Comisia monitorizează continuu evoluțiile din țările terțe și de la nivelul organizațiilor
internaționale care ar putea afecta funcționarea deciziilor adoptate în temeiul alineatului (3) din
prezentul articol și a deciziilor adoptate în temeiul articolului 25 alineatul (6) din Directiva
95/46/CE.
(5) În cazul în care informațiile disponibile dezvăluie, în special în urma revizuirii
menționate la alineatul (3) din prezentul articol, că o țară terță, un teritoriu sau un sector
specificat din acea țară terță sau o organizație internațională nu mai asigură un nivel de protecție
adecvat în sensul alineatului (2) din prezentul articol, Comisia, dacă este necesar, abrogă,
modifică sau suspendă, prin intermediul unui act de punere în aplicare, decizia menționată la
alineatul (3) din prezentul articol fără efect retroactiv. Actele de punere în aplicare respective
se adoptă în conformitate cu procedura de examinare menționată la articolul 93 alineatul (2).
Din motive imperioase de urgență, Comisia adoptă acte de punere în aplicare imediat
aplicabile în conformitate cu procedura menționată la articolul 93 alineatul (3).
(6) Comisia inițiază consultări cu țara terță sau organizația internațională în vederea
remedierii situației care a stat la baza deciziei luate în conformitate cu alineatul (5).
(7) O decizie luată în temeiul alineatului (5) din prezentul articol nu aduce atingere
transferurilor de date cu caracter personal către țara terță, un teritoriu sau unul sau mai multe
sectoare specificate din acea țară terță sau către organizația internațională în cauză în
conformitate cu articolele 46-49.
(8) Comisia publică în Jurnalul Oficial al Uniunii Europene și pe site-ul său o listă a țărilor
terțe, a teritoriilor și sectoarelor specificate dintr-o țară terță și a organizațiilor internaționale în
cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu mai este asigurat.
(9) Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) din Directiva
95/46/CE rămân în vigoare până când sunt modificate, înlocuite sau abrogate de o decizie a
Comisiei adoptată în conformitate cu alineatul (3) sau (5) din prezentul articol.

Articolul 46 Transferuri în baza unor garanții adecvate

(1) În absența unei decizii în temeiul articolului 45 alineatul (3), operatorul sau persoana
împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o
organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit
garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru
persoanele vizate.

92
 (2) Garanțiile adecvate menționate la alineatul 1 pot fi furnizate fără să fie nevoie de nicio
autorizație specifică din partea unei autorități de supraveghere, prin:
(a) un instrument obligatoriu din punct de vedere juridic și executoriu între autoritățile sau
organismele publice;
(b) reguli corporatiste obligatorii în conformitate cu articolul 47;
(c) clauze standard de protecție a datelor adoptate de Comisie în conformitate cu procedura
de examinare menționată la articolul 93 alineatul (2);
(d) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere și
aprobate de Comisie în conformitate cu procedura de examinare menționată la articolul 93
alineatul (2);
(e) un cod de conduită aprobat în conformitate cu articolul 40, însoțit de un angajament
obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din
țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
(f) un mecanism de certificare aprobat în conformitate cu articolul 42, însoțit de un
angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de
operator din țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor
vizate.
(3) Sub rezerva autorizării din partea autorității de supraveghere competente, garanțiile
adecvate menționate la alineatul (1) pot fi furnizate de asemenea, în special, prin:
(a) clauze contractuale între operator sau persoana împuternicită de operator și operatorul,
persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țara terță
sau organizația internațională; sau
(b) dispoziții care urmează să fie incluse în acordurile administrative dintre autoritățile sau
organismele publice, care includ drepturi opozabile și efective pentru persoanele vizate.
(4) Autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței menționat
la articolul 63, în cazurile menționate la alineatul (3) din prezentul articol.
(5) Autorizațiile acordate de un stat membru sau de o autoritate de supraveghere în temeiul
articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile până la data la care sunt
modificate, înlocuite sau abrogate, dacă este necesar, de respectiva autoritate de supraveghere.
Deciziile adoptate de Comisie în temeiul articolului 26 alineatul (4) din Directiva 95/46/CE
rămân în vigoare până când sunt modificate, înlocuite sau abrogate, dacă este necesar, de o
decizie a Comisiei adoptată în conformitate cu alineatul (2) din prezentul articol.

Articolul 47 Reguli corporatiste obligatorii

(1) În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 63,
autoritatea de supraveghere competentă aprobă reguli corporatiste obligatorii, cu condiția ca
acestea:

93
 (a) să fie obligatorii din punct de vedere juridic și să se aplice fiecărui membru vizat al
grupului de întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică
comună, inclusiv angajaților acestuia, precum și să fie puse în aplicare de membrii în cauză;
(b) să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce privește
prelucrarea datelor lor cu caracter personal; și
(c) să îndeplinească cerințele prevăzute la alineatul (2).
(2) Regulile corporatiste obligatorii menționate la alineatul (1) precizează cel puțin:
(a) structura și datele de contact ale grupului de întreprinderi sau ale grupului de
întreprinderi implicate într-o activitate economică comună și ale fiecăruia dintre membrii săi;
(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter
personal, tipul prelucrării și scopurile prelucrării, tipurile de persoane vizate afectate și
identificarea țării terțe sau a țărilor terțe în cauză;
(c) caracterul lor juridic obligatoriu, atât pe plan intern, cât și extern;
(d) aplicarea principiilor generale în materie de protecție a datelor, în special limitarea
scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor,
protecția datelor începând cu momentul conceperii și protecția implicită, temeiul juridic pentru
prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, măsurile de asigurare
a securității datelor, precum și cerințele referitoare la transferurile ulterioare către organisme
care nu fac obiectul regulilor corporatiste obligatorii;
(e) drepturile persoanelor vizate în ceea ce privește prelucrarea și mijloacele de exercitare
a acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe
prelucrarea automată, inclusiv crearea de profiluri, în conformitate cu articolul 22, dreptul de a
depune o plângere în fața autorității de supraveghere competente și în fața instanțelor
competente ale statelor membre, în conformitate cu articolul 79, precum și dreptul de a obține
reparații și, după caz, despăgubiri pentru încălcarea regulilor corporatiste obligatorii;
(f) acceptarea de către operator sau de persoana împuternicită de operator, care își are sediul
pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste
obligatorii de către orice membru în cauză care nu își are sediul în Uniune; operatorul sau
persoana împuternicită de operator este exonerat(ă) de această răspundere, integral sau parțial,
numai dacă dovedește că membrul respectiv nu a fost răspunzător de evenimentul care a cauzat
prejudiciul;
(g) modul în care informațiile privind regulile corporatiste obligatorii, în special privind
dispozițiile menționate la literele (d), (e) și (f) de la prezentul alineat, sunt furnizate persoanelor
vizate în completarea informațiilor menționate la articolele 13 și 14;
(h) sarcinile oricărui responsabil cu protecția datelor desemnat în conformitate cu articolul
37 sau ale oricărei alte persoane sau entități însărcinate cu monitorizarea respectării regulilor
corporatiste obligatorii în cadrul grupului de întreprinderi sau al grupului de întreprinderi
implicate într-o activitate economică comună, a activităților de formare și a gestionării
plângerilor;
(i) procedurile de formulare a plângerilor;

94
 (j) mecanismele din cadrul grupului de întreprinderi sau al grupului de întreprinderi
implicate într-o activitate economică comună, menite să asigure verificarea conformității cu
regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protecția datelor și
metodele de asigurare a acțiunilor corective menite să protejeze drepturile persoanei vizate.
Rezultatele acestor verificări ar trebui să fie comunicate persoanei sau entității menționate la
litera (h) și consiliului de administrație al întreprinderii care exercită controlul grupului de
întreprinderi sau al grupului de întreprinderi implicate într-o activitate economică comună și ar
trebui să fie puse la dispoziția autorității de supraveghere competente, la cerere;
(k) mecanismele de raportare și înregistrare a modificărilor aduse regulilor și de raportare a
acestor modificări autorității de supraveghere;
(l) mecanismul de cooperare cu autoritatea de supraveghere în vederea asigurării respectării
regulilor de către orice membru al grupului de întreprinderi sau al grupului de întreprinderi
implicate într-o activitate economică comună, în special prin punerea la dispoziția autorității de
supraveghere a rezultatelor verificărilor cu privire la măsurile menționate la punctul (j);
(m) mecanismele de raportare către autoritatea de supraveghere competentă a oricăror
cerințe legale impuse unui membru al grupului de întreprinderi sau al grupului de întreprinderi
implicate într-o activitate economică comună într-o țară terță care pot avea un efect advers
considerabil asupra garanțiilor furnizate prin regulile corporatiste obligatorii; și
(n) formarea corespunzătoare în domeniul protecției datelor a personalului care are un acces
permanent sau periodic la date cu caracter personal.
(3) Comisia poate preciza formatul și procedurile pentru schimbul de informații între
operatori, persoanele împuternicite de operatori și autoritățile de supraveghere pentru regulile
corporatiste obligatorii în sensul prezentului articol. Actele de punere în aplicare respective se
adoptă în conformitate cu procedura de examinare prevăzută la articolul 93 alineatul (2).

Articolul 48 Transferurile sau divulgările de informații neautorizate de dreptul Uniunii

Orice hotărâre a unei instanțe sau a unui tribunal și orice decizie a unei autorități
administrative a unei țări terțe care impun unui operator sau persoanei împuternicite de operator
să transfere sau să divulge date cu caracter personal poate fi recunoscută sau executată în orice
fel numai dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară
reciprocă în vigoare între țara terță solicitantă și Uniune sau un stat membru, fără a se aduce
atingere altor motive de transfer în temeiul prezentului capitol.

Articolul 49 Derogări pentru situații specifice

(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate
cu articolul 45 alineatul (3) sau a unor garanții adecvate în conformitate cu articolul 46, inclusiv
a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu caracter
personal către o țară terță sau o organizație internațională poate avea loc numai în una dintre
condițiile următoare:

95
 (a) persoana vizată și-a exprimat în mod explicit acordul cu privire la transferul propus,
după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica
pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de
protecție și a unor garanții adecvate;
(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator
sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;
(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui
contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;
(d) transferul este necesar din considerente importante de interes public;
(e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanță;
(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale
altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima
acordul;
(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului
intern, are scopul de a furniza informații publicului și care poate fi consultat fie de public în
general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura
în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau de
dreptul intern în acel caz specific.
În cazul în care un transfer nu ar putea să se întemeieze pe o dispoziție prevăzută la articolul
45 sau 46, inclusiv dispoziții privind reguli corporatiste obligatorii, și nu este aplicabilă niciuna
dintre derogările pentru situații specifice prevăzute la primul paragraf din prezentul alineat, un
transfer către o țară terță sau o organizație internațională poate avea loc numai în cazul în care
transferul nu este repetitiv, se referă doar la un număr limitat de persoane vizate, este necesar
în scopul realizării intereselor legitime majore urmărite de operator asupra căruia nu prevalează
interesele sau drepturile și libertățile persoanei vizate și operatorul a evaluat toate
circumstanțele aferente transferului de date și, pe baza acestei evaluări, a prezentat garanții
corespunzătoare în ceea ce privește protecția datelor cu caracter personal. Operatorul
informează autoritatea de supraveghere cu privire la transfer. Operatorul, în plus față de
furnizarea informațiilor menționate la articolele 13 și 14, informează persoana vizată cu privire
la transfer și la interesele legitime majore pe care le urmărește.
(2) Transferul în temeiul alineatului (1) primul paragraf litera (g) nu implică totalitatea
datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în
registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes
legitim, transferul se efectuează numai la cererea persoanelor respective sau în cazul în care
acestea vor fi destinatarii.
(3) Alineatul (1) primul paragraf literele (a), (b) și (c) și paragraful al doilea nu se aplică în
cazul activităților desfășurate de autoritățile publice în exercitarea competențelor lor publice.
(4) Interesul public prevăzut la alineatul (1) primul paragraf litera (d) este recunoscut în
dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul.
(5) În absența unei decizii privind caracterul adecvat al nivelului de protecție, dreptul
Uniunii sau dreptul intern poate, din considerente importante de interes public, să stabilească

96
în mod expres limite asupra transferului unor categorii specifice de date cu caracter personal
către o țară terță sau o organizație internațională. Statele membre notifică aceste dispoziții
Comisiei.
(6) Operatorul sau persoana împuternicită de operator consemnează evaluarea, precum și
garanțiile adecvate prevăzute la paragraful al doilea al alineatului (1) din prezentul articol, în
evidențele menționate la articolul 30.

Articolul 50 Cooperarea internațională în domeniul protecției datelor cu caracter personal

În ceea ce privește țările terțe și organizațiile internaționale, Comisia și autoritățile de
supraveghere iau măsurile corespunzătoare pentru:
(a) elaborarea de mecanisme de cooperare internațională pentru a facilita asigurarea
aplicării efective a legislației privind protecția datelor cu caracter personal;
(b) acordarea de asistență internațională reciprocă în asigurarea aplicării legislației din
domeniul protecției datelor cu caracter personal, inclusiv prin notificare, transferul plângerilor,
asistență în investigații și schimb de informații, sub rezerva unor garanții adecvate pentru
protecția datelor cu caracter personal și a altor drepturi și libertăți fundamentale;
(c) implicarea părților interesate relevante în discuțiile și activitățile care au ca scop
intensificarea cooperării internaționale în domeniul aplicării legislației privind protecția datelor
cu caracter personal;
(d) promovarea schimbului reciproc și a documentației cu privire la legislația și practicile
în materie de protecție a datelor cu caracter personal, inclusiv în ceea ce privește conflictele
jurisdicționale cu țările terțe.

Capitolul VI Autorități de supraveghere independente

Secţiunea 1 Statutul independent

Articolul 51 Autoritatea de supraveghere

(1) Fiecare stat membru se asigură că una sau mai multe autorități publice independente
sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării
drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și
în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii
("autoritatea de supraveghere").
(2) Fiecare autoritate de supraveghere contribuie la aplicarea coerentă a prezentului
regulament în întreaga Uniune. În acest scop, autoritățile de supraveghere cooperează atât între
ele, cât și cu Comisia, în conformitate cu capitolul VII.

97
 (3) În cazul în care mai multe autorități de supraveghere sunt instituite într-un stat membru,
acesta desemnează autoritatea de supraveghere care reprezintă autoritățile respective în cadrul
comitetului și instituie un mecanism prin care să asigure respectarea de către celelalte autorități
a normelor privind mecanismul pentru asigurarea coerenței prevăzut la articolul 63.
(4) Fiecare stat membru notifică Comisiei dispozițiile de drept pe care le adoptă în temeiul
prezentului capitol până la 25 mai 2018 și, fără întârziere, orice modificare ulterioară pe care o
aduce acestor dispoziții.

Articolul 52 Independență
(1) Fiecare autoritate de supraveghere beneficiază de independență deplină în îndeplinirea
sarcinilor sale și exercitarea competențelor sale în conformitate cu prezentul regulament.
(2) Membrul sau membrii fiecărei autorități de supraveghere, în cadrul îndeplinirii sarcinilor
și al exercitării competențelor sale (lor) în conformitate cu prezentul regulament, rămâne
(rămân) independent (independenți) de orice influență externă directă sau indirectă și nici nu
solicită, nici nu acceptă instrucțiuni de la o parte externă.
(3) Membrul sau membrii fiecărei autorități de supraveghere se abțin de la a întreprinde
acțiuni incompatibile cu atribuțiile lor, iar pe durata mandatului, nu desfășoară activități
incompatibile, remunerate sau nu.
(4) Fiecare stat membru se asigură că fiecare autoritate de supraveghere beneficiază de
resurse umane, tehnice și financiare, de un sediu și de infrastructura necesară pentru
îndeplinirea sarcinilor și exercitarea efectivă a competențelor sale, inclusiv a celor care urmează
să fie aplicate în contextul asistenței reciproce, al cooperării și al participării în cadrul
comitetului.
(5) Fiecare stat membru se asigură că fiecare autoritate de supraveghere își selectează
personalul propriu și deține personal propriu aflat sub conducerea exclusivă a membrului sau
membrilor autorității de supraveghere respective.
(6) Fiecare stat membru se asigură că fiecare autoritate de supraveghere face obiectul unui
control financiar care nu aduce atingere independenței sale și că dispune de bugete anuale
distincte, publice, care pot face parte din bugetul general de stat sau național.

Articolul 53 Condiții generale aplicabile membrilor autorității de supraveghere

(1) Statele membre se asigură că fiecare membru al autorității lor de supraveghere este
numit prin intermediul unei proceduri transparente:– de parlament;– de guvern;– de șeful
statului; sau– de un organism independent împuternicit să facă numiri în temeiul dreptului
intern.

98
 (2) Fiecare membru în cauză are calificările, experiența și competențele necesare, în special
în domeniul protecției datelor cu caracter personal, pentru a-și putea îndeplini atribuțiile și
exercita competențele.
(3) Atribuțiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau
pensionării din oficiu în conformitate cu dreptul intern relevant.
(4) Un membru poate fi demis doar în cazuri de abateri grave sau dacă nu mai îndeplinește
condițiile necesare pentru îndeplinirea atribuțiilor sale.

Articolul 54 Norme privind instituirea autorității de supraveghere

(1) Fiecare stat membru prevede, pe cale legislativă, următoarele:
(a) instituirea fiecărei autorități de supraveghere;
(b) calificările și condițiile de eligibilitate necesare pentru a fi numit în calitate de membru
al fiecărei autorități de supraveghere;
(c) normele și procedurile pentru numirea membrului sau a membrilor fiecărei autorități de
supraveghere;
(d) durata mandatului membrului sau membrilor fiecărei autorități de supraveghere, de
minimum patru ani, cu excepția primei numiri după 24 mai 2016, din care o parte poate fi pe o
perioadă mai scurtă în cazul în care acest lucru este necesar pentru a proteja independența
autorității de supraveghere printr-o procedură de numiri eșalonate;
(e) dacă și de câte ori este eligibil pentru reînnoire mandatul membrului sau membrilor
fiecărei autorități de supraveghere;
(f) condițiile care reglementează obligațiile membrului sau membrilor și ale personalului
fiecărei autorități de supraveghere, interdicții privind acțiunile, ocupațiile și beneficiile
incompatibile cu acestea în cursul mandatului și după încetarea acestuia, precum și normele
care reglementează încetarea contractului de angajare.
(2) Membrul sau membrii și personalul fiecărei autorități de supraveghere au obligația, în
conformitate cu dreptul Uniunii sau cu dreptul intern, de a respecta atât pe parcursul mandatului,
cât și după încetarea acestuia, secretul profesional în ceea ce privește informațiile confidențiale
de care au luat cunoștință în cursul îndeplinirii sarcinilor sau al exercitării competențelor lor.
Pe durata mandatului lor, această obligație de păstrare a secretului profesional se aplică în
special în ceea ce privește raportarea de către persoane fizice a încălcărilor prezentului
regulament.

Secţiunea 2 Abilitări, sarcini și competențe

99
 Articolul 55 Competența
(1) Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să
exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul
statului membru de care aparține.
(2) n cazul în care prelucrarea este efectuată de autorități publice sau de organisme private
care acționează pe baza articolului 6 alineatul (1) litera (c) sau (e), autoritatea de supraveghere
din statul membru respectiv are competență. În astfel de cazuri, articolul 56 nu se aplică.
(3) Autoritățile de supraveghere nu sunt competente să supravegheze operațiunile de
prelucrare ale instanțelor care acționează în exercițiul funcției lor judiciare.

Articolul 56 Competența autorității de supraveghere principale

(1) Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau
a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să
acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră
efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate
cu procedura prevăzută la articolul 60.
(2) Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competentă să
trateze o plângere depusă în atenția sa sau o eventuală încălcare a prezentului regulament, în
cazul în care obiectul acesteia se referă numai la un sediu aflat în statul său membru sau
afectează în mod semnificativ persoane vizate numai în statul său membru.
(3) În cazurile menționate la alineatul (2) din prezentul articol, autoritatea de supraveghere
informează fără întârziere autoritatea de supraveghere principală cu privire la această chestiune.
În termen de trei săptămâni de la momentul informării, autoritatea de supraveghere principală
decide dacă tratează sau nu cazul respectiv în conformitate cu procedura prevăzută la articolul
60, luând în considerare dacă există sau nu un sediu al operatorului sau al persoanei
împuternicite de operator pe teritoriul statului membru a cărui autoritate de supraveghere a
informat-o.
(4) În cazul în care autoritatea de supraveghere principală decide să trateze cazul, se aplică
procedura prevăzută la articolul 60. Autoritatea de supraveghere care a informat autoritatea de
supraveghere principală poate înainta un proiect de decizie acesteia din urmă. Autoritatea de
supraveghere principală ține seama în cea mai mare măsură posibilă de proiectul respectiv
atunci când pregătește proiectul de decizie prevăzut la articolul 60 alineatul (3).
(5) În cazul în care autoritatea de supraveghere principală decide să nu trateze cazul,
autoritatea de supraveghere care a informat autoritatea de supraveghere principală tratează
cazul în conformitate cu articolele 61 și 62.
(6) Autoritatea de supraveghere principală este singurul interlocutor al operatorului sau al
persoanei împuternicite de operator în ceea ce privește prelucrarea transfrontalieră efectuată de
respectivul operator sau de respectiva persoană împuternicită de operator.

100
 Articolul 57 Sarcini
(1) Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare
autoritate de supraveghere, pe teritoriul său:
(a) monitorizează și asigură aplicarea prezentului regulament;
(b) promovează acțiuni de sensibilizare și de înțelegere în rândul publicului a riscurilor,
normelor, garanțiilor și drepturilor în materie de prelucrare. Se acordă atenție specială
activităților care se adresează în mod specific copiilor;
(c) oferă consiliere, în conformitate cu dreptul intern, parlamentului național, guvernului și
altor instituții și organisme cu privire la măsurile legislative și administrative referitoare la
protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea;
(d) promovează acțiuni de sensibilizare a operatorilor și a persoanelor împuternicite de
aceștia cu privire la obligațiile care le revin în temeiul prezentului regulament;
(e) la cerere, furnizează informații oricărei persoane vizate în legătură cu exercitarea
drepturilor sale în conformitate cu prezentul regulament și, dacă este cazul, cooperează cu
autoritățile de supraveghere din alte state membre în acest scop;
(f) tratează plângerile depuse de o persoană vizată, un organism, o organizație sau o
asociație în conformitate cu articolul 80 și investighează într-o măsură adecvată obiectul
plângerii și informează reclamantul cu privire la evoluția și rezultatul investigației, într-un
termen rezonabil, în special dacă este necesară efectuarea unei investigații mai amănunțite sau
coordonarea cu o altă autoritate de supraveghere;
(g) cooperează, inclusiv prin schimb de informații, cu alte autorități de supraveghere și își
oferă asistență reciprocă pentru a asigura coerența aplicării și respectării prezentului
regulament;
(h) desfășoară investigații privind aplicarea prezentului regulament, inclusiv pe baza unor
informații primite de la o altă autoritate de supraveghere sau de la o altă autoritate publică;
(i) monitorizează evoluțiile relevante, în măsura în care acestea au impact asupra protecției
datelor cu caracter personal, în special evoluția tehnologiilor informației și comunicațiilor și a
practicilor comerciale;
(j) adoptă clauze contractuale standard menționate la articolul 28 alineatul (8) și la articolul
46 alineatul (2) litera (d);
(k) întocmește și menține la zi o listă în legătură cu cerința privind evaluarea impactului
asupra protecției datelor, în conformitate cu articolul 35 alineatul (4);
(l) oferă consiliere cu privire la operațiunile de prelucrare menționate la articolul 36
alineatul (2);
(m) încurajează elaborarea de coduri de conduită în conformitate cu articolul 40 alineatul
(1), își dă avizul cu privire la acestea și le aprobă pe cele care oferă suficiente garanții, în
conformitate cu articolul 40 alineatul (5);

101
 (n) încurajează stabilirea unor mecanisme de certificare, precum și a unor sigilii și mărci în
domeniul protecției datelor în conformitate cu articolul 42 alineatul (1) și aprobă criteriile de
certificare în conformitate cu articolul 42 alineatul (5);
(o) acolo unde este cazul, efectuează o revizuire periodică a certificărilor acordate, în
conformitate cu articolul 42 alineatul (7);
(p) elaborează și publică cerințele de acreditare a unui organism de monitorizare a codurilor
de conduită în conformitate cu articolul 41 și a unui organism de certificare în conformitate cu
articolul 43;
(q) coordonează procedura de acreditare a unui organism de monitorizare a codurilor de
conduită în conformitate cu articolul 41 și a unui organism de certificare în conformitate cu
articolul 43;
(r) autorizează clauzele și dispozițiile contractuale menționate la articolul 46 alineatul (3);
(s) aprobă regulile corporatiste obligatorii în conformitate cu articolul 47;
(t) contribuie la activitățile comitetului;
(u) menține la zi evidențe interne privind încălcările prezentului regulament și măsurile
luate, în special avertismentele emise și sancțiunile impuse în conformitate cu articolul 58
alineatul (2); și
(v) îndeplinește orice alte sarcini legate de protecția datelor cu caracter personal.
(2) Fiecare autoritate de supraveghere facilitează depunerea plângerilor menționate la
alineatul (1) litera (f) prin măsuri precum punerea la dispoziție a unui formular de depunere a
plângerii care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace
de comunicare.
(3) Îndeplinirea sarcinilor fiecărei autorități de supraveghere este gratuită pentru persoana
vizată și, după caz, pentru responsabilul cu protecția datelor.
(4) În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza
caracterului lor repetitiv, autoritatea de supraveghere poate percepe o taxă rezonabilă, bazată
pe costurile administrative, sau poate refuza să le trateze. Sarcina de a demonstra caracterul
evident nefondat sau excesiv al cererii revine autorității de supraveghere.

Articolul 58 Competențe
(1) Fiecare autoritate de supraveghere are toate următoarele competențe de investigare:
(a) de a da dispoziții operatorului și persoanei împuternicite de operator și, după caz,
reprezentantului operatorului sau al persoanei împuternicite de operator să furnizeze orice
informații pe care autoritatea de supraveghere le solicită în vederea îndeplinirii sarcinilor sale;
(b) de a efectua investigații sub formă de audituri privind protecția datelor;
(c) de a efectua o revizuire a certificărilor acordate în temeiul articolului 42 alineatul (7);

102
 (d) de a notifica operatorul sau persoana împuternicită de operator cu privire la presupusa
încălcare a prezentului regulament;
(e) de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la
toate datele cu caracter personal și la toate informațiile necesare pentru îndeplinirea sarcinilor
sale;
(f) de a obține accesul la oricare dintre incintele operatorului și ale persoanei împuternicite
de operator, inclusiv la orice echipamente și mijloace de prelucrare a datelor, în conformitate
cu dreptul Uniunii sau cu dreptul procesual intern.
(2) Fiecare autoritate de supraveghere are toate următoarele competențe corective:
(a) de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de
operator cu privire la posibilitatea ca operațiunile de prelucrare prevăzute să încalce dispozițiile
prezentului regulament;
(b) de a emite avertismente adresate unui operator sau unei persoane împuternicite de
operator în cazul în care operațiunile de prelucrare au încălcat dispozițiile prezentului
regulament;
(c) de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte
cererile persoanei vizate de a-și exercita drepturile în temeiul prezentului regulament;
(d) de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure
conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând,
după caz, modalitatea și termenul-limită pentru aceasta;
(e) de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecției
datelor cu caracter personal;
(f) de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării;
(g) de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea
prelucrării, în temeiul articolelor 16, 17 și 18, precum și notificarea acestor acțiuni destinatarilor
cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul
(2) și cu articolul 19;
(h) de a retrage o certificare sau de a obliga organismul de certificare să retragă o certificare
eliberată în temeiul articolul 42 și 43 sau de a obliga organismul de certificare să nu elibereze
o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;
(i) de a impune amenzi administrative în conformitate cu articolul 83, în completarea sau în
locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în
parte;
(j) de a dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către
o organizație internațională.
(3) Fiecare autoritate de supraveghere are toate următoarele competențe de autorizare și de
consiliere:
(a) de a oferi consiliere operatorului în conformitate cu procedura de consultare prealabilă
menționată la articolul 36;
103
 (b) de a emite avize, din proprie inițiativă sau la cerere, parlamentului național, guvernului
statului membru sau, în conformitate cu dreptul intern, altor instituții și organisme, precum și
publicului, cu privire la orice aspect legat de protecția datelor cu caracter personal;
(c) de a autoriza prelucrarea menționată la articolul 36 alineatul (5), în cazul în care dreptul
statului membru prevede o astfel de autorizare prealabilă;
(d) de a emite un aviz și de a aproba proiectele de coduri de conduită, în conformitate cu
articolul 40 alineatul (5);
(e) de a acredita organismele de certificare în conformitate cu articolul 43;
(f) de a emite certificări și de a aproba criterii de certificare în conformitate cu articolul 42
alineatul (5);
(g) de a adopta clauzele standard în materie de protecție a datelor menționate la articolul 28
alineatul (8) și la articolul 46 alineatul (2) litera (d);
(h) de a autoriza clauzele contractuale menționate la articolul 46 alineatul (3) litera (a);
(i) de a autoriza acordurile administrative menționate la articolul 46 alineatul (3) litera (b);
și
(j) de a aproba reguli corporatiste obligatorii în conformitate cu articolul 47.
(4) Exercitarea competențelor conferite autorității de supraveghere în temeiul prezentului
articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese
echitabile, prevăzute în dreptul Uniunii și în dreptul intern în conformitate cu carta.
(5) Fiecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere
are competența de a aduce în fața autorităților judiciare cazurile de încălcare a prezentului
regulament și, după caz, de a iniția sau de a se implica într-un alt mod în proceduri judiciare, în
scopul de a asigura aplicarea dispozițiilor prezentului regulament.
(6) Fiecare stat membru poate să prevadă în dreptul său faptul că autoritatea sa de
supraveghere are competențe suplimentare, în afara celor menționate la alineatele (1), (2) și (3).
Exercitarea acestor competențe nu afectează modul de operare eficientă a capitolului VII.

Articolul 59 Rapoarte de activitate

Fiecare autoritate de supraveghere întocmește un raport anual cu privire la activitățile sale,
care poate include o listă a tipurilor de încălcări notificate și a tipurilor de măsuri luate în
conformitate cu articolul 58 alineatul (2). Rapoartele se transmit parlamentului național,
guvernului și altor autorități desemnate prin dreptul intern. Acestea se pun la dispoziția
publicului, a Comisiei și a comitetului.

Capitolul VII Cooperare și coerență

104
 Secţiunea 1 Cooperare

Articolul 60 Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități

de supraveghere vizate
(1) Autoritatea de supraveghere principală cooperează cu celelalte autorități de
supraveghere vizate, în conformitate cu prezentul articol, în încercarea de a ajunge la un
consens. Autoritatea de supraveghere principală și autoritățile de supraveghere vizate își
comunică reciproc toate informațiile relevante.
(2) Autoritatea de supraveghere principală poate solicita în orice moment altor autorități de
supraveghere vizate să ofere asistență reciprocă în temeiul articolului 61 și poate desfășura
operațiuni comune în temeiul articolului 62, în special în vederea efectuării de investigații sau
a monitorizării punerii în aplicare a unei măsuri referitoare la un operator sau o persoană
împuternicită de operator, stabilit(ă) în alt stat membru.
(3) Autoritatea de supraveghere principală comunică fără întârziere informațiile relevante
referitoare la această chestiune celorlalte autorități de supraveghere vizate. Autoritatea de
supraveghere principală transmite fără întârziere un proiect de decizie celorlalte autorități de
supraveghere vizate, pentru a obține avizul lor, și ține seama în mod corespunzător de opiniile
acestora.
(4) În cazul în care oricare dintre celelalte autorități de supraveghere vizate exprimă, în
termen de patru săptămâni după ce a fost consultată în conformitate cu alineatul (3) din
prezentul articol, o obiecție relevantă și motivată la proiectul de decizie, autoritatea de
supraveghere principală, în cazul în care nu dă curs obiecției relevante și motivate sau consideră
că obiecția nu este relevantă sau motivată, sesizează mecanismul pentru asigurarea coerenței
menționat la articolul 63.
(5) În cazul în care intenționează să dea curs obiecției relevante și motivate formulate,
autoritatea de supraveghere principală transmite celorlalte autorități de supraveghere vizate un
proiect revizuit de decizie pentru a obține avizul acestora. Acest proiect revizuit de decizie face
obiectul procedurii menționate la alineatul (4) pe parcursul unei perioade de două săptămâni.
(6) În cazul în care niciuna dintre celelalte autorități de supraveghere vizate nu a formulat
obiecții la proiectul de decizie transmis de autoritatea de supraveghere principală în termenul
menționat la alineatele (4) și (5), se consideră că autoritatea de supraveghere principală și
autoritățile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care devine
obligatoriu pentru acestea.
(7) Autoritatea de supraveghere principală adoptă decizia și o notifică sediului principal sau
sediului unic al operatorului sau al persoanei împuternicite de operator, după caz, și informează
celelalte autorități de supraveghere vizate și comitetul cu privire la decizia în cauză, incluzând
un rezumat al elementelor și motivelor relevante. Autoritatea de supraveghere la care a fost
depusă plângerea informează reclamantul cu privire la decizie.
(8) Prin derogare de la alineatul (7), în cazul în care o plângere este refuzată sau respinsă,
autoritatea de supraveghere la care s-a depus plângerea adoptă decizia, o notifică reclamantului
și informează operatorul cu privire la acest lucru.

105
 (9) În cazul în care autoritatea de supraveghere principală și autoritățile de supraveghere
vizate sunt de acord să refuze sau să respingă anumite părți ale unei plângeri și să dea curs altor
părți ale plângerii respective, se adoptă o decizie separată pentru fiecare dintre aceste părți.
Autoritatea de supraveghere principală adoptă decizia pentru partea care vizează acțiunile
referitoare la operator, o notifică sediului principal sau sediului unic al operatorului sau al
persoanei împuternicite de operator de pe teritoriul statului membru în cauză și informează
reclamantul cu privire la acest lucru, în timp ce autoritatea de supraveghere a reclamantului
adoptă decizia pentru partea care vizează refuzarea sau respingerea plângerii respective, o
notifică reclamantului și informează operatorul sau persoana împuternicită de operator cu
privire la acest lucru.
(10) În urma notificării deciziei autorității de supraveghere principale în temeiul alineatelor
(7) și (9), operatorul sau persoana împuternicită de operator ia măsurile necesare pentru a se
asigura că activitățile de prelucrare sunt în conformitate cu decizia în toate sediile sale din
Uniune. Operatorul sau persoana împuternicită de operator notifică măsurile luate în vederea
respectării deciziei autorității de supraveghere principale, care informează celelalte autorități
de supraveghere vizate.
(11) În cazul în care, în circumstanțe excepționale, o autoritate de supraveghere vizată are
motive să considere că există o nevoie urgentă de a acționa în vederea protejării intereselor
persoanelor vizate, se aplică procedura de urgență prevăzută la articolul 66.
(12) Autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate își
furnizează reciproc informațiile solicitate în temeiul prezentului articol, pe cale electronică,
utilizând un formular standard.

Articolul 61 Asistență reciprocă

(1) Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență
pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare
eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de
supraveghere, cum ar fi cereri privind autorizări și consultări prealabile, inspecții și investigații.
(2) Fiecare autoritate de supraveghere ia toate măsurile corespunzătoare necesare pentru a
răspunde unei cererii a unei alte autorități de supraveghere, fără întârzieri nejustificate și cel
târziu în termen de o lună de la data primirii cererii. Aceste măsuri pot include, în special,
transmiterea informațiilor relevante privind desfășurarea unei investigații.
(3) Cererile de asistență cuprind toate informațiile necesare, inclusiv scopul cererii și
motivele care stau la baza acesteia. Informațiile care fac obiectul schimbului se utilizează numai
în scopul în care au fost solicitate.
(4) Autoritatea de supraveghere solicitată nu poate refuza să dea curs cererii, cu excepția
cazului în care:
(a) nu are competență privind obiectul cererii sau măsurile pe care este solicitată să le
execute; sau

106
 (b) a da curs cererii ar încălca prezentul regulament sau dreptul Uniunii sau dreptului intern
sub incidența căruia intră autoritatea de supraveghere care a primit cererea.
(5) Autoritatea de supraveghere căreia i s-a adresat cererea informează autoritatea de
supraveghere care a transmis cererea cu privire la rezultate sau, după caz, la progresele
înregistrate ori măsurile întreprinse pentru a răspunde cererii. Autoritatea de supraveghere
solicitată își motivează fiecare refuz de a da curs cererii în temeiul alineatului (4).
(6) Ca regulă, autoritățile de supraveghere solicitate furnizează informațiile solicitate de alte
autorități de supraveghere pe cale electronică, utilizând un formular standard.
(7) Autoritățile de supraveghere solicitate nu percep nicio taxă pentru acțiunile întreprinse
de acestea în temeiul unei cereri de asistență reciprocă. Autoritățile de supraveghere pot conveni
asupra unor norme privind retribuțiile reciproce în cazul unor cheltuieli specifice rezultate în
urma acordării de asistență reciprocă în situații excepționale.
(8) În cazul în care o autoritate de supraveghere nu furnizează informațiile menționate la
alineatul (5) din prezentul articol în termen de o lună de la primirea cererii din partea altei
autorități de supraveghere, aceasta din urmă poate adopta o măsură provizorie pe teritoriul
propriului stat membru, în conformitate cu articolul 55 alineatul (1). În acest caz, necesitatea
urgentă de a acționa în temeiul articolului 66 alineatul (1) este considerată a fi îndeplinită și
necesită o decizie obligatorie urgentă din partea comitetului, în conformitate cu articolul 66
alineatul (2).
(9) Comisia, printr-un act de punere în aplicare, poate specifica forma și procedurile pentru
asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de
informații pe cale electronică între autoritățile de supraveghere și între autoritățile de
supraveghere și comitet, în special formularul standard menționat la alineatul (6) din prezentul
articol. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de
examinare menționată la articolul 93 alineatul (2).

Articolul 62 Operațiuni comune ale autorităților de supraveghere

(1) După caz, autoritățile de supraveghere desfășoară operațiuni comune, inclusiv
investigații comune și măsuri comune de aplicare a legii, în care sunt implicați membri sau
personal din autoritățile de supraveghere ale altor state membre.
(2) În cazul în care operatorul sau persoana împuternicită de operator deține sedii în mai
multe state membre sau dacă un număr semnificativ de persoane vizate din mai multe state
membre sunt susceptibile de a fi afectate în mod semnificativ de operațiuni de prelucrare, o
autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa
la operațiunile comune. Autoritatea de supraveghere care este competentă în conformitate cu
articolul 56 alineatul (1) sau alineatul (4) invită autoritățile de supraveghere din fiecare dintre
aceste state membre să ia parte la operațiunile comune respective și răspunde fără întârziere la
cererea de participare a unei autorități de supraveghere.
(3) O autoritate de supraveghere poate, în conformitate cu dreptul intern și cu acordul
autorității de supraveghere din statul membru de origine, să acorde competențe, inclusiv

107
competențe de investigare, membrilor sau personalului autorității de supraveghere din statul
membru de origine implicați în operațiuni comune sau, în măsura în care dreptul statului
membru al autorității de supraveghere din statul membru de primire permite acest lucru, poate
autoriza membrii sau personalul autorității de supraveghere din statul membru de origine să își
exercite competențele de investigare în conformitate cu dreptul statului membru al acestei din
urmă autorități. Astfel de competențe de investigare pot fi exercitate doar sub coordonarea și în
prezența membrilor sau personalului autorității de supraveghere din statul membru de primire.
Membrii sau personalul autorității de supraveghere din statul membru de origine sunt supuși
dreptului intern sub incidența căruia intră autoritatea de supraveghere din statul membru de
primire.
(4) În cazul în care, în conformitate cu alineatul (1), personalul unei autorități de
supraveghere din statul membru de origine își desfășoară activitatea într-un alt stat membru,
statul membru de primire își asumă responsabilitatea pentru acțiunile personalului respectiv,
inclusiv răspunderea pentru eventualele prejudicii cauzate de membrii personalului respectiv în
cursul operațiunilor acestora, în conformitate cu dreptul statului membru pe teritoriul căruia își
desfășoară operațiunile.
(5) Statul membru pe teritoriul căruia s-au produs prejudiciile repară aceste prejudicii în
condițiile aplicabile prejudiciilor cauzate de propriul său personal. Statul membru de origine al
autorității de supraveghere al cărei personal a cauzat prejudicii unei persoane de pe teritoriul
unui alt stat membru rambursează acestui alt stat membru totalitatea sumelor pe care le-a plătit
persoanelor îndreptățite în numele acestora.
(6) Fără a aduce atingere exercitării drepturilor sale față de terțe părți și cu excepția
alineatului (5), fiecare stat membru se abține, în cazul prevăzut la alineatul (1), de la a pretinde
de la un alt stat membru rambursarea despăgubirilor pentru prejudiciile menționate la alineatul
(4).
(7) În cazul în care este planificată o operațiune comună, iar o autoritate de supraveghere
nu se conformează, în termen de o lună, obligației prevăzute în a doua teză a alineatului (2) din
prezentul articol, celelalte autorități de supraveghere pot adopta o măsură provizorie pe
teritoriul statului membru al respectivei autorități, în conformitate cu articolul 55. În acest caz,
necesitatea urgentă de a acționa în temeiul articolului 66 alineatul (1) este considerată a fi
îndeplinită și necesită un aviz de urgență sau o decizie obligatorie urgentă din partea
comitetului, în conformitate cu articolul 66 alineatul (2).

Secţiunea 2 Asigurarea coerenței

Articolul 63 Mecanismul pentru asigurarea coerenței

Pentru a contribui la aplicarea coerentă a prezentului regulament în întreaga Uniune,
autoritățile de supraveghere cooperează între ele și, după caz, cu Comisia prin mecanismul
pentru asigurarea coerenței, astfel cum se prevede în prezenta secțiune.

108
 Articolul 64 Avizul comitetului
(1) Comitetul emite un aviz de fiecare dată când o autoritate de supraveghere competentă
intenționează să adopte oricare dintre măsurile de mai jos. În acest scop, autoritatea de
supraveghere competentă comunică proiectul de decizie comitetului, atunci când:
(a) vizează adoptarea unei liste de operațiuni de prelucrare care fac obiectul cerinței de
efectuare a unei evaluări a impactului asupra protecției datelor, în conformitate cu articolul 35
alineatul (4);
(b) în conformitate cu articolul 40 alineatul (7), se referă la conformitatea cu prezentul
regulament a unui proiect de cod de conduită sau a unei modificări sau extinderi a unui cod de
conduită;
(c) vizează aprobarea cerințelor pentru acreditarea unui organism în conformitate cu
articolul 41 alineatul (3), a unui organism de certificare în conformitate cu articolul 43 alineatul
(3) sau a criteriilor de certificare menționate la articolul 42 alineatul (5);
(d) vizează determinarea clauzelor standard în materie de protecție a datelor menționate la
articolul 46 alineatul (2) litera (d) sau la articolul 28 alineatul (8);
(e) vizează autorizarea clauzelor contractuale menționate la articolul 46 alineatul (3) litera
(a); sau
(f) vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 47.
(2) Orice autoritate de supraveghere, președintele comitetului sau Comisia poate solicita ca
orice chestiune de aplicare generală sau care produce efecte în mai mult de un stat membru să
fie examinată de comitet în vederea obținerii unui aviz, în special în cazul în care o autoritate
de supraveghere competentă nu respectă obligațiile privind asistența reciprocă în conformitate
cu articolul 61 sau privind operațiunile comune în conformitate cu articolul 62.
(3) În cazurile menționate la alineatele (1) și (2), comitetul emite un aviz cu privire la
chestiunea care îi este prezentată, cu condiția să nu fi emis deja un aviz cu privire la aceeași
chestiune. Avizul respectiv este adoptat în termen de opt săptămâni cu majoritatea simplă a
membrilor comitetului. Această perioadă poate fi prelungită cu șase săptămâni, ținându-se
seama de complexitatea chestiunii. În ceea ce privește proiectul de decizie menționat la alineatul
(1) transmis membrilor comitetului în conformitate cu alineatul (5), un membru care nu a emis
obiecții într-un termen rezonabil indicat de președinte se consideră a fi de acord cu proiectul de
decizie.
(4) Autoritățile de supraveghere și Comisia comunică pe cale electronică comitetului, fără
întârzieri nejustificate, printr-un formular standard, orice informație relevantă, inclusiv, după
caz, o sinteză a faptelor, proiectul de decizie, motivele care fac necesară adoptarea unei astfel
de măsuri, precum și opiniile altor autorități de supraveghere vizate.
(5) Președintele comitetului informează pe cale electronică, fără întârzieri nejustificate:
(a) membrii comitetului și Comisia cu privire la orice informație relevantă care i-a fost
comunicată, utilizând un formular standard. Secretariatul comitetului furnizează traduceri ale
informațiilor relevante, acolo unde este necesar; și

109
 (b) autoritatea de supraveghere menționată, după caz, la alineatele (1) și (2), și Comisia cu
privire la aviz și îl publică.
(6) Autoritatea de supraveghere competentă menționată la alineatul (1) nu își adoptă
proiectul de decizie menționat la alineatul (1) în termenul menționat la alineatul (3).
(7) Autoritatea de supraveghere competentă menționată la alineatul (1) ține seama pe deplin
de avizul comitetului și comunică pe cale electronică președintelui comitetului, în termen de
două săptămâni de la primirea avizului, dacă își va păstra sau își va modifica proiectul de decizie
și, dacă este cazul, transmite proiectul de decizie modificat, utilizând un formular standard.
(8) În cazul în care autoritatea de supraveghere competentă menționată la alineatul (1)
informează președintele comitetului, în termenul menționat la alineatul (7) din prezentul articol,
că intenționează să nu se conformeze avizului comitetului, integral sau parțial, oferind motivele
relevante, se aplică articolul 65 alineatul (1).

Articolul 65 Soluționarea litigiilor de către comitet

(1) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament în cazuri
individuale, comitetul adoptă o decizie obligatorie în următoarele cazuri:
(a) atunci când, în unul dintre cazurile menționate la articolul 60 alineatul (4), o autoritate
de supraveghere vizată a formulat o obiecție relevantă și motivată la un proiect de decizie a
autorității de supraveghere principale și autoritatea de supraveghere principală nu a dat curs
obiecției sau a respins o astfel de obiecție ca nefiind relevantă sau motivată. Decizia obligatorie
se referă la toate chestiunile vizate de obiecția relevantă și motivată, în special la chestiunea
dacă prezentul regulament a fost încălcat;
(b) în cazul în care există opinii divergente cu privire la care dintre autoritățile de
supraveghere vizate deține competența pentru sediul principal;
(c) în cazul în care o autoritate de supraveghere competentă nu solicită avizul comitetului
în cazurile menționate la articolul 64 alineatul (1) sau nu ține seama de avizul comitetului emis
în temeiul articolului 64. În acest caz, orice autoritate de supraveghere vizată sau Comisia poate
comunica chestiunea comitetului.
(2) Decizia menționată la alineatul (1) se adoptă în termen de o lună de la prezentarea
chestiunii, cu o majoritate de două treimi a membrilor comitetului. Acest termen poate fi
prelungit cu o lună, ținându-se seama de complexitatea chestiunii. Decizia menționată la
alineatul (1) se motivează și se adresează autorității de supraveghere principale și tuturor
autorităților de supraveghere vizate, fiind obligatorie pentru acestea.
(3) În cazul în care comitetul nu a fost în măsură să adopte o decizie în termenele menționate
la alineatul (2), acesta își adoptă decizia în termen de două săptămâni de la data expirării celei
de a doua luni menționate la alineatul (2), cu o majoritate simplă a membrilor săi. În cazul în
care membrii comitetului au opinii divergente în proporții egale, decizia se adoptă prin votul
președintelui.

110
 (4) Autoritățile de supraveghere vizate nu adoptă o decizie asupra chestiunii prezentate
comitetului în conformitate cu alineatul (1) în termenele menționate la alineatele (2) și (3).
(5) Președintele comitetului notifică, fără întârzieri nejustificate, decizia menționată la
alineatul (1) autorităților de supraveghere vizate. Comitetul informează Comisia cu privire la
acest lucru. Decizia se publică pe site-ul comitetului, fără întârziere, după notificarea de către
autoritatea de supraveghere a deciziei finale menționate la alineatul (6).
(6) Autoritatea de supraveghere principală sau, dacă este cazul, autoritatea de supraveghere
la care s-a depus plângerea își adoptă decizia finală pe baza deciziei menționate la alineatul (1)
din prezentul articol, fără întârziere nejustificată și în termen de cel mult o lună de la notificarea
de către comitet a deciziei sale. Autoritatea de supraveghere principală sau, dacă este cazul,
autoritatea de supraveghere la care s-a depus plângerea informează comitetul cu privire la data
la care decizia sa finală este notificată operatorului sau persoanei împuternicite de operator și,
respectiv, persoanei vizate. Decizia finală a autorităților de supraveghere vizate se adoptă în
conformitate cu condițiile prevăzute la articolul 60 alineatele (7), (8) și (9). Decizia finală se
referă la decizia menționată la alineatul (1) din prezentul articol și precizează faptul că decizia
menționată la respectivul alineat va fi publicată pe site-ul al comitetului, în conformitate cu
alineatul (5). La decizia finală se anexează decizia menționată la alineatul (1) din prezentul
articol.

Articolul 66 Procedura de urgență

(1) În circumstanțe excepționale, atunci când o autoritate de supraveghere vizată consideră
că există o necesitate urgentă de a acționa în scopul protejării drepturilor și libertăților
persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea coerenței
menționat la articolele 63, 64 și 65 sau de la procedura menționată la articolul 60, să adopte de
îndată măsuri provizorii menite să producă efecte juridice pe propriul său teritoriu, cu o
perioadă de valabilitate determinată, care să nu depășească trei luni. Autoritatea de
supraveghere comunică fără întârziere aceste măsuri și motivele adoptării lor celorlalte
autorități de supraveghere vizate, comitetului și Comisiei.
(2) În cazul în care o autoritate de supraveghere a adoptat o măsură în temeiul alineatului
(1) și consideră că este necesară adoptarea de urgență a unor măsuri definitive, aceasta poate
solicita un aviz de urgență sau o decizie obligatorie urgentă din partea comitetului, indicând
motivele pentru această solicitare.
(3) Orice autoritate de supraveghere poate solicita un aviz de urgență sau o decizie
obligatorie urgentă, după caz, din partea comitetului în cazul în care o autoritate de
supraveghere competentă nu a luat o măsură adecvată într-o situație în care există o necesitate
urgentă de a acționa pentru a proteja drepturile și libertățile persoanelor vizate, indicând
motivele pentru solicitarea unui astfel de aviz sau a unei astfel de decizii, inclusiv pentru
necesitatea urgentă de a acționa.
(4) Prin derogare de la articolul 64 alineatul (3) și de la articolul 65 alineatul (2), un aviz de
urgență sau o decizie obligatorie urgentă menționat(ă) la alineatele (2) și (3) de la prezentul

111
articol este adoptat(ă) în termen de două săptămâni cu majoritate simplă a membrilor
comitetului.

Articolul 67 Schimb de informații

Comisia poate adopta acte de punere în aplicare cu un domeniu de aplicare general pentru
a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de
supraveghere, precum și între autoritățile de supraveghere și comitet, în special formularul
standard menționat la articolul 64.
Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de
examinare menționată la articolul 93 alineatul (2).

Secţiunea 3 Comitetul european pentru protecția datelor

Articolul 68 Comitetul european pentru protecția datelor

(1) Comitetul european pentru protecția datelor ("comitetul") este instituit ca organ al
Uniunii și are personalitate juridică.
(2) Comitetul este reprezentat de președintele său.
(3) Comitetul este alcătuit din șeful unei autorități de supraveghere din fiecare stat membru
și din Autoritatea Europeană pentru Protecția Datelor sau reprezentanții respectivi ai acestora.
(4) În cazul în care într-un stat membru mai multe autorități de supraveghere sunt
responsabile de monitorizarea aplicării dispozițiilor adoptate în temeiul prezentului regulament,
se numește un reprezentant comun în conformitate cu dreptul intern al statului membru
respectiv.
(5) Comisia are dreptul de a participa la activitățile și reuniunile comitetului fără a avea
drept de vot. Comisia numește un reprezentant. Președintele comitetului comunică Comisiei
activitățile comitetului.
(6) În cazurile menționate la articolul 65, Autoritatea Europeană pentru Protecția Datelor
deține drept de vot numai cu privire la deciziile care privesc principiile și normele aplicabile în
ceea ce privește instituțiile, organismele, oficiile și agențiile Uniunii care corespund pe fond cu
cele din prezentul regulament.

Articolul 69 Independență
(1) Comitetul acționează independent în îndeplinirea sarcinilor sale sau în exercitarea
competențelor sale în conformitate cu articolele 70 și 71.

112
 (2) Fără a aduce atingere solicitărilor din partea Comisiei menționate la articolul 70
alineatele (1) și (2), comitetul, în îndeplinirea sarcinilor sale sau în exercitarea competențelor
sale, nu solicită și nu acceptă instrucțiuni de la nicio parte externă.

Articolul 70 Sarcinile comitetului

(1) Comitetul asigură aplicarea coerentă a prezentului regulament. În acest scop, din proprie
inițiativă sau, după caz, la solicitarea Comisiei, comitetul are, în special, următoarele sarcini:
(a) să monitorizeze și să asigure aplicarea corectă a prezentului regulament, în cazurile
prevăzute la articolele 64 și 65, fără a aduce atingere sarcinilor autorităților naționale de
supraveghere;
(b) să ofere consiliere Comisiei cu privire la orice aspect legat de protecția datelor cu
caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a
prezentului regulament;
(c) să ofere consiliere Comisiei cu privire la formatul și procedurile pentru schimbul de
informații între operatori, persoanele împuternicite de operatori și autoritățile de supraveghere
pentru regulile corporatiste obligatorii;
(d) să emită orientări, recomandări și bune practici privind procedurile de ștergere a
linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care
dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la articolul 17
alineatul (2);
(e) să examineze, din proprie inițiativă, la cererea unuia dintre membrii săi sau la cererea
Comisiei, orice chestiune referitoare la aplicarea prezentului regulament și să emită orientări,
recomandări și bune practici pentru a încuraja aplicarea coerentă a prezentului regulament;
(f) să emită orientări, recomandări și bune practici în conformitate cu prezentul alineat litera
(e) în vederea detalierii criteriilor și condițiilor pentru deciziile bazate pe crearea de profiluri
menționate la articolul 22 alineatul (2);
(g) să emită orientări, recomandări și bune practici în conformitate cu litera (e) din prezentul
alineat pentru stabilirea încălcării securității datelor cu caracter personal și stabilirii întârzierilor
nejustificate menționate la articolul 33 alineatele (1) și (2), precum și pentru circumstanțele
speciale în care un operator sau o persoană împuternicită de către operator are obligația de a
notifica încălcarea securității datelor cu caracter personal;
(h) să emită orientări, recomandări și bune practici în conformitate cu litera (e) din prezentul
alineat în ceea ce privește circumstanțele în care o încălcare a securității datelor cu caracter
personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor
fizice, menționate la articolul 34 alineatul (1);
(i) să emită orientări, recomandări și bune practici în conformitate cu litera (e) din prezentul
alineat în scopul detalierii criteriilor și cerințelor aplicabile transferurilor de date cu caracter
personal bazate pe regulile corporatiste obligatorii care trebuie respectate de operatori și cele
care trebuie respectate de persoanele împuternicite de operatori, precum și cu privire la cerințe
113
suplimentare necesare pentru a asigura protecția datelor cu caracter personal ale persoanelor
vizate menționate la articolul 47;
(j) să emită orientări, recomandări și bune practici în conformitate cu litera (e) din prezentul
alineat în vederea detalierii criteriilor și cerințelor pentru transferurile de date cu caracter
personal menționate la articolul 49 alineatul (1);
(k) să elaboreze orientări destinate autorităților de supraveghere, referitoare la aplicarea
măsurilor menționate la articolul 58 alineatele (1), (2) și (3) și să stabilească amenzile
administrative în conformitate cu articolul 83;
(l) să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici;
(m) să emită orientări, recomandări și bune practici în conformitate cu litera (e) din
prezentul alineat în vederea stabilirii procedurilor comune de raportare de către persoanele
fizice a încălcărilor prezentului regulament în conformitate cu articolul 54 alineatul (2);
(n) să încurajeze elaborarea de coduri de conduită și stabilirea unor mecanisme de
certificare, precum și a unor sigilii și mărci în domeniul protecției datelor, în conformitate cu
articolele 40 și 42;
(o) să aprobe criteriile de certificare în temeiul articolului 42 alineatul (5) și să țină un
registru public al mecanismelor de certificare și al sigiliilor și mărcilor în materie de protecție
a datelor, în temeiul articolului 42 alineatul (8), și al operatorilor certificați sau al persoanelor
împuternicite de operatori certificate, stabiliți (stabilite) în țări terțe, în temeiul articolului 42
alineatul (7);
(p) să aprobe cerințele menționate la articolul 43 alineatul (3), în vederea acreditării
organismelor de certificare menționate la articolul 43;
(q) să prezinte Comisiei un aviz privind cerințele de certificare menționate la articolul 43
alineatul (8);
(r) să prezinte Comisiei un aviz privind pictogramele menționate la articolul 12 alineatul
(7);
(s) să prezinte Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de
protecție într-o țară terță sau o organizație internațională, inclusiv pentru a determina dacă o
țară terță, un teritoriu, sau unul sau mai multe sectoare specificate din acea țară terță, sau o
organizație internațională nu mai asigură un nivel de protecție adecvat. În acest scop, Comisia
pune la dispoziția comitetului toată documentația necesară, inclusiv corespondența purtată cu
autoritățile publice ale țării terțe, în ceea ce privește acea țară terță, acel teritoriu sau acel sector,
sau cu organizația internațională;
(t) să emită avize privind proiectele de decizii ale autorităților de supraveghere în
conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 64 alineatul (1)
privind chestiunile prezentate în conformitate cu articolul 64 alineatul (2) și să emită decizii
obligatorii în temeiul articolului 65, inclusiv în cazurile menționate la articolul 66;
(u) să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și
bune practici între autoritățile de supraveghere;

114
 (v) să promoveze programe comune de formare și să faciliteze schimburile de personal între
autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe
sau organizațiilor internaționale;
(w) să promoveze schimbul de cunoștințe și de documente privind legislația și practicile în
materie de protecție a datelor cu autoritățile de supraveghere a protecției datelor la nivel
mondial;
(x) să emită avize privind codurile de conduită elaborate la nivelul Uniunii în temeiul
articolului 40 alineatul (9); și
(y) să țină un registru electronic accesibil publicului cu deciziile luate de autoritățile de
supraveghere și de instanțe cu privire la chestiuni tratate în cadrul mecanismului pentru
asigurarea coerenței.
(2) În cazul în care Comisia consultă comitetul, aceasta poate indica un termen limită, ținând
seama de caracterul urgent al chestiunii.
(3) Comitetul își transmite avizele, orientările, recomandările și bunele practici Comisiei și
comitetului menționat la articolul 93 și le face publice.
(4) Dacă este cazul, comitetul consultă părțile interesate și le oferă posibilitatea de a face
observații într-un termen rezonabil. Fără a aduce atingere dispozițiilor articolului 76, comitetul
publică rezultatele procedurii de consultare.

Articolul 71 Rapoarte
(1) Comitetul întocmește un raport anual privind protecția persoanelor fizice cu privire la
prelucrare în Uniune și, dacă este relevant, în țări terțe și organizații internaționale. Raportul
este pus la dispoziția publicului și transmis Parlamentului European, Consiliului și Comisiei.
(2) Raportul anual include o revizuire a aplicării practice a orientărilor, recomandărilor și
bunelor practici menționate la articolul 70 alineatul (1) litera (l), precum și a deciziilor
obligatorii menționate la articolul 65.

Articolul 72 Procedura
(1) Comitetul adoptă decizii prin majoritate simplă a membrilor săi, cu excepția cazului
când se prevede altfel în prezentul regulament.
(2) Comitetul își adoptă propriul regulament de procedură cu o majoritate de două treimi a
membrilor săi și își organizează propriile mecanisme de funcționare.

115
 Articolul 73 Președintele
(1) Comitetul alege un președinte și doi vicepreședinți din rândul membrilor săi, cu
majoritate simplă.
(2) Mandatul președintelui și al vicepreședinților este de cinci ani și poate fi reînnoit o
singură dată.

Articolul 74 Sarcinile președintelui

(1) Președintele are următoarele sarcini:
(a) să convoace reuniunile comitetului și să stabilească ordinea de zi;
(b) să notifice deciziile adoptate de comitet, în conformitate cu articolul 65, autorității de
supraveghere principale și autorităților de supraveghere vizate;
(c) să asigure îndeplinirea la timp a sarcinilor comitetului, în special în ceea ce privește
mecanismul pentru asigurarea coerenței menționat la articolul 63.
(2) Comitetul stabilește în regulamentul său de procedură repartizarea sarcinilor între
președinte și vicepreședinți.

Articolul 75 Secretariatul
(1) Comitetul dispune de un secretariat, care este asigurat de Autoritatea Europeană pentru
Protecția Datelor.
(2) Secretariatul își îndeplinește sarcinile exclusiv pe baza instrucțiunilor președintelui
comitetului.
(3) Personalul Autorității Europene pentru Protecția Datelor implicat în îndeplinirea
sarcinilor conferite comitetului în temeiul prezentului regulament face obiectul unor linii de
raportare separate în raport cu personalul implicat în îndeplinirea sarcinilor conferite Autorității
Europene pentru Protecția Datelor.
(4) Dacă este oportun, comitetul și Autoritatea Europeană pentru Protecția Datelor
elaborează și publică un memorandum de înțelegere pentru punerea în aplicare a prezentului
articol, care să stabilească condițiile cooperării și să se aplice personalului Autorității Europene
pentru Protecția Datelor implicat în îndeplinirea sarcinilor conferite comitetului în temeiul
prezentului regulament.
(5) Secretariatul oferă sprijin analitic, administrativ și logistic comitetului.
(6) Secretariatul este responsabil în special de următoarele:
(a) gestionarea curentă a activității comitetului;

116
 (b) comunicarea dintre membrii comitetului, președintele acestuia și Comisie;
(c) comunicarea cu alte instituții și cu publicul;
(d) utilizarea mijloacelor electronice pentru comunicarea internă și externă;
(e) traducerea informațiilor relevante;
(f) pregătirea și monitorizarea acțiunilor ulterioare reuniunilor comitetului;
(g) pregătirea, redactarea și publicarea avizelor, deciziilor privind soluționarea litigiilor
dintre autoritățile de supraveghere și a altor texte adoptate de comitet.

Articolul 76 Confidențialitate
(1) Discuțiile din cadrul comitetului sunt confidențiale în cazul în care comitetul consideră
că acest lucru este necesar în conformitate cu regulamentul său de procedură.
(2) Accesul la documentele prezentate membrilor comitetului, experților și reprezentanților
părților terțe este reglementat prin Regulamentul (CE) nr. 1049/2001 al Parlamentului European
și al Consiliului *21).

Capitolul VIII Căi de atac, răspundere și sancțiuni

Articolul 77 Dreptul de a depune o plângere la o autoritate de supraveghere

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană
vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul
membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut
loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal
care o vizează încalcă prezentul regulament.
(2) Autoritatea de supraveghere la care s-a depus plângerea informează reclamantul cu
privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac
judiciară în temeiul articolului 78.

Articolul 78 Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de

supraveghere
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare
persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva

117
unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o
vizează.
(2) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare
persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care
autoritatea de supraveghere care este competentă în temeiul articolelor 55 și 56 nu tratează o
plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau
la soluționarea plângerii depuse în temeiul articolului 77.
(3) Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața
instanțelor din statul membru în care este stabilită autoritatea de supraveghere.
(4) În cazul în care acțiunile sunt introduse împotriva unei decizii a unei autorități de
supraveghere care a fost precedată de un aviz sau o decizie a comitetului în cadrul mecanismului
pentru asigurarea coerenței, autoritatea de supraveghere transmite curții avizul respectiv sau
decizia respectivă.

Articolul 79 Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei
persoane împuternicite de operator
(1) Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile,
inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului
77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în
care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost
încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul
regulament.
(2) Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator
sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită
de operator își are un sediu. Alternativ, o astfel de acțiune poate fi prezentată în fața instanțelor
din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care
operatorul sau persoana împuternicită de operator este o autoritate publică a unui stat membru
ce acționează în exercitarea competențelor sale publice.

Articolul 80 Reprezentarea persoanelor vizate

(1) Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără
scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern,
ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției
drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter
personal, să depună plângerea în numele său, să exercite în numele său drepturile menționate
la articolele 77, 78 și 79, precum și să exercite dreptul de a primi despăgubiri menționat la
articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.

118
 (2) Statele membre pot prevedea că orice organism, organizație sau asociație menționată la
alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul
de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este
competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79,
în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament
au fost încălcate ca urmare a prelucrării.

Articolul 81 Suspendarea procedurilor

(1) În cazul în care o instanță competentă a unui stat membru are informații că pe rolul unei
instanțe dintr-un alt stat membru se află o acțiune având același obiect în ceea ce privește
activitățile de prelucrare ale aceluiași operator sau ale aceleași persoane împuternicite de
operator, instanța respectivă contactează instanța din celălalt stat membru pentru a confirma
existența unor astfel de acțiuni.
(2) Atunci când pe rolul unei instanțe dintr-un alt stat membru se află o acțiune având același
obiect în ceea ce privește activitățile de prelucrare ale aceluiași operator sau ale aceleași
persoane împuternicite de operator, orice altă instanță competentă decât instanța sesizată inițial
poate suspenda acțiunea aflată la ea pe rol.
(3) În cazul în care o astfel de acțiune se judecă în primă instanță, orice instanță sesizată
ulterior poate, de asemenea, la cererea uneia dintre părți, să-și decline competența, cu condiția
ca respectiva acțiune să fie de competența primei instanțe sesizate și ca dreptul aplicabil acesteia
să permită conexarea acțiunilor.

Articolul 82 Dreptul la despăgubiri și răspunderea

(1) Orice persoană care a suferit un prejudiciu materiale sau moral ca urmare a unei încălcări
a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana
împuternicită de operator pentru prejudiciul suferit.
(2) Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul
cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. Persoana
împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în
cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific
persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile
legale ale operatorului.
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în
temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel
pentru evenimentul care a cauzat prejudiciul.
(4) În cazul în care mai mulți operatori sau mai multe persoane împuternicite de operator,
sau un operator și o persoană împuternicită de operator sunt implicați (implicate) în aceeași
operațiune de prelucrare și răspund, în temeiul alineatelor (2) și (3), pentru orice prejudiciu
119
cauzat de prelucrare, fiecare operator sau persoană împuternicită de operator este răspunzător
(răspunzătoare) pentru întregul prejudiciu pentru a asigura despăgubirea efectivă a persoanei
vizate.
(5) În cazul în care un operator sau o persoană împuternicită de operator a plătit, în
conformitate cu alineatul (4), în totalitate despăgubirile pentru prejudiciul ocazionat,
respectivul operator sau respectiva persoană împuternicită de operator are dreptul să solicite de
la ceilalți operatori sau celelalte persoane împuternicite de operator implicate în aceeași
operațiune de prelucrare recuperarea acelei părți din despăgubiri care corespunde părții lor de
răspundere pentru prejudiciu, în conformitate cu condițiile stabilite la alineatul (2).
(6) Acțiunile în exercitarea dreptului de recuperare a despăgubirilor plătite se introduc la
instanțele competente în temeiul dreptului statului membru menționat la articolul 79 alineatul
(2).

Articolul 83 Condiții generale pentru impunerea amenzilor administrative

(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi
administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament
menționate la alineatele (4), (5) și, (6) este, în fiecare caz, eficace, proporțională și disuasivă.
(2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse
în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și
(j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la
valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor
aspecte:
(a) natura, gravitatea și durata încălcării, ținându-se seama de natura, domeniul de aplicare
sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul
prejudiciilor suferite de acestea;
(b) dacă încălcarea a fost comisă intenționat sau din neglijență;
(c) orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a
reduce prejudiciul suferit de persoana vizată;
(d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator
ținându-se seama de măsurile tehnice și organizatorice implementate de aceștia în temeiul
articolelor 25 și 32;
(e) eventualele încălcări anterioare relevante comise de operator sau de persoana
împuternicită de operator;
(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a
atenua posibilele efecte negative ale încălcării;
(g) categoriile de date cu caracter personal afectate de încălcare;
(h) modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, în special
dacă și în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;
120
 (i) în cazul în care măsurile menționate la articolul 58 alineatul (2) au fost dispuse anterior
împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la același
obiect, respectarea respectivelor măsuri;
(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul 40, sau la mecanisme
de certificare aprobate, în conformitate cu articolul 42; și
(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi
beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma
încălcării.
(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod
intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de
prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii
administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.
(4) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică
amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2
% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior,
luându-se în calcul cea mai mare valoare:
(a) obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu
articolele 8, 11, 25-39, 42 și 43;
(b) obligațiile organismului de certificare în conformitate cu articolele 42 și 43;
(c) obligațiile organismului de monitorizare în conformitate cu articolul 41 alineatul (4).
(5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică
amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4
% din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior,
luându-se în calcul cea mai mare valoare:
(a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în
conformitate cu articolele 5, 6, 7 și 9;
(b) drepturile persoanelor vizate în conformitate cu articolele 12-22;
(c) transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o
organizație internațională, în conformitate cu articolele 44-49;
(d) orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;
(e) nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării,
sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul
articolului 58 alineatul (2), sau neacordarea accesului, încălcând articolul 58 alineatul (1).
(6) Pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu
articolul 58 alineatul (2) se aplică, în conformitate cu alineatul (2) din prezentul articol, amenzi
administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din
cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-
se în calcul cea mai mare valoare.

121
 (7) Fără a aduce atingere competențelor corective ale autorităților de supraveghere
menționate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să
se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și
organismelor publice stabilite în statul membru respectiv.
(8) Exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul
prezentului articol are loc cu condiția existenței unor garanții procedurale adecvate în
conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv căi de atac judiciare eficiente și
dreptul la un proces echitabil.
(9) În cazul în care sistemul juridic al statului membru nu prevede amenzi administrative,
prezentul articol poate fi aplicat astfel încât amenda să fie inițiată de autoritatea de supraveghere
competentă și impusă de instanțele naționale competente, garantându-se, în același timp, faptul
că aceste căi de atac sunt eficiente și au un efect echivalent cu cel al amenzilor administrative
impuse de autoritățile de supraveghere. În orice caz, amenzile impuse trebuie să fie eficace,
proporționale și disuasive. Respectivele state membre informează Comisia cu privire la
dispozițiile de drept intern pe care le adoptă în temeiul prezentului alineat până la 25 mai 2018,
precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare
ulterioară a acestora.

Articolul 84 Sancțiuni
(1) Statele membre stabilesc normele privind alte sancțiunile aplicabile în caz de încălcare
a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi
administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul
că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile de drept intern pe care
le adoptă în temeiul alineatului (1) până la 25 mai 2018, precum și, fără întârziere, cu privire la
orice modificare ulterioară a acestora.

Capitolul IX Dispoziții referitoare la situații specifice de prelucrare

Articolul 85 Prelucrarea și libertatea de exprimare și de informare

(1) Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la
protecția datelor cu caracter personal în temeiul prezentului regulament și dreptul la libertatea
de exprimare și de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul
exprimării academice, artistice sau literare.
(2) Pentru prelucrarea efectuată în scopuri jurnalistice sau în scopul exprimării academice,
artistice sau literare, statele membre prevăd exonerări sau derogări de la dispozițiile capitolului
II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul și

122
persoana împuternicită de operator), ale capitolului V (transferul datelor cu caracter personal
către țări terțe sau organizații internaționale), ale capitolului VI (autorități de supraveghere
independente), ale capitolului VII (cooperare și coerență) și ale capitolului IX (situații specifice
de prelucrare a datelor) în cazul în care acestea sunt necesare pentru a asigura un echilibru între
dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare.
(3) Fiecare stat membru informează Comisia cu privire la dispozițiile de drept intern pe care
le-a adoptat în temeiul alineatului (2) precum și, fără întârziere, cu privire la orice act legislativ
de modificare sau orice modificare ulterioară a acestora.

Articolul 86 Prelucrarea și accesul public la documente oficiale

Datele cu caracter personal din documentele oficiale deținute de o autoritate publică sau de
un organism public sau privat pentru îndeplinirea unei sarcini care servește interesului public
pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau
cu dreptul intern sub incidența căruia intră autoritatea sau organismul, pentru a stabili un
echilibru între accesul public la documente oficiale și dreptul la protecția datelor cu caracter
personal în temeiul prezentului regulament.

Articolul 87 Prelucrarea unui număr de identificare național

Statele membre pot detalia în continuare condițiile specifice de prelucrare a unui număr de
identificare național sau a oricărui alt identificator cu aplicabilitate generală. În acest caz,
numărul de identificare național sau orice alt identificator cu aplicabilitate generală este folosit
numai în temeiul unor garanții corespunzătoare pentru drepturile și libertățile persoanei vizate
în temeiul prezentului regulament.

Articolul 88 Prelucrarea în contextul ocupării unui loc de muncă

(1) Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate
pentru a asigura protecția drepturilor și a libertăților cu privire la prelucrarea datelor cu caracter
personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării,
al îndeplinirii clauzelor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin
lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al egalității și
diversității la locul de muncă, al asigurării sănătății și securității la locul de muncă, al protejării
proprietății angajatorului sau a clientului, precum și în scopul exercitării și beneficierii, în mod
individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă,
precum și pentru încetarea raporturilor de muncă.
(2) Aceste norme includ măsuri corespunzătoare și specifice pentru garantarea demnității
umane, a intereselor legitime și a drepturilor fundamentale ale persoanelor vizate, în special în
ceea ce privește transparența prelucrării, transferul de date cu caracter personal în cadrul unui
grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică
comună și sistemele de monitorizare la locul de muncă.

123
 (3) Fiecare stat membru informează Comisia cu privire la dispozițiile de drept intern pe care
le adoptă în temeiul alineatului (1) până la 25 mai 2018, precum și, fără întârziere, cu privire la
orice modificare ulterioară a acestora.

Articolul 89 Garanții și derogări privind prelucrarea în scopuri de arhivare în interes public,

în scopuri de cercetare științifică sau istorică ori în scopuri statistice
(1) Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau
istorică ori în scopuri statistice are loc cu condiția existenței unor garanții corespunzătoare, în
conformitate cu prezentul regulament, pentru drepturile și libertățile persoanelor vizate.
Respectivele garanții asigură faptul că au fost instituite măsuri tehnice și organizatorice
necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor.
Respectivele măsuri pot include pseudonimizarea, cu condiția ca respectivele scopuri să fie
îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare
ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile
respective sunt îndeplinite în acest mod.
(2) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare
științifică sau istorică ori în scopuri statistice, dreptul Uniunii sau dreptul intern poate să
prevadă derogări de la drepturile menționate la articolele 15, 16, 18 și 21, sub rezerva condițiilor
și a garanțiilor prevăzute la alineatul (1) din prezentul articol, în măsura în care drepturile
respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor
specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.
(3) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare în
interes public, dreptul Uniunii sau dreptul intern poate să prevadă derogări de la drepturile
menționate la articolele 15, 16, 18, 19, 20 și 21, sub rezerva condițiilor și a garanțiilor prevăzute
la alineatul (1) din prezentul articol, în măsura în care drepturile respective sunt de natură să
facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările
respective sunt necesare pentru îndeplinirea acestor scopuri.
(4) În cazul în care prelucrarea menționată la alineatele (2) și (3) servește în același timp și
altui scop, derogările se aplică numai prelucrării în scopurile menționate la alineatele respective.

Articolul 90 Obligații privind păstrarea confidențialității

(1) Statele membre pot adopta norme specifice pentru a stabili competențele autorităților de
supraveghere, prevăzute la articolul 58 alineatul (1) literele (e) și (f), în legătură cu operatori
sau cu persoane împuternicite de operatori care, în temeiul dreptului Uniunii sau al dreptului
intern sau în temeiul normelor stabilite de organismele naționale competente, au obligația de a
păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care
acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția
datelor cu caracter personal și obligația păstrării confidențialității. Respectivele norme se aplică
doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana

124
împuternicită de operator le-a primit în urma sau în contextul unei activități care intră sub
incidența acestei obligații de păstrare a confidențialității.
(2) Fiecare stat membru notifică Comisiei normele adoptate în temeiul alineatului (1) până
la 25 mai 2018, precum și, fără întârziere, orice modificare ulterioară a acestora.

Articolul 91 Normele existente în domeniul protecției datelor pentru biserici și asociații

religioase
(1) În cazul în care, într-un stat membru, bisericile și asociațiile sau comunitățile religioase
aplică, la data intrării în vigoare a prezentului regulament, un set cuprinzător de norme de
protecție a persoanelor fizice cu privire la prelucrare, aceste norme pot continua să se aplice, cu
condiția să fie aliniate la prezentul regulament.
(2) Bisericile și asociațiile religioase care aplică un set cuprinzător de norme în conformitate
cu alineatul (1) din prezentul articol sunt supuse supravegherii unei autorități de supraveghere
independente care poate fi specifică, cu condiția să îndeplinească condițiile stabilite în capitolul
VI din prezentul regulament.

Capitolul X Acte delegate și acte de punere în aplicare

Articolul 92 Exercitarea delegării

(1) Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute de
prezentul articol.
(2) Delegarea de competențe prevăzută la articolul 12 alineatul (8) și la articolul 43 alineatul
(8) se conferă Comisiei pe o perioadă nedeterminată de la 24 mai 2016.
(3) Delegarea de competențe menționată la articolul 12 alineatul (8) și la articolul 43
alineatul (8) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. O
decizie de revocare pune capăt delegării de competențe specificată în decizia respectivă.
Decizia produce efecte din ziua următoare datei publicării acesteia în Jurnalul Oficial al Uniunii
Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere validității
actelor delegate care sunt deja în vigoare.
(4) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European
și Consiliului.
(5) Un act delegat adoptat în conformitate cu articolul 12 alineatul (8) și cu articolul 43
alineatul (8) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul
nu au formulat obiecțiuni în termen de trei luni de la notificarea acestuia Parlamentului
European și Consiliului, sau în cazul în care, înainte de expirarea termenului respectiv,
Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecțiuni.

125
Respectivul termen se prelungește cu trei luni la inițiativa Parlamentului European sau a
Consiliului.

Articolul 93 Procedura comitetului

(1) Comisia este asistată de un comitet. Comitetul respectiv este un comitet în înțelesul
Regulamentul (UE) nr. 182/2011.
(2) În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din
Regulamentul (UE) nr. 182/2011.
(3) În cazul în care se face trimitere la prezentul alineat, se aplică articolul 8 din
Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din respectivul regulament.

Capitolul XI Dispoziții finale

Articolul 94 Abrogarea Directivei 95/46/CE

(1) Decizia 95/46/CE se abrogă cu efect de la 25 mai 2018.
(2) Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament.
Trimiterile la Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea
datelor cu caracter personal instituit prin articolul 29 din Decizia 95/46/CE se interpretează ca
trimiteri la Comitetul european pentru protecția datelor instituit prin prezentul regulament.

Articolul 95 Relația cu Directiva 2002/58/CE

Prezentul regulament nu impune obligații suplimentare pentru persoanele fizice sau juridice
în ceea ce privește prelucrarea în legătură cu furnizarea de servicii de comunicații electronice
destinate publicului în rețelele de comunicații publice din Uniune, cu privire la aspectele pentru
care acestora le revin obligații specifice cu același obiectiv prevăzut în Directiva 2002/58/CE.

Articolul 96 Relația cu acordurile încheiate anterior

Acordurile internaționale care implică transferul de date cu caracter personal către țări terțe
sau organizații internaționale, care au fost încheiate de statele membre înainte de 24 mai 2016
și care sunt în conformitate cu dreptul Uniunii aplicabil înainte de data respectivă, rămân în
vigoare până când vor fi modificate, înlocuite sau revocate.

126
 Articolul 97 Rapoartele Comisiei
(1) Până la 25 mai 2020 și, ulterior, la fiecare patru ani, Comisia transmite Parlamentului
European și Consiliului un raport privind evaluarea și revizuirea prezentului regulament.
Rapoartele sunt făcute publice.
(2) În contextul evaluărilor și revizuirilor menționate la alineatul (1), Comisia examinează
în special aplicarea și funcționarea:
(a) capitolului V privind transferul datelor cu caracter personal către țări terțe sau organizații
internaționale, având în vedere în special deciziile adoptate în temeiul articolului 45 alineatul
(3) din prezentul regulament și deciziile adoptate în temeiul articolului 25 alineatul (6) din
Decizia 95/46/CE;
(b) capitolul VII privind cooperarea și coerența.
(3) În scopul alineatului (1), Comisia poate solicita informații de la statele membre și de la
autoritățile de supraveghere.
(4) La efectuarea evaluărilor și a revizuirilor menționate la alineatele (1) și (2), Comisia ia
în considerare pozițiile și constatările Parlamentului European, ale Consiliului, precum și ale
altor organisme sau surse relevante.
(5) Comisia transmite, dacă este necesar, propuneri corespunzătoare de modificare a
prezentului regulament, în special ținând seama de evoluțiile din domeniul tehnologiei
informației și având în vedere progresele societății informaționale.

Articolul 98 Revizuirea altor acte juridice ale Uniunii în materie de protecție a datelor
Dacă este cazul, Comisia prezintă propuneri legislative în vederea modificării altor acte
juridice ale Uniunii privind protecția datelor cu caracter personal, în vederea asigurării unei
protecții uniforme și consecvente a persoanelor fizice în ceea ce privește prelucrarea. Acest
lucru privește în special normele referitoare la protecția persoanelor fizice în ceea ce privește
prelucrarea de către instituțiile, organismele, oficiile și agențiile Uniunii, precum și normele
referitoare la libera circulație a acestor date.

Articolul 99 Intrare în vigoare și aplicare

(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul
Oficial al Uniunii Europene.
(2) Prezentul regulament se aplică de la 25 mai 2018.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate
statele membre.
*1) JO C 229, 31.7.2012, p. 90.

127
 *2) JO C 391, 18.12.2012, p.127.
*3) Poziția Parlamentului European din 12 martie 2014 (nepublicată încă în Jurnalul
Oficial) și Poziția în primă lectură a Consiliului din 8 aprilie 2016 (nepublicată încă în Jurnalul
Oficial). Poziția Parlamentului European din 14 aprilie 2016.
*4) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal
și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).
*5) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea
microîntreprinderilor și a întreprinderilor mici și mijlocii [C(2003) 1422] (JO L 124, 20.5.2003,
p. 36).
*6) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18
decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter
personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO
L 8, 12.1.2001, p. 1).
*7) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016
privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către
autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a
infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de
abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal
Oficial).
*8) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000
privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale
comerțului electronic, pe piața internă (directiva privind comerțul electronic) (JO L 178,
17.7.2000, p. 1).
*9) Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011
privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (JO L 88,
4.4.2011, p. 45).
*10) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în
contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
*11) Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16
decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la
sănătatea și siguranța la locul de muncă (JO L 354, 31.12.2008, p. 70).
*12) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16
februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control
de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55,
28.2.2011, p. 13).
*13) Regulamentul (UE) nr. 1215/2012 al Parlamentului European și al Consiliului din 12
decembrie 2012 privind competența judiciară, recunoașterea și executarea hotărârilor în materie
civilă și comercială (JO L 351, 20.12.2012, p. 1).

128
 *14) Directiva 2003/98/CE a Parlamentului European și a Consiliului din 17 noiembrie
2003 privind reutilizarea informațiilor din sectorul public (JO L 345, 31.12.2003, p. 90).
*15) Regulamentul (UE) nr. 536/2014 al Parlamentului European și al Consiliului din 16
aprilie 2014 privind studiile clinice intervenționale cu medicamente de uz uman și de abrogare
a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).
*16) Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11
martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr.
1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice
confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97
al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului
de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87,
31.3.2009, p. 164).
*17) JO C 192, 30.6.2012, p. 7.
*18) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002
privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor
publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002,
p. 37).
*19) Directiva 98/34/CE a Parlamentului European și a Consiliului din 22 iunie 1998 de
stabilire a unei proceduri pentru furnizarea de informații în domeniul standardelor și
reglementărilor tehnice și al normelor privind serviciile societății informaționale (JO L 204,
21.7.1998, p. 37).
*20) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9
iulie 2008 de stabilire a cerințelor de acreditare și de supraveghere a pieței în ceea ce privește
comercializarea produselor și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218,
13.8.2008, p. 30)
*21) Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30
mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale
Comisiei (JO L 145, 31.5.2001, p. 43).
----

129
 LEGE nr. 95 din 14 aprilie 2006 (**republicată**)
privind reforma în domeniul sănătății
Titlul VII Spitalele
Capitolul I Dispoziții generale
Articolul 163
(1) Spitalul este unitatea sanitară cu paturi, de utilitate publică, cu personalitate juridică, ce
furnizează servicii medicale.
(2) Spitalul poate fi public, public cu secții sau compartimente private sau privat. Spitalele
de urgență se înființează și funcționează numai ca spitale publice.
(3) Spitalele publice, prin secțiile, respectiv compartimentele private, și spitalele private pot
furniza servicii medicale decontate din asigurările sociale de sănătate, în condițiile stabilite în
Contractul-cadru privind condițiile acordării asistenței medicale în cadrul sistemului de
asigurări sociale de sănătate, din alte tipuri de asigurări de sănătate, precum și servicii medicale
cu plată, în condițiile legii.
(4) Serviciile medicale acordate de spital pot fi preventive, curative, de recuperare și/sau
paleative.
(5) Spitalele participă la asigurarea stării de sănătate a populației.
Articolul 164
(1) Activitățile organizatorice și funcționale cu caracter medico-sanitar din spitale sunt
reglementate și supuse controlului Ministerului Sănătății, iar în spitalele din subordinea
ministerelor și instituțiilor cu rețea sanitară proprie, controlul este efectuat de structurile
specializate ale acestora.
(2) Spitalul poate furniza servicii medicale numai dacă funcționează în condițiile
autorizației de funcționare, în caz contrar, activitatea spitalelor se suspendă, potrivit normelor
aprobate prin ordin al ministrului sănătății*).
Notă
*) A se vedea Ordinul ministrului sănătății publice nr. 1.232/2006 pentru aprobarea
Normelor privind suspendarea activității spitalelor care nu respectă condițiile prevăzute de
autorizația sanitară de funcționare, publicat în Monitorul Oficial al României, Partea I, nr. 865
din 23 octombrie 2006.
Articolul 165
(1) În spital, în ambulatoriile de specialitate sau în alte unități, după caz, se pot desfășura și
activități de învățământ medico-farmaceutic, postliceal, universitar și postuniversitar, precum
și activități de cercetare științifică medicală. Aceste activități se desfășoară sub îndrumarea
personalului didactic integrat. Activitățile de învățământ și cercetare vor fi astfel organizate
încât să consolideze calitatea actului medical, cu respectarea drepturilor pacienților, a eticii și
deontologiei medicale.

130
 (la 21-09-2020, Alineatul (1) din Articolul 165 , Capitolul I , Titlul VII a fost modificat de
Punctul 1, ARTICOLUL UNIC din LEGEA nr. 205 din 18 septembrie 2020, publicată în
MONITORUL OFICIAL nr. 858 din 18 septembrie 2020 )
(1^1) Personalul didactic medico-farmaceutic din universități care au în structură facultăți
de medicină, medicină dentară și farmacie acreditate beneficiază de integrare clinică în unitățile
și instituțiile din subordinea, coordonarea sau sub autoritatea Ministerului Sănătății, în unitățile
medicale din subordinea ministerelor și instituțiilor cu rețea sanitară proprie, în unitățile și
instituțiile medicale din subordinea autorităților administrației publice locale, precum și în
spitale și cabinete private.
(la 21-09-2020, Articolul 165 din Capitolul I , Titlul VII a fost completat de Punctul 2,
ARTICOLUL UNIC din LEGEA nr. 205 din 18 septembrie 2020, publicată în MONITORUL
OFICIAL nr. 858 din 18 septembrie 2020 )
(1^2) Începând cu drepturile salariale aferente lunii ianuarie 2022, cadrele didactice
prevăzute la alin. (1^1) care desfășoară activitate integrată beneficiază și de o indemnizație
lunară egală cu 50% din salariul de bază al funcției de medic, medic stomatolog sau farmacist,
corespunzător vechimii în muncă și gradului profesional deținut.
(la 31-12-2020, Alineatul (1^2) din Articolul 165 , Capitolul I , Titlul VII a fost modificat
de Articolul VII din ORDONANȚA DE URGENȚĂ nr. 226 din 30 decembrie 2020, publicată
în MONITORUL OFICIAL nr. 1332 din 31 decembrie 2020 )
(1^3) Indemnizația prevăzută la alin. (1^2) se suportă de la bugetul de stat și nu se ia în
calcul la determinarea limitei prevăzute la art. 25 din Legea-cadru nr. 153/2017 privind
salarizarea personalului plătit din fonduri publice, cu modificările și completările ulterioare.
(la 21-09-2020, Articolul 165 din Capitolul I , Titlul VII a fost completat de Punctul 2,
ARTICOLUL UNIC din LEGEA nr. 205 din 18 septembrie 2020, publicată în MONITORUL
OFICIAL nr. 858 din 18 septembrie 2020 )
(2) Colaborarea dintre spitale și instituțiile de învățământ superior medical, respectiv
unitățile de învățământ medical, se desfășoară pe bază de contract, încheiat conform
metodologiei aprobate prin ordin comun al ministrului sănătății și al ministrului educației și
cercetării**).
Notă
**) A se vedea Ordinul ministrului sănătății publice și al ministrului educației, cercetării și
tineretului nr. 140/1.515/2007 pentru aprobarea Metodologiei în baza căreia se realizează
colaborarea dintre spitale și instituțiile de învățământ superior medical, respectiv unitățile de
învățământ medical, publicat în Monitorul Oficial al României, Partea I, nr. 645 din 21
septembrie 2007.
(3) Cercetarea științifică medicală se efectuează pe bază de contract de cercetare, încheiat
între spital și finanțatorul cercetării.
(3^1) Medicii care sunt încadrați în structurile de cercetare, în cadrul programului de lucru
de la funcția de cercetare, au dreptul să desfășoare activitate medicală și în structurile medicale
corespunzător funcției, specialității și gradului profesional în care sunt confirmați, cu excepția
rezidenților.

131
 (la 12-08-2019, Articolul 165 din Capitolul I , Titlul VII a fost completat de Punctul 5,
Articolul I din ORDONANȚA nr. 9 din 8 august 2019, publicată în MONITORUL OFICIAL
nr. 668 din 09 august 2019 )
(4) Spitalele au obligația să desfășoare activitatea de educație medicală și cercetare (EMC)
pentru medici, asistenți medicali și alt personal. Costurile acestor activități sunt suportate de
personalul beneficiar. Spitalul clinic poate suporta astfel de costuri, în condițiile alocărilor
bugetare.
Articolul 166
(1) Spitalul asigură condiții de investigații medicale, tratament, cazare, igienă, alimentație
și de prevenire a infecțiilor nozocomiale, conform normelor aprobate prin ordin al ministrului
sănătății***).
Notă
***) A se vedea Ordinul ministrului sănătății publice nr. 261/2007 pentru aprobarea
Normelor tehnice privind curățarea, dezinfecția și sterilizarea în unitățile sanitare, publicat în
Monitorul Oficial al României, Partea I, nr. 128 din 21 februarie 2007, cu modificările și
completările ulterioare.
(2) Spitalul răspunde, în condițiile legii, pentru calitatea actului medical, pentru respectarea
condițiilor de cazare, igienă, alimentație și de prevenire a infecțiilor nozocomiale, precum și
pentru acoperirea prejudiciilor cauzate pacienților.
Articolul 167
(1) Ministerul Sănătății reglementează și aplică măsuri de creștere a eficienței și calității
serviciilor medicale și de asigurare a accesului echitabil al populației la serviciile medicale.
(2) Pentru asigurarea dreptului la ocrotirea sănătății, Ministerul Sănătății propune, o dată la
3 ani, Planul național de paturi, care se aprobă prin hotărâre a Guvernului.
Articolul 168
(1) Orice spital are obligația de a acorda primul ajutor și asistență medicală de urgență
oricărei persoane care se prezintă la spital, dacă starea sănătății persoanei este critică. După
stabilizarea funcțiilor vitale, spitalul va asigura, după caz, transportul obligatoriu medicalizat la
o altă unitate medico-sanitară de profil.
(2) Spitalul va fi în permanență pregătit pentru asigurarea asistenței medicale în caz de
război, dezastre, atacuri teroriste, conflicte sociale și alte situații de criză și este obligat să
participe cu toate resursele la înlăturarea efectelor acestora.
(3) Cheltuielile efectuate de unitățile spitalicești, în cazurile prevăzute la alin. (2), se
rambursează de la bugetul de stat, prin bugetele ministerelor, ale instituțiilor în rețeaua cărora
funcționează, precum și prin bugetul unității administrativ-teritoriale, bugetele universităților
de medicină și farmacie, ale universităților care au în structură facultăți de medicină și farmacie
acreditate, după caz, prin hotărâre a Guvernului, în termen de maximum 30 de zile de la data
încetării cauzei care le-a generat.
Capitolul II Organizarea și funcționarea spitalelo

132
 Articolul 169
(1) Spitalele se organizează și funcționează, pe criteriul teritorial, în spitale regionale,
spitale județene și spitale locale (municipale, orășenești sau comunale).
(2) Spitalele se organizează și funcționează, în funcție de specificul patologiei, în spitale
generale, spitale de urgență, spitale de specialitate și spitale pentru bolnavi cu afecțiuni cronice.
(3) Spitalele se organizează și funcționează, în funcție de regimul proprietății, în:
a) spitale publice, organizate ca instituții publice;
b) spitale private, organizate ca persoane juridice de drept privat;
c) spitale publice în care funcționează și secții private.
(4) Din punctul de vedere al învățământului și al cercetării științifice medicale, spitalele pot
fi:
a) spitale clinice publice cu secții/compartimente clinice;
b) institute;
c) spitale private cu secții/compartimente clinice.
(la 03-09-2021, Alineatul (4) din Articolul 169 , Capitolul II , Titlul VII a fost modificat de
Punctul 17, Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată în
MONITORUL OFICIAL nr. 834 din 31 august 2021 )
(4^1) Secțiile/Compartimentele clinice se înființează prin ordin al ministrului sănătății, la
propunerea instituției de învățământ medical superior.
(la 03-09-2021, Articolul 169 din Capitolul II , Titlul VII a fost completat de Punctul 18,
Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL
nr. 834 din 31 august 2021 )
Notă
Conform alineatului (2) al articolului IV din ORDONANȚA nr. 18 din 30 august 2021,
publicată în MONITORUL OFICIAL nr. 834 din 31 august 2021, condițiile și metodologia
privind înființarea/desființarea și reorganizarea secțiilor/compartimentelor clinice, prevăzute la
art. 169 alin. (4^1) din Legea nr. 95/2006, republicată, cu modificările și completările ulterioare,
se stabilesc prin ordin al ministrului sănătății și al ministrului educației, în termen de 60 de zile
de la data intrării în vigoare a prezentei ordonanțe.
(5) În funcție de competențe, spitalele pot fi clasificate pe categorii. Criteriile în funcție de
care se face clasificarea se aprobă prin ordin al ministrului sănătății****).
Notă
****) A se vedea Ordinul ministrului sănătății nr. 323/2011 privind aprobarea metodologiei
și a criteriilor minime obligatorii pentru clasificarea spitalelor în funcție de competență, publicat
în Monitorul Oficial al României, Partea I, nr. 274 din 19 aprilie 2011, cu modificările și
completările ulterioare.

133
 Articolul 170
(1) În înțelesul prezentului titlu, termenii și noțiunile folosite au următoarele semnificații:
a) spitalul regional de urgență este definit potrivit dispozițiilor art. 92 alin. (1) lit. l);
(la 01-03-2018, Litera a) din Alineatul (1) , Articolul 170 , Capitolul II , Titlul VII a fost
modificată de Punctul 14, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie
2018, publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
a^1) spitalul republican - spital clinic, în care, împreună cu instituții publice de învățământ
superior, se desfășoară activități de asistență medicală, învățământ medical, cercetare științifică-
medicală și de educație medicală continuă, cu cel mai înalt grad de competență și având în
structură toate specialitățile medicale;
(la 01-03-2018, Alineatul (1) din Articolul 170 , Capitolul II , Titlul VII a fost completat de
Punctul 15, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
b) spitalul județean - spitalul general organizat în reședința de județ, cu o structură complexă
de specialități medico-chirurgicale, cu unitate de primire urgențe, care asigură urgențele
medico-chirurgicale și acordă asistență medicală de specialitate, inclusiv pentru cazurile grave
din județ care nu pot fi rezolvate la nivelul spitalelor locale;
c) spitalul local - spitalul general care acordă asistență medicală de specialitate în teritoriul
unde funcționează, respectiv municipiu, oraș, comună;
d) spitalul de urgență - spitalul care dispune de o structură complexă de specialități, dotare
cu aparatură medicală corespunzătoare, personal specializat, având amplasament și
accesibilitate pentru teritorii extinse. În structura spitalului de urgență funcționează obligatoriu
o structură de urgență (U.P.U., C.P.U.) care, în funcție de necesități, poate avea și un serviciu
mobil de urgență - reanimare și transport medicalizat;
e) spitalul general - spitalul care are organizate în structură, de regulă, două dintre
specialitățile de bază, respectiv medicină internă, pediatrie, obstetrică-ginecologie, chirurgie
generală;
f) spitalul de specialitate - spitalul care asigură asistență medicală într-o specialitate în
conexiune cu alte specialități complementare;
g) spitalul pentru bolnavi cu afecțiuni cronice - spitalul în care durata de spitalizare este
prelungită datorită specificului patologiei. Bolnavii cu afecțiuni cronice și probleme sociale vor
fi preluați de unitățile de asistență medico-sociale, precum și de așezămintele de asistență
socială prevăzute de lege, după evaluarea medicală;
h) spitalul clinic - spitalul care are în componență secții/compartimente clinice care asigură
asistență medicală, desfășoară activitate de învățământ, cercetare științifică medicală și de
educație medicală continuă (EMC), având relații contractuale sau fiind înființat de o instituție
de învățământ medical superior acreditată. Institutele, centrele medicale și spitalele de
specialitate care au în componență o/un secție/compartiment clinic sunt spitale clinice. Pentru
activitatea medicală, diagnostică și terapeutică, personalul didactic este în subordinea
administrației spitalului, în conformitate cu prevederile contractului de muncă;

134
 (la 03-09-2021, Litera h) din Alineatul (1) , Articolul 170 , Capitolul II , Titlul VII a fost
modificată de Punctul 19, Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată
în MONITORUL OFICIAL nr. 834 din 31 august 2021 )
i) secțiile/compartimentele clinice - secțiile/compartimentele de spital în care se desfășoară
activități de asistență medicală, învățământ medical, cercetare științifică medicală și de educație
medicală continuă (EMC). În aceste secții/compartimente este încadrat cel puțin un cadru
didactic universitar, prin integrare clinică. Pentru activitatea medicală, diagnostică și
terapeutică, personalul didactic este în subordinea administrației spitalului, în conformitate cu
prevederile contractului de muncă.
(la 03-09-2021, Litera i) din Alineatul (1) , Articolul 170 , Capitolul II , Titlul VII a fost
modificată de Punctul 19, Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată
în MONITORUL OFICIAL nr. 834 din 31 august 2021 )
j) institutele și centrele medicale clinice - unități de asistență medicală de specialitate în care
se desfășoară și activitate de învățământ și cercetare științifică-medicală, de îndrumare și
coordonare metodologică pe domeniile lor de activitate, precum și de educație medicală
continuă; pentru asistența medicală de specialitate se pot organiza centre medicale în care nu se
desfășoară activitate de învățământ medical și cercetare științifică;
k) unitățile de asistență medico-sociale - instituții publice specializate, în subordinea
autorităților administrației publice locale, care acordă servicii de îngrijire, servicii medicale,
precum și servicii sociale persoanelor cu nevoi medico-sociale;
l) sanatoriul - unitatea sanitară cu paturi care asigură asistență medicală utilizând factori
curativi naturali asociați cu celelalte procedee, tehnici și mijloace terapeutice;
m) preventoriul - unitatea sanitară cu paturi care asigură prevenirea și combaterea
tuberculozei la copii și tineri, precum și la bolnavii de tuberculoză stabilizați clinic și
necontagioși;
n) centrele de sănătate - unități sanitare cu paturi care asigură asistență medicală de
specialitate pentru populația din mai multe localități apropiate, în cel puțin două specialități.
(2) În sensul prezentului titlu, în categoria spitalelor se includ și următoarele unități sanitare
cu paturi: institute și centre medicale, sanatorii, preventorii, centre de sănătate și unități de
asistență medico-socială.
(3) Structura de specialități prevăzută la alin. (1) lit. a) se aprobă prin ordin al ministrului
sănătății.
(la 01-03-2018, Articolul 170 din Capitolul II , Titlul VII a fost completat de Punctul 16,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018, publicată în
MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
Articolul 171
(1) Structura organizatorică a unui spital poate cuprinde, după caz: secții, laboratoare,
servicii de diagnostic și tratament, compartimente, servicii sau birouri tehnice, economice și
administrative, serviciu de asistență prespitalicească și transport urgențe, structuri de primiri
urgențe și alte structuri aprobate prin ordin al ministrului sănătății*).

135
 Notă
*) A se vedea Ordinul ministrului sănătății nr. 323/2011 privind aprobarea metodologiei și
a criteriilor minime obligatorii pentru clasificarea spitalelor în funcție de competență, publicat
în Monitorul Oficial al României, Partea I, nr. 274 din 19 aprilie 2011, cu modificările și
completările ulterioare.
(2) Spitalele pot avea în componența lor structuri care acordă servicii ambulatorii de
specialitate, servicii de spitalizare de zi, îngrijiri la domiciliu, servicii paraclinice ambulatorii.
Furnizarea acestor servicii se negociază și se contractează în mod distinct cu casele de asigurări
de sănătate sau cu terți în cadrul asistenței medicale spitalicești sau din fondurile alocate pentru
serviciile respective.
(3) La nivelul spitalelor de urgență se poate amenaja și funcționa un heliport, a cărui
activitate va fi în coordonarea structurii de primiri urgențe a spitalului. Modalitatea de
funcționare și finanțare a acestuia se stabilește prin ordin comun al ministrului sănătății și al
ministrului afacerilor interne, cu consultarea Ministerului Apărării Naționale.
(la 01-03-2018, Articolul 171 din Capitolul II , Titlul VII a fost completat de Punctul 17,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018, publicată în
MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
Articolul 172
(1) Spitalele publice din rețeaua proprie a Ministerului Sănătății se înființează și, respectiv,
se desființează prin hotărâre a Guvernului, inițiată de Ministerul Sănătății.
(2) Spitalele din rețeaua sanitară proprie a ministerelor și instituțiilor publice, altele decât
cele ale Ministerului Sănătății și ale autorităților administrației publice locale, se înființează și,
respectiv, se desființează prin hotărâre a Guvernului, inițiată de ministerul sau instituția publică
respectivă, cu avizul Ministerului Sănătății.
(3) Managementul asistenței medicale acordate în spitalele publice poate fi transferat către
autoritățile administrației publice locale, universitățile de medicină și farmacie de stat
acreditate, universitățile care au în structură facultăți de medicină și farmacie acreditate, prin
hotărâre a Guvernului, inițiată de Ministerul Sănătății, la propunerea autorităților administrației
publice locale, a universităților de medicină și farmacie de stat acreditate, a universităților care
au în structură facultăți de medicină și farmacie acreditate, după caz.
(4) Imobilele în care își desfășoară activitatea spitalele publice prevăzute la alin. (3) pot fi
date în administrarea autorităților administrației publice locale, universităților de medicină și
farmacie de stat acreditate, universităților care au în structură facultăți de medicină și farmacie
acreditate, în condițiile legii.
(5) Spitalele din rețeaua autorităților administrației publice locale se înființează și, respectiv,
se desființează prin hotărâre a Guvernului, inițiată de instituția prefectului sau consiliul
județean, în condițiile legii, cu avizul Ministerului Sănătății.
(5^1) Anterior promovării proiectului de hotărâre a Guvernului prevăzut la alin. (5),
Ministerul Sănătății, prin direcțiile de sănătate publică județene și a municipiului București,
emite un acord prealabil referitor la intenția de înființare sau desființare a spitalelor din rețeaua
autorităților administrației publice locale.

136
 (la 03-09-2021, Articolul 172 din Capitolul II , Titlul VII a fost completat de Punctul 20,
Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL
nr. 834 din 31 august 2021 )
(6) Structura organizatorică, reorganizarea, restructurarea, schimbarea sediului și a
denumirilor pentru spitalele publice din rețeaua proprie a Ministerului Sănătății se aprobă prin
ordin al ministrului sănătății, la propunerea managerului spitalului, prin serviciile deconcentrate
ale Ministerului Sănătății, după caz, în funcție de subordonare, sau la inițiativa Ministerului
Sănătății și/sau a serviciilor deconcentrate ale acestuia.
(7) Structura organizatorică, reorganizarea, restructurarea, schimbarea sediului și a
denumirilor pentru spitalele publice din rețeaua proprie a altor ministere și instituții publice cu
rețea sanitară proprie se aprobă prin ordin al ministrului, respectiv prin act administrativ al
conducătorului instituției, cu avizul Ministerului Sănătății.
(8) Spitalele private se înființează sau se desființează cu avizul Ministerului Sănătății, în
condițiile legii. Structura organizatorică, reorganizarea, restructurarea și schimbarea sediului și
a denumirilor pentru spitalele private se fac cu avizul Ministerului Sănătății, în condițiile legii.
(9) Secția privată se poate organiza în structura oricărui spital public. Condițiile de
înființare, organizare și funcționare se stabilesc prin ordin al ministrului sănătății.
(10) Se asimilează spitalelor private și unitățile sanitare private înființate în cadrul unor regii
autonome, asociații și fundații sau al unor societăți reglementate de Legea nr. 31/1990,
republicată, cu modificările și completările ulterioare, care acordă servicii medicale spitalicești.
(la 29-05-2018, Alineatul (10) din Articolul 172 , Capitolul II , Titlul VII a fost modificat
de Punctul 1, Articolul 4 din ORDONANȚA DE URGENȚĂ nr. 42 din 24 mai 2018, publicată
în MONITORUL OFICIAL nr. 446 din 29 mai 2018 )
Notă
Conform alineatului (3) al articolului IV din ORDONANȚA nr. 18 din 30 august 2021,
publicată în MONITORUL OFICIAL nr. 834 din 31 august 2021, condițiile și metodologia
privind avizarea înființării spitalelor private, avizarea structurii organizatorice, precum și
avizarea modificării acesteia, prevăzute la art. 172 din Legea nr. 95/2006 republicată, cu
modificările și completările ulterioare, se stabilesc prin ordin al ministrului sănătății în termen
de 60 de zile de la data intrării în vigoare a prezentei ordonanțe.
Articolul 172^1
(1) Regiile autonome pot înființa unități sanitare private cu sau fără personalitate juridică,
în scopul furnizării de servicii medicale.
(la 31-12-2018, Alineatul (1) din Articolul 172^1 , Capitolul II , Titlul VII a fost modificat
de Punctul 1, ARTICOLUL UNIC din LEGEA nr. 339 din 21 decembrie 2018, publicată în
MONITORUL OFICIAL nr. 1107 din 28 decembrie 2018 )
(2) Unitățile sanitare private prevăzute la alin. (1) se înființează prin hotărâri ale consiliilor
de administrație ale regiilor autonome, cu avizul favorabil al Ministerului Sănătății.
(3) Structura organizatorică a unităților sanitare private prevăzute la alin. (1) se aprobă de
consiliile de administrație ale regiilor autonome, cu avizul Ministerului Sănătății
137
 (la 29-05-2018, Capitolul II din Titlul VII a fost completat de Punctul 2, Articolul 4 din
ORDONANȚA DE URGENȚĂ nr. 42 din 24 mai 2018, publicată în MONITORUL OFICIAL
nr. 446 din 29 mai 2018 )
Articolul 172^2
(1) Spitalele publice se pot asocia în consorții medicale, cu personalitate juridică, conform
dispozițiilor prevăzute la art. 187-204 din Legea nr. 287/2009, republicată, cu modificările
ulterioare, în scopul derulării în comun de activități medicale, cercetare științifică, investiții în
infrastructură, achiziții de medicamente, materiale sanitare, dispozitive medicale și altele
asemenea, precum și alte activități specifice unităților sanitare respective.
(2) Consorțiile medicale prevăzute la alin. (1) se înființează în baza unui contract de
parteneriat încheiat între părți.
(3) Condițiile de asociere, precum și organizarea și funcționarea consorțiilor medicale se
stabilesc prin hotărâre a Guvernului.
(la 03-09-2021, Capitolul II din Titlul VII a fost completat de Punctul 21, Articolul I din
ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL nr. 834 din
31 august 2021 )
Notă
Conform alineatului (6) al articolului IV din ORDONANȚA nr. 18 din 30 august 2021,
publicată în MONITORUL OFICIAL nr. 834 din 31 august 2021, hotărârea Guvernului pentru
punerea în aplicare a prevederilor art. I pct. 21 va fi elaborată și publicată în Monitorul Oficial
al României, Partea I, în termen de 90 de zile de la intrarea în vigoare a prezentei ordonanțe.
Articolul 173
(1) Autorizația sanitară de funcționare se emite în condițiile stabilite prin normele aprobate
prin ordin al ministrului sănătății și dă dreptul spitalului să funcționeze. După obținerea
autorizației sanitare de funcționare, spitalul intră, la cerere, în procedura de acreditare.
Procedura de acreditare nu se poate extinde pe o perioadă mai mare de 5 ani. Neobținerea
acreditării în termen de 5 ani de la emiterea autorizației de funcționare conduce la
imposibilitatea încheierii contractului de furnizare servicii medicale cu casele de asigurări de
sănătate.
(2) Abrogat.
(la 29-07-2017, Alineatul (2) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(3) Abrogat.
(la 29-07-2017, Alineatul (3) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(4) Abrogat.

138
 (la 29-07-2017, Alineatul (4) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(5) Abrogat.
(la 29-07-2017, Alineatul (5) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(6) Abrogat.
(la 29-07-2017, Alineatul (6) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(7) Abrogat.
(la 29-07-2017, Alineatul (7) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(8) Abrogat.
(la 29-07-2017, Alineatul (8) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(9) Abrogat.
(la 29-07-2017, Alineatul (9) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
(10) Abrogat.
(la 29-07-2017, Alineatul (10) din Articolul 173 , Capitolul II , Titlul VII a fost abrogat de
Articolul 21, Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL
OFICIAL nr. 599 din 26 iulie 2017 )
Articolul 174
Abrogat.
(la 29-07-2017, Articolul 174 din Capitolul II , Titlul VII a fost abrogat de Articolul 21,
Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL OFICIAL nr.
599 din 26 iulie 2017 )
Articolul 175
Abrogat.
(la 29-07-2017, Articolul 175 din Capitolul II , Titlul VII a fost abrogat de Articolul 21,
Capitolul IV din LEGEA nr. 185 din 24 iulie 2017, publicată în MONITORUL OFICIAL nr.
599 din 26 iulie 2017 )

139
 Capitolul III Conducerea spitalelor
Articolul 176
(1) Spitalul public este condus de un manager, persoană fizică sau juridică.
(2) Managerul persoană fizică sau reprezentantul desemnat de managerul persoană juridică
trebuie să fie absolvent al unei instituții de învățământ superior medical, economico-financiar
sau juridic și să îndeplinească una dintre următoarele condiții:
a) să fie absolvent al unor cursuri de perfecționare în management sau management sanitar,
agreate de Ministerul Sănătății și stabilite prin ordin al ministrului sănătății;
b) să fie absolvent al unui masterat sau doctorat în management sanitar, economic sau
administrativ organizat într-o instituție de învățământ superior acreditată, potrivit legii.
(3) Abrogat.
(la 22-11-2016, Alineatul (3) din Articolul 176 , Capitolul III , Titlul VII a fost abrogat de
Punctul 8, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(4) Managerul, persoană fizică sau juridică, încheie contract de management cu Ministerul
Sănătății, ministerele sau instituțiile cu rețea sanitară proprie sau cu universitatea de medicină
și farmacie, reprezentate de ministrul sănătății, conducătorul ministerului sau instituției, de
rectorul universității de medicină și farmacie, după caz, pe o perioadă de maximum 4 ani.
Contractul de management poate înceta înainte de termen în urma evaluării anuale sau în
cazurile prevăzute de lege. Evaluarea este efectuată pe baza criteriilor de performanță generale
prevăzute prin ordin al ministrului sănătății, precum și pe baza criteriilor specifice și a
ponderilor prevăzute și aprobate prin act administrativ al conducătorilor ministerelor sau
instituțiilor cu rețea sanitară proprie, al primarului unității administrativ-teritoriale, al
primarului general al municipiului București sau al președintelui consiliului județean sau prin
hotărârea senatului universității de medicină și farmacie, după caz. La încetarea mandatului,
contractul de management poate fi prelungit pe o perioadă de 3 luni, de maximum două ori,
perioadă în care se organizează concursul de ocupare a postului, respectiv licitație publică, după
caz. Ministrul sănătății, ministrul de resort sau primarul unității administrativ-teritoriale,
primarul general al municipiului București sau președintele consiliului județean ori rectorul
universității de medicină și farmacie, după caz, numesc prin act administrativ un manager
interimar până la ocuparea prin concurs a postului de manager, respectiv organizarea licitației
publice, după caz.
(la 01-03-2018, Alineatul (4) din Articolul 176 , Capitolul III , Titlul VII a fost modificat
de Punctul 18, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
Notă
*) A se vedea ORDINUL nr. 112 din 22 ianuarie 2007 privind criteriile de performanță în
baza cărora contractul de management poate fi prelungit sau poate înceta înainte de termen,
publicat în MONITORUL OFICIAL nr. 101 din 9 februarie 2007.

140
 (5) Atribuțiile managerului interimar se stabilesc și se aprobă prin ordin al ministrului
sănătății.
(6) În cazul în care contractul de management nu se semnează în termen de 10 zile lucrătoare
de la data validării concursului din motive imputabile candidatului declarat câștigător,
Ministerul Sănătății, ministerele sau instituțiile cu rețea sanitară proprie sau universitatea de
medicină și farmacie, reprezentate de ministrul sănătății, conducătorul ministerului sau
instituției, de rectorul universității de medicină și farmacie, dacă este cazul, va semna contractul
de management cu candidatul clasat pe locul al doilea, dacă acesta a promovat concursul. În
cazul în care contractul de management nu se semnează nici cu candidatul clasat pe locul al
doilea din motive imputabile acestuia în termen de 10 zile lucrătoare de la data primirii
propunerii de către candidat, se declară postul vacant și se procedează la scoaterea acestuia la
concurs, în condițiile legii.
(la 22-11-2016, Alineatul (6) din Articolul 176 , Capitolul III , Titlul VII a fost modificat
de Punctul 9, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(7) Modelul-cadru al contractului de management, care include cel puțin indicatorii de
performanță a activității, programul de lucru și condițiile de desfășurare a activității de
management, se aprobă prin ordin al ministrului sănătății, cu consultarea ministerelor, a
instituțiilor cu rețea sanitară proprie, precum și a structurilor asociative ale autorităților
administrației publice locale. Valorile optime ale indicatorilor de performanță ai activității
spitalului se stabilesc și se aprobă prin ordin al ministrului sănătății. Contractul de management
va avea la bază un buget global negociat, a cărui execuție va fi evaluată anual.
(la 22-11-2016, Alineatul (7) din Articolul 176 , Capitolul III , Titlul VII a fost modificat
de Punctul 9, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(8) Contractul individual de muncă al persoanelor care ocupă funcția de manager se
suspendă de drept pe perioada exercitării mandatului.
(9) Pe perioada executării contractului de management, managerul persoană fizică
beneficiază de un salariu de bază și de alte drepturi salariale stabilite potrivit prevederilor legale
în vigoare, precum și de asigurări sociale de sănătate, pensii și alte drepturi de asigurări sociale
de stat, în condițiile plății contribuțiilor prevăzute de lege.
(10) Contractul de management și, respectiv, contractul de administrare conferă titularului
vechime în muncă și specialitate.
(la 01-03-2018, Articolul 176 din Capitolul III , Titlul VII a fost completat de Punctul 19,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018, publicată în
MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
Articolul 177
(1) Consiliul de administrație organizează concurs sau licitație publică, după caz, pentru
selecționarea managerului, respectiv a unei persoane juridice care să asigure managementul
unității sanitare, potrivit normelor aprobate prin ordin al ministrului sănătății sau, după caz, prin
ordin al ministrului din ministerele cu rețea sanitară proprie și, respectiv, prin act administrativ

141
al primarului unității administrativ-teritoriale, al primarului general al municipiului București
sau al președintelui consiliului județean, prin hotărârea senatului universității de medicină și
farmacie, după caz.
(2) Managerul este numit prin ordin al ministrului sănătății, al ministrului transporturilor
sau, după caz, prin act administrativ al conducătorului instituției, al primarului unității
administrativ-teritoriale, al primarului general al municipiului București sau al președintelui
consiliului județean, după caz.
(3) Pentru spitalele din sistemul de apărare, ordine publică, siguranță națională și autoritate
judecătorească, funcția de comandant/director general sau, după caz, de manager se ocupă de o
persoană numită de conducătorul ministerului sau al instituției care are în structură spitalul,
conform reglementărilor proprii adaptate la specificul prevederilor prezentului titlu.
(4) Selecția managerului persoană juridică se efectuează prin licitație publică, conform
dispozițiilor legii achizițiilor publice.
(5) Până la ocuparea prin concurs a funcțiilor de conducere care fac parte din comitetul
director, conducerea interimară a spitalelor publice din rețeaua Ministerului Sănătății se
numește prin ordin al ministrului sănătății, iar pentru ministerele și instituțiile cu rețea sanitară
proprie, respectiv pentru autoritățile administrației publice locale prin act administrativ al
ministrului de resort, al conducătorului instituției respective sau prin act administrativ al
primarului unității administrativ-teritoriale, al primarului general al municipiului București sau
al președintelui consiliului județean, după caz.
(6) Managerul interimar și ceilalți membri ai comitetului director interimar se numesc în
condițiile prevăzute la alin. (5), până la revocarea unilaterală din funcție, dar nu mai mult de 6
luni.
(7) Managerul interimar trebuie să fie absolvent al unei instituții de învățământ superior,
medical, economico-financiar sau juridic.
(la 01-03-2018, Articolul 177 din Capitolul III , Titlul VII a fost completat de Punctul 20,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018, publicată în
MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
Articolul 178
(1) Funcția de manager persoană fizică este incompatibilă cu:
a) exercitarea oricăror altor funcții salarizate, nesalarizate sau/și indemnizate, cu excepția
funcțiilor sau activităților în domeniul medical în aceeași unitate sanitară, a activităților
didactice, de cercetare științifică și de creație literar-artistică, cu respectarea prevederilor lit. b)
și alin. (6);
b) desfășurarea de activități didactice sau de cercetare științifică finanțate de către furnizori
de bunuri și servicii ai spitalului respectiv;
c) exercitarea oricărei activități sau oricărei altei funcții de manager, inclusiv cele
neremunerate;
d) exercitarea unei activități sau a unei funcții de membru în structurile de conducere ale
unei alte unități spitalicești;
142
 e) exercitarea oricărei funcții în cadrul organizațiilor sindicale sau patronale de profil;
f) exercitarea funcției de membru în organele de conducere, administrare și control ale unui
partid politic, atât la nivel național, cât și la nivel local;
(la 21-09-2020, Litera f) din Alineatul (1) , Articolul 178 , Capitolul III , Titlul VII a fost
modificată de Punctul 3, ARTICOL UNIC din LEGEA nr. 205 din 18 septembrie 2020,
publicată în MONITORUL OFICIAL nr. 858 din 18 septembrie 2020 )
g) exercitarea funcției de membru în organele de conducere, administrare și control în
societățile reglementate de Legea nr. 31/1990, republicată, cu modificările și completările
ulterioare.
(2) Constituie conflict de interese:
a) deținerea de către manager persoană fizică, manager persoană juridică ori reprezentant al
persoanei juridice de părți sociale, acțiuni sau interese la societăți reglementate de Legea nr.
31/1990, republicată, cu modificările și completările ulterioare, ori organizații
nonguvernamentale care stabilesc relații cu caracter patrimonial cu spitalul la care persoana în
cauză exercită funcția de manager. Dispoziția de mai sus se aplică și în cazurile în care astfel
de părți sociale, acțiuni sau interese sunt deținute de către soțul/soția, rudele ori afinii până la
gradul al IV-lea inclusiv ai persoanei în cauză;
b) deținerea de către soțul/soția, rudele managerului ori afinii până la gradul al IV-lea
inclusiv ai acestuia a funcției de membru în comitetul director, șef de secție, laborator sau
serviciu medical sau a unei alte funcții de conducere, inclusiv de natură administrativă, în cadrul
spitalului la care persoana în cauză exercită funcția de manager;
c) alte situații decât cele prevăzute la lit. a) și b) în care managerul sau soțul/soția, rudele
ori afinii managerului până la gradul al IV-lea inclusiv au un interes de natură patrimonială care
ar putea influența îndeplinirea cu obiectivitate a funcției de manager.
(3) Incompatibilitățile și conflictul de interese sunt aplicabile atât persoanei fizice, cât și
reprezentantului desemnat al persoanei juridice care exercită funcția de manager de spital.
(4) În cazul în care la numirea în funcție managerul se află în stare de incompatibilitate sau
de conflict de interese, acesta este obligat să înlăture motivele de incompatibilitate ori de
conflict de interese în termen de 30 de zile de la numirea în funcție. În caz contrar, contractul
de management este reziliat de plin drept.
(5) Managerul răspunde, în condițiile legii, pentru toate prejudiciile cauzate spitalului ca
urmare a încălcării obligațiilor referitoare la incompatibilități și conflict de interese.
(6) Persoanele care îndeplinesc funcția de manager pot desfășura activitate medicală în
instituția respectivă, cu respectarea programului de lucru prevăzut în contractul de management,
fără a afecta buna funcționare a instituției respective.
(la 22-11-2016, Articolul 178 din Capitolul III , Titlul VII a fost modificat de Punctul 10,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016, publicată în
MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
Articolul 179

143
 Atribuțiile managerului sunt stabilite prin contractul de management.
Articolul 180
(1) În domeniul politicii de personal și al structurii organizatorice managerul are, în
principal, următoarele atribuții:
a) stabilește și aprobă numărul de personal, pe categorii și locuri de muncă, în funcție de
normativul de personal în vigoare;
b) aprobă organizarea concursurilor pentru posturile vacante, numește și eliberează din
funcție personalul spitalului;
c) aprobă programul de lucru, pe locuri de muncă și categorii de personal;
d) propune structura organizatorică, reorganizarea, schimbarea sediului și a denumirii
unității, în vederea aprobării de către Ministerul Sănătății, ministerele și instituțiile cu rețea
sanitară proprie sau, după caz, de către autoritățile administrației publice locale, în condițiile
prevăzute la art. 172;
e) numește și revocă, în condițiile legii, membrii comitetului director.
(2) Managerul negociază și încheie contractele de furnizare de servicii medicale cu casa de
asigurări de sănătate, precum și cu direcția de sănătate publică sau, după caz, cu instituții publice
din subordinea Ministerului Sănătății, pentru implementarea programelor naționale de sănătate
publică și pentru asigurarea cheltuielilor prevăzute la art. 193.
(3) Concursul pentru ocuparea posturilor vacante se organizează la nivelul spitalului, iar
repartizarea personalului pe locuri de muncă este de competența managerului.
Articolul 181
(1) În cadrul spitalelor publice se organizează și funcționează un comitet director, format
din managerul spitalului, directorul medical, directorul financiar-contabil, iar pentru spitalele
cu peste 400 de paturi un director de îngrijiri.
(2) Ocuparea funcțiilor specifice comitetului director se face prin concurs organizat de
managerul spitalului.
(3) Atribuțiile comitetului director interimar sunt stabilite prin ordin al ministrului sănătății.
(4) În spitalele publice, directorul medical trebuie să fie cel puțin medic specialist având o
vechime de minimum 5 ani în specialitatea respectivă.
(la 22-11-2016, Alineatul (4) din Articolul 181 , Capitolul III , Titlul VII a fost modificat
de Punctul 11, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(5) Membrii comitetului director care au ocupat postul prin concurs, potrivit alin. (2), vor
încheia cu managerul spitalului public un contract de administrare pe o perioadă de maximum
3 ani, în cuprinsul căruia sunt prevăzuți indicatorii de performanță asumați. Contractul de
administrare poate fi prelungit la încetarea mandatului pe o perioadă de 3 luni, de maximum
două ori, perioadă în care se organizează concursul de ocupare a funcției. Contractul de

144
administrare poate înceta înainte de termen în cazul neîndeplinirii obligațiilor prevăzute în
acesta.
(6) Contractul individual de muncă sau al persoanelor angajate în unitățile sanitare publice
care ocupă funcții de conducere specifice comitetului director se suspendă de drept pe perioada
exercitării mandatului.
(7) Pe perioada executării contractului de administrare, membrii comitetului director
beneficiază de un salariu de bază și de alte drepturi salariale stabilite potrivit prevederilor legale
în vigoare, asupra cărora se datorează contribuția de asigurări sociale de stat, precum și
contribuția de asigurări sociale de sănătate, în cotele prevăzute de lege. Perioada respectivă
constituie stagiu de cotizare și se ia în considerare la stabilirea și calculul drepturilor prevăzute
de legislația în vigoare privind sistemul de pensii.
(8) Modelul contractului de administrare se aprobă prin ordin al ministrului sănătății pentru
unitățile sanitare din rețeaua Ministerului Sănătății și din rețeaua autorităților administrației
publice locale, cu consultarea structurilor asociative ale autorităților administrației publice
locale, iar pentru celelalte ministere sau instituții cu rețea sanitară proprie prin act administrativ
al conducătorului acestora.
(9) Dispozițiile art. 178 alin. (1) lit. b)-g) referitoare la incompatibilități, ale art. 178 alin.
(2) referitoare la conflictul de interese și ale art. 178 alin. (4) și (5) se aplică în mod
corespunzător și persoanelor care ocupă funcții specifice comitetului director.
(la 22-11-2016, Alineatul (9) din Articolul 181 , Capitolul III , Titlul VII a fost modificat
de Punctul 11, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
Articolul 182
(1) Personalul de specialitate medico-sanitar care ocupă funcții de conducere specifice
comitetului director poate desfășura activitate medicală în unitatea sanitară respectivă.
Programul de lucru se stabilește de comun acord cu managerul spitalului.
(la 22-11-2016, Alineatul (1) din Articolul 182 , Capitolul III , Titlul VII a fost modificat
de Punctul 12, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(2) Personalul de specialitate medico-sanitar prevăzut la alin. (1) desfășoară activitate
medicală în cadrul funcției de conducere ocupate.
(3) Membrii comitetului director, șefii de secție, șefii de laboratoare sau șefii de servicii
medicale nu mai pot desfășura nicio altă funcție de conducere prin cumul de funcții.
Articolul 183
(1) Managerul are obligația să respecte măsurile dispuse de către conducătorul ministerelor
și instituțiilor cu rețea sanitară proprie sau primarul unității administrativ-teritoriale, primarul
general al municipiului București sau președintele consiliului județean, după caz, în situația în
care se constată disfuncționalități în activitatea spitalului public.

145
 (2) În exercitarea funcției de autoritate centrală în domeniul sănătății publice, Ministerul
Sănătății, prin comisii de evaluare, poate să verifice, să controleze și să sancționeze, potrivit
legii, activitatea tuturor spitalelor.
Articolul 183^1
(1) Contractul de management și, respectiv, contractul de administrare se suspendă în
următoarele situații:
a) concediu de maternitate;
b) concediu pentru incapacitate temporară de muncă pentru o perioadă mai mare de o lună;
c) managerul este numit sau ales într-o funcție de demnitate publică;
d) managerul este arestat preventiv sau se află în arest la domiciliu, în condițiile Legii nr.
135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare.
(2) Suspendarea contractului de management și, respectiv, a contractului de administrare nu
împiedică încetarea acestuia în situațiile prevăzute la art. 184 alin. (1) lit. i), s) și ș).
(3) Pe perioada suspendării contractului de management și, respectiv, contractului de
administrare ministrul sănătății, conducătorul ministerelor sau instituțiilor cu rețea sanitară
proprie sau primarul unității administrativ-teritoriale, primarul general al municipiului
București sau președintele consiliului județean ori rectorul universității de medicină și farmacie,
după caz, numesc un manager interimar, respectiv membrul comitetului director interimar.
(la 01-03-2018, Capitolul III din Titlul VII a fost completat de Punctul 21, Articolul I din
ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018, publicată în MONITORUL
OFICIAL nr. 190 din 01 martie 2018 )
Articolul 184
(1) Contractul de management și, respectiv, contractul de administrare încetează în
următoarele situații:
a) la expirarea perioadei pentru care a fost încheiat;
b) la revocarea din funcție a managerului, în cazul nerealizării indicatorilor de performanță
ai managerului spitalului public, prevăzuți în contractul de management, timp de minimum un
an, din motive imputabile acestuia, și/sau în situația neîndeplinirii culpabile a celorlalte obligații
ale managerului;
(la 22-11-2016, Litera b) din Alineatul (1) al Articolului 184 , Capitolul III , Titlul VII a
fost modificată de Punctul 13, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16
noiembrie 2016, publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
c) la revocarea din funcție a persoanelor care ocupă funcții specifice comitetului director în
cazul nerealizării indicatorilor specifici de performanță prevăzuți în contractul de administrare,
timp de minimum un an, din motive imputabile acestora, și/sau în situația neîndeplinirii
culpabile a celorlalte obligații ale acestora;

146
 (la 22-11-2016, Litera c) din Alineatul (1) al Articolului 184 , Capitolul III , Titlul VII a
fost modificată de Punctul 13, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16
noiembrie 2016, publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
d) prin acordul de voință al părților semnatare;
e) la apariția unei situații de incompatibilitate sau conflict de interese prevăzute de lege;
f) în cazul nerespectării termenului de înlăturare a motivelor de incompatibilitate ori de
conflict de interese prevăzut la art. 178 alin. (4);
(la 22-11-2016, Litera f) din Alineatul (1) , Articolul 184 , Capitolul III , Titlul VII a fost
modificată de Punctul 13, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16
noiembrie 2016, publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
g) la decesul sau punerea sub interdicție judecătorească a managerului;
h) în cazul falimentului persoanei juridice, manager al spitalului, potrivit legii;
(la 22-11-2016, Litera h) din Alineatul (1) , Articolul 184 , Capitolul III , Titlul VII a fost
modificată de Punctul 13, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16
noiembrie 2016, publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
i) la împlinirea vârstei de pensionare prevăzute de lege;
j) în cazul în care se constată abateri de la legislația în vigoare care pot constitui un risc
iminent pentru sănătatea pacienților sau a salariaților;
k) în cazul neacceptării de către oricare dintre membrii comitetului director a oricărei forme
de control efectuate de instituțiile abilitate în condițiile legii;
l) în cazul refuzului colaborării cu organele de control desemnate de instituțiile abilitate în
condițiile legii;
m) în cazul în care se constată de către organele de control și instituțiile abilitate în condițiile
legii abateri de la legislația în vigoare care sunt imputabile managerului sau, după caz, oricăruia
dintre membrii comitetului director și care, deși remediabile, nu au fost remediate în termenul
stabilit de organele sau instituțiile respective;
(la 22-11-2016, Litera m) din Alineatul (1) , Articolul 184 , Capitolul III , Titlul VII a fost
modificată de Punctul 13, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16
noiembrie 2016, publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
n) nerespectarea măsurilor dispuse de ministrul sănătății în domeniul politicii de personal
și al structurii organizatorice sau, după caz, a măsurilor dispuse de ministrul/conducătorul
instituției pentru spitalele din subordinea ministerelor și instituțiilor cu rețea sanitară proprie;
o) dacă se constată că managerul nu mai îndeplinește condițiile prevăzute de dispozițiile
legale în vigoare pentru exercitarea funcției de manager;
p) în cazul existenței a 3 luni consecutive de plăți restante, a căror vechime este mai mare
decât termenul scadent de plată, respectiv a arieratelor, în situația în care la data semnării
contractului de management unitatea sanitară nu înregistrează arierate;

147
 q) în cazul nerespectării graficului de eșalonare a plăților arieratelor, asumat la semnarea
contractului de management, în situația în care la data semnării contractului de management
unitatea sanitară înregistrează arierate.
r) în cazul denunțării unilaterale a contractului de către manager sau, după caz, de către
membrul comitetului director, cu condiția unei notificări prealabile scrise transmise cu
minimum 30 de zile calendaristice înainte de data încetării contractului.
(la 22-11-2016, Alineatul (1) din Articolul 184 , Capitolul III , Titlul VII a fost completat
de Punctul 14, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
s) ca urmare a condamnării la executarea unei pedepse privative de libertate, de la data
rămânerii definitive a hotărârii judecătorești;
(la 01-03-2018, Alineatul (1) din Articolul 184 , Capitolul III , Titlul VII a fost completat
de Punctul 22, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
ș) când printr-o hotărâre judecătorească definitivă s-a dispus condamnarea managerului
pentru săvârșirea unei infracțiuni contra statului sau contra autorității, infracțiuni de corupție și
de serviciu, infracțiuni care împiedică înfăptuirea justiției, infracțiuni de fals ori a unei
infracțiuni săvârșite cu intenție care ar face-o incompatibilă cu exercitarea funcției.
(la 01-03-2018, Alineatul (1) din Articolul 184 , Capitolul III , Titlul VII a fost completat
de Punctul 22, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
(2) Pentru spitalele publice din rețeaua autorităților administrației publice locale, contractul
de management încetează în condițiile legii la propunerea consiliului de administrație, în cazul
în care acesta constată existența uneia dintre situațiile prevăzute la alin. (1).
(3) Încetarea contractului de management atrage încetarea de drept a efectelor ordinului de
numire în funcție.
(la 22-11-2016, Articolul 184 din Capitolul III , Titlul VII a fost completat de Punctul 15,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016, publicată în
MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
Articolul 185
(1) Secțiile, laboratoarele și serviciile medicale ale spitalului public sunt conduse de un șef
de secție, șef de laborator sau, după caz, șef de serviciu. Aceste funcții se ocupă prin concurs
sau examen, după caz, în condițiile legii.
(la 22-11-2016, Alineatul (1) din Articolul 185 , Capitolul III , Titlul VII a fost modificat
de Punctul 16, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(2) În spitalele publice funcțiile de șef de secție, șef de laborator, asistent medical șef sunt
funcții de conducere și vor putea fi ocupate numai de medici, biologi, chimiști și biochimiști
sau, după caz, asistenți medicali, cu o vechime de cel puțin 5 ani în specialitatea respectivă.

148
 (3) Funcția de farmacist-șef din spitalele publice se ocupă în condițiile legii de către
farmaciști cu minimum 2 ani de experiență profesională.
(4) Șefii de secție au ca atribuții îndrumarea și realizarea activității de acordare a îngrijirilor
medicale în cadrul secției respective și răspund de calitatea actului medical, precum și atribuțiile
asumate prin contractul de administrare.
(5) La numirea în funcție, șefii de secție, de laborator și de serviciu medical vor încheia cu
spitalul public, reprezentat de managerul acestuia, un contract de administrare cu o durată de 4
ani, în cuprinsul căruia sunt prevăzuți indicatorii de performanță asumați. Contractul de
administrare poate fi prelungit la expirarea acestuia pe o perioadă de 3 luni, de maximum două
ori, perioadă în care se organizează concursul de ocupare a funcției. Contractul de administrare
poate înceta înainte de termen în urma evaluării anuale sau în cazurile prevăzute de lege.
Evaluarea este efectuată pe baza criteriilor de performanță generale stabilite prin ordin al
ministrului sănătății, precum și pe baza criteriilor specifice și a ponderilor stabilite și aprobate
prin act administrativ al conducătorilor ministerelor sau instituțiilor cu rețea sanitară proprie, al
primarului unității administrativ-teritoriale, al primarului general al municipiului București sau
al președintelui consiliului județean sau prin hotărârea senatului universității de medicină și
farmacie, după caz. În cazul în care la numirea în funcție șeful de secție, de laborator sau de
serviciu medical se află în stare de incompatibilitate sau conflict de interese, acesta este obligat
să înlăture motivele de incompatibilitate sau de conflict de interese în termen de maximum 30
de zile de la numirea în funcție. În caz contrar, contractul de administrare este reziliat de plin
drept.
(la 01-03-2018, Alineatul (5) din Articolul 185 , Capitolul III , Titlul VII a fost modificat
de Punctul 23, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
(6) Calitatea de șef de secție, șef de laborator și șef de serviciu medical este compatibilă cu
funcția de cadru didactic universitar.
(7) În secțiile universitare clinice, laboratoarele clinice și serviciile medicale clinice, funcția
de șef de secție, șef de laborator și șef de serviciu medical se ocupă de către un cadru didactic
universitar medical desemnat pe bază de concurs organizat conform prevederilor alin. (1).
(la 22-11-2016, Alineatul (7) din Articolul 185 , Capitolul III , Titlul VII a fost modificat
de Punctul 16, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(7^1) În secțiile universitare clinice, laboratoarele clinice și serviciile medicale clinice din
spitalele aparținând rețelei sanitare a Ministerului Apărării Naționale, funcția de șef de secție,
șef de laborator și șef de serviciu medical se ocupă de către un cadru militar în activitate medic,
desemnat pe bază de concurs organizat conform prevederilor alin. (9).
(la 22-11-2016, Articolul 185 din Capitolul III , Titlul VII a fost completat de Punctul 17,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016, publicată în
MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(8) În cazul în care contractul de administrare, prevăzut la alin. (5), nu se semnează în
termen de 7 zile de la data stabilită de manager pentru încheierea acestuia, se va constitui o
comisie de mediere numită prin decizie a consiliului de administrație. În situația în care

149
conflictul nu se soluționează într-un nou termen de 7 zile, postul va fi scos la concurs, în
condițiile legii.
(9) Procedura de organizare și desfășurare a concursului pentru ocuparea funcției de șef de
secție, șef de laborator și șef de serviciu medical, inclusiv condițiile de participare la concurs,
vor fi stabilite prin ordin al ministrului sănătății, iar în cazul spitalelor aparținând ministerelor
sau instituțiilor cu rețea sanitară proprie, condițiile specifice de participare la concurs vor fi
stabilite prin ordin al ministrului, respectiv prin decizie a conducătorului instituției, cu avizul
Ministerului Sănătății. În cazul în care la concurs nu se prezintă niciun candidat sau nu este
declarat câștigător niciun candidat în termenul legal, managerul spitalului public va delega o
altă persoană în funcția de șef de secție, șef de laborator sau șef de serviciu medical, pe o
perioadă de până la 6 luni, interval în care se vor repeta procedurile prevăzute la alin. (1).
(la 22-11-2016, Alineatul (9) din Articolul 185 , Capitolul III , Titlul VII a fost modificat
de Punctul 18, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(10) În cazul spitalelor publice din rețeaua autorităților administrației publice locale,
condițiile specifice de participare la concursul de ocupare a funcției de șef de secție, șef de
laborator și șef de serviciu medical se stabilesc prin act administrativ al primarului unității
administrativ-teritoriale, al primarului general al municipiului București sau al președintelui
consiliului județean, după caz, cu avizul direcției de sănătate publică județene sau a
municipiului București.
(la 22-11-2016, Alineatul (10) din Articolul 185 , Capitolul III , Titlul VII a fost modificat
de Punctul 18, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(11) Șeful de secție, șeful de laborator și șeful serviciului medical vor face publice, prin
declarație pe propria răspundere, afișată pe site-ul spitalului și al autorității de sănătate publică
sau pe site-ul Ministerului Sănătății ori, după caz, al Ministerului Transporturilor pentru
unitățile sanitare subordonate acestuia, legăturile de rudenie până la gradul al IV-lea inclusiv
cu personalul angajat în secția, laboratorul sau serviciul medical pe care îl conduc.
(12) Prevederile alin. (11) se aplică în mod corespunzător și în cazul spitalelor publice din
rețeaua autorităților administrației publice locale.
(13) Medicii, indiferent de sex, care împlinesc vârsta de 67 de ani după dobândirea funcției
de conducere și care fac parte din comitetul director al spitalului public sau exercită funcția de
șef de secție, șef de laborator ori șef de serviciu medical, vor fi pensionați conform legii. Medicii
în vârstă de 67 de ani nu pot participa la concurs și nu pot fi numiți în niciuna dintre funcțiile
de conducere care fac parte din comitetul director al spitalului public sau de șef de secție, șef
de laborator ori șef de serviciu medical.
(la 06-01-2019, Alineatul (13) din Articolul 185 , Capitolul III , Titlul VII a fost modificat
de Punctul 1, ARTICOL UNIC din LEGEA nr. 359 din 27 decembrie 2018, publicată în
MONITORUL OFICIAL nr. 3 din 03 ianuarie 2019 )
(14) În unitățile sanitare publice, profesorii universitari, medicii membri titulari și membri
corespondenți ai Academiei de Științe Medicale și ai Academiei Române, medicii primari

150
doctori în științe medicale pot ocupa funcții de șef de secție până la vârsta de 70 de ani, cu
aprobarea managerului și cu avizul consiliului de administrație al spitalului.
(15) Dispozițiile art. 178 alin. (1) lit. c), d), e) și g) referitoare la incompatibilități și ale art.
178 alin. (2) referitoare la conflictul de interese, sub sancțiunea rezilierii contractului de
administrare și a plății de despăgubiri pentru daunele cauzate spitalului, în condițiile legii, se
aplică și șefilor de secție, de laborator și de serviciu medical din spitalele publice.
(la 22-11-2016, Alineatul (15) din Articolul 185 , Capitolul III , Titlul VII a fost modificat
de Punctul 18, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
Articolul 186
(1) În cadrul spitalelor publice funcționează un consiliu etic și un consiliu medical.
Directorul medical este președintele consiliului medical.
(2) Componența și atribuțiile consiliului etic se stabilesc prin ordin al ministrului sănătății.
(3) Consiliul medical este alcătuit din șefii de secții, de laboratoare, farmacistul-șef și
asistentul-șef.
(4) Principalele atribuții ale consiliului medical sunt următoarele:
a) îmbunătățirea standardelor clinice și a modelelor de practică în scopul acordării de
servicii medicale de calitate în scopul creșterii gradului de satisfacție a pacienților;
b) monitorizarea și evaluarea activității medicale desfășurate în spital în scopul creșterii
performanțelor profesionale și utilizării eficiente a resurselor alocate;
c) înaintează comitetului director propuneri privind utilizarea fondului de dezvoltare al
spitalului;
d) propune comitetului director măsuri pentru dezvoltarea și îmbunătățirea activității
spitalului în concordanță cu nevoile de servicii medicale ale populației și conform ghidurilor și
protocoalelor de practică medicală;
e) alte atribuții stabilite prin ordin al ministrului sănătății.
Articolul 187
(1) În cadrul spitalului public funcționează un consiliu de administrație format din 5-8
membri, care are rolul de a dezbate principalele probleme de strategie, de organizare și
funcționare a spitalului.
(2) Membrii consiliului de administrație pentru spitalele publice din rețeaua autorităților
administrației publice locale sunt:
a) 2 reprezentanți ai Ministerului Sănătății sau ai direcțiilor de sănătate publică județene sau
a municipiului București, iar în cazul spitalelor clinice un reprezentant al Ministerului Sănătății
sau al direcțiilor de sănătate publică județene sau a municipiului București;
b) 2 reprezentanți numiți de consiliul județean ori consiliul local, după caz, respectiv de
Consiliul General al Municipiului București, din care unul să fie economist;

151
 c) un reprezentant numit de primar sau de președintele consiliului județean, după caz;
d) un reprezentant al universității sau facultății de medicină, pentru spitalele clinice;
e) un reprezentant al structurii teritoriale a Colegiului Medicilor din România, cu statut de
invitat;
f) un reprezentant al structurii teritoriale a Ordinului Asistenților Medicali Generaliști,
Moașelor și Asistenților Medicali din România, cu statut de invitat.
(3) Pentru spitalele publice din rețeaua Ministerului Sănătății, cu excepția celor prevăzute
la alin. (2), membrii consiliului de administrație sunt:
a) 3 reprezentanți desemnați de Ministerul Sănătății;
(la 03-09-2021, Litera a) din Alineatul (3) , Articolul 187 , Capitolul III , Titlul VII a fost
modificată de Punctul 22, Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată
în MONITORUL OFICIAL nr. 834 din 31 august 2021 )
b) un reprezentant numit de consiliul județean ori consiliul local, respectiv de Consiliul
General al Municipiului București;
c) un reprezentant al universității sau facultății de medicină, pentru spitalele clinice;
d) un reprezentant al structurii teritoriale a Colegiului Medicilor din România, cu statut de
invitat;
e) un reprezentant al structurii teritoriale a Ordinului Asistenților Medicali Generaliști,
Moașelor și Asistenților Medicali din România, cu statut de invitat.
(4) Pentru spitalele publice din rețeaua ministerelor și instituțiilor cu rețea sanitară proprie,
cu excepția celor prevăzute la alin. (2), membrii consiliului de administrație sunt:
a) 4 reprezentanți ai ministerelor și instituțiilor cu rețea sanitară proprie pentru spitalele
aflate în subordinea acestora;
b) un reprezentant al universității sau facultății de medicină, pentru spitalele clinice;
c) un reprezentant al structurii teritoriale a Colegiului Medicilor din România, cu statut de
invitat;
d) un reprezentant al structurii teritoriale a Ordinului Asistenților Medicali Generaliști,
Moașelor și Asistenților Medicali din România, cu statut de invitat.
(4^1) Pentru spitalele publice pot fi numiți membri ai consiliului de administrație persoane
care fac dovada îndeplinirii cumulative, sub sancțiunea nulității actului de numire, a
următoarelor condiții:
a) să fie absolvenți de studii superioare finalizate cu diplomă de licență;
b) să aibă, la data numirii, cel puțin 5 ani de experiență profesională într-unul din
următoarele domenii: medicină, farmacie, drept, economie, științe inginerești sau management.

152
 (la 03-09-2021, Articolul 187 din Capitolul III , Titlul VII a fost completat de Punctul 23,
Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL
nr. 834 din 31 august 2021 )
(4^2) Documentele care fac dovada îndeplinirii condițiilor prevăzute la alin. (4^1) se depun,
în termen de 10 zile de la data aprobării referatului de numire, de către persoana desemnată în
copie certificată pentru conformitate cu originalul la nivelul spitalelor publice în cadrul cărora
funcționează consiliul de administrație respectiv.
(la 03-09-2021, Articolul 187 din Capitolul III , Titlul VII a fost completat de Punctul 23,
Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL
nr. 834 din 31 august 2021 )
(4^3) Nu pot fi numiți membri în consiliul de administrație al spitalelor publice persoanele
condamnate definitiv, până la intervenirea unei situații care înlătură consecințele condamnării.
(la 03-09-2021, Articolul 187 din Capitolul III , Titlul VII a fost completat de Punctul 23,
Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL
nr. 834 din 31 august 2021 )
(4^4) Membrii consiliului de administrație pot participa, în calitate de observatori, la
concursurile organizate de unitatea sanitară, cu excepția situațiilor prevăzute la art. 177 alin. (1)
și art. 187 alin. (10) lit. b).
(la 03-09-2021, Articolul 187 din Capitolul III , Titlul VII a fost completat de Punctul 23,
Articolul I din ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL
nr. 834 din 31 august 2021 )
(5) Instituțiile prevăzute la alin. (2), (3) și (4) sunt obligate să își numească și membrii
supleanți în consiliul de administrație.
(6) Managerul participă la ședințele consiliului de administrație fără drept de vot.
(7) Reprezentantul nominalizat de sindicatul legal constituit în unitate, afiliat federațiilor
sindicale semnatare ale contractului colectiv de muncă la nivel de ramură sanitară, participă ca
invitat permanent la ședințele consiliului de administrație.
(8) Membrii consiliului de administrație al spitalului public se numesc prin act administrativ
de către instituțiile prevăzute la alin. (2), (3) și (4).
(9) Ședințele consiliului de administrație sunt conduse de un președinte, ales cu majoritate
simplă din numărul total al membrilor, pentru o perioadă de 6 luni.
(la 01-03-2018, Alineatul (9) din Articolul 187 , Capitolul III , Titlul VII a fost modificat
de Punctul 24, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
(10) Atribuțiile principale ale consiliului de administrație sunt următoarele:
a) avizează bugetul de venituri și cheltuieli al spitalului, precum și situațiile financiare
trimestriale și anuale;
b) organizează concurs pentru ocuparea funcției de manager în baza regulamentului aprobat
prin ordin al ministrului sănătății, al ministrului de resort sau, după caz, prin act administrativ
153
al primarului unității administrativ-teritoriale, al primarului general al municipiului București
sau al președintelui consiliului județean, după caz;
c) aprobă măsurile pentru dezvoltarea activității spitalului în concordanță cu nevoile de
servicii medicale ale populației și documentele strategice aprobate de Ministerul Sănătății;
(la 25-02-2021, Litera c) din Alineatul (10) , Articolul 187 , Capitolul III , Titlul VII a fost
modificată de Punctul 2, Articolul I din ORDONANȚA DE URGENȚĂ nr. 12 din 24 februarie
2021, publicată în MONITORUL OFICIAL nr. 192 din 25 februarie 2021 )
d) avizează programul anual al achizițiilor publice întocmit în condițiile legii și orice
achiziție directă care depășește suma de 50.000 lei;
(la 25-02-2021, Litera d) din Alineatul (10) , Articolul 187 , Capitolul III , Titlul VII a fost
modificată de Punctul 2, Articolul I din ORDONANȚA DE URGENȚĂ nr. 12 din 24 februarie
2021, publicată în MONITORUL OFICIAL nr. 192 din 25 februarie 2021 )
e) analizează modul de îndeplinire a obligațiilor de către membrii comitetului director și
activitatea managerului și dispune măsuri pentru îmbunătățirea activității;
f) propune revocarea din funcție a managerului și a celorlalți membri ai comitetului director
în cazul în care constată existența situațiilor prevăzute la art. 178 alin. (1) și la art. 184 alin. (1);
g) poate propune realizarea unui audit extern asupra oricărei activități desfășurate în spital,
stabilind tematica și obiectul auditului. Spitalul contractează serviciile auditorului extern în
conformitate cu prevederile Legii nr. 98/2016 privind achizițiile publice, cu modificările și
completările ulterioare;
(la 25-02-2021, Alineatul (10) din Articolul 187 , Capitolul III , Titlul VII a fost completat
de Punctul 3, Articolul I din ORDONANȚA DE URGENȚĂ nr. 12 din 24 februarie 2021,
publicată în MONITORUL OFICIAL nr. 192 din 25 februarie 2021 )
h) aprobă propriul regulament de organizare și funcționare, în condițiile legii.
(la 25-02-2021, Alineatul (10) din Articolul 187 , Capitolul III , Titlul VII a fost completat
de Punctul 3, Articolul I din ORDONANȚA DE URGENȚĂ nr. 12 din 24 februarie 2021,
publicată în MONITORUL OFICIAL nr. 192 din 25 februarie 2021 )
(11) Consiliul de administrație se întrunește lunar sau ori de către ori este nevoie, la
solicitarea majorității membrilor săi, a președintelui sau a managerului, și ia decizii cu
majoritatea simplă a membrilor prezenți.
(la 01-03-2018, Alineatul (11) din Articolul 187 , Capitolul III , Titlul VII a fost modificat
de Punctul 24, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
(12) Membrii consiliului de administrație al spitalului public pot beneficia de o indemnizație
lunară de maximum 1% din salariul managerului.
(13) Dispozițiile art. 178 alin. (1) lit. f) referitoare la incompatibilități, ale art. 178 alin. (2)
referitoare la conflictul de interese și ale art. 178 alin. (5) se aplică în mod corespunzător și
membrilor consiliului de administrație. Nerespectarea obligației de înlăturare a motivelor de
incompatibilitate sau de conflict de interese apărute ca urmare a numirii în consiliul de

154
administrație are ca efect încetarea de drept a actului administrativ de numire în funcție a
respectivului membru al consiliului de administrație.
(la 22-11-2016, Alineatul (13) din Articolul 187 , Capitolul III , Titlul VII a fost modificat
de Punctul 19, Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016,
publicată în MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
(14) În cazul autorităților administrației publice locale care realizează managementul
asistenței medicale la cel puțin 3 spitale, reprezentanții prevăzuți la alin. (2) lit. b) sunt numiți
din rândul structurii prevăzute la art. 18 alin. (1) lit. a) din Ordonanța de urgență a Guvernului
nr. 162/2008 privind transferul ansamblului de atribuții și competențe exercitate de Ministerul
Sănătății către autoritățile administrației publice locale, cu modificările și completările
ulterioare.
Articolul 188
(1) Persoanele cu funcții de conducere și control din cadrul spitalului public, inclusiv
managerul, membrii comitetului director, șefii de secție, de laborator sau de serviciu medical și
membrii consiliului de administrație, au obligația de a depune la spitalul în cauză o declarație
de interese, precum și o declarație de avere potrivit prevederilor Legii nr. 176/2010, cu
modificările ulterioare, în termen de 30 zile de la numirea în funcție.
(2) Declarațiile prevăzute la alin. (1) vor fi transmise Agenției Naționale de Integritate, în
termen de cel mult 10 zile de la primire de către persoanele din cadrul spitalului desemnate cu
implementarea prevederilor referitoare la declarațiile de avere și declarațiile de interese potrivit
art. 5 alin. (2) lit. i) din Legea nr. 176/2010, cu modificările ulterioare. Aceste persoane vor
îndeplini atribuțiile prevăzute la art. 6 din Legea nr. 176/2010, cu modificările ulterioare.
(3) În termenul prevăzut la alin. (2), declarațiile de avere și de interese vor fi transmise și
Ministerului Sănătății în vederea implementării obiectivelor de creștere a integrității și
prevenire a corupției în sistemul de sănătate prevăzute de legislația în vigoare.
(4) Declarațiile prevăzute la alin. (1) se actualizează ori de câte ori intervin modificări în
situația persoanelor în cauză; actualizarea se face în termen de 30 de zile de la data apariției
modificării, precum și a încetării funcțiilor sau activităților.
(5) Declarațiile se afișează pe site-ul spitalului.
(la 22-11-2016, Articolul 188 din Capitolul III , Titlul VII a fost modificat de Punctul 20,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016, publicată în
MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
Articolul 189
Prevederile art. 188 se aplică în mod corespunzător spitalelor publice din rețeaua
autorităților administrației publice locale.
Capitolul IV Finanțarea spitalelor
Articolul 190
(1) Spitalele publice sunt instituții publice finanțate integral din venituri proprii și
funcționează pe principiul autonomiei financiare. Veniturile proprii ale spitalelor publice provin

155
din sumele încasate pentru serviciile medicale, alte prestații efectuate pe bază de contract,
precum și din alte surse, conform legii.
(2) Prin autonomie financiară se înțelege:
a) organizarea activității spitalului pe baza bugetului de venituri și cheltuieli propriu,
aprobat de conducerea unității și cu acordul ordonatorului de credite ierarhic superior;
b) elaborarea bugetului propriu de venituri și cheltuieli, pe baza evaluării veniturilor proprii
din anul bugetar și a repartizării cheltuielilor pe baza propunerilor fundamentate ale secțiilor și
compartimentelor din structura spitalului.
(3) Spitalele publice au obligația de a asigura realizarea veniturilor și de a fundamenta
cheltuielile în raport cu acțiunile și obiectivele din anul bugetar pe titluri, articole și alineate,
conform clasificației bugetare.
(4) Prevederile alin. (2) sunt aplicabile și în cadrul ministerelor cu rețea sanitară proprie.
Articolul 191
(1) Contractul de furnizare de servicii medicale al spitalului public cu casa de asigurări de
sănătate se negociază de către manager cu conducerea casei de asigurări de sănătate, în
condițiile stabilite în contractul-cadru privind condițiile acordării asistenței medicale în cadrul
sistemului de asigurări sociale de sănătate.
(2) În cazul refuzului uneia dintre părți de a semna contractul de furnizare de servicii
medicale, se constituie o comisie de mediere formată din reprezentanți ai Ministerului Sănătății,
respectiv ai ministerului de resort, precum și ai CNAS, care, în termen de maximum 10 zile
soluționează divergențele.
(3) În cazul spitalelor publice aparținând autorităților administrației publice locale, comisia
de mediere prevăzută la alin. (2) este formată din reprezentanți ai autorităților administrației
publice locale și ai CNAS.
(4) Spitalele publice pot încheia contracte pentru implementarea programelor naționale de
sănătate curative cu casele de asigurări de sănătate, precum și cu direcțiile de sănătate publică
județene și a municipiului București sau, după caz, cu instituții publice din subordinea
Ministerului Sănătății pentru implementarea programelor naționale de sănătate publică, în
conformitate cu structura organizatorică a acestora.
(5) În situația desființării, în condițiile art. 172, a unor unități sanitare cu paturi, după
încheierea de către acestea a contractului de furnizare de servicii medicale cu casa de asigurări
de sănătate, sumele contractate și nedecontate ca servicii medicale efectuate urmează a fi
alocate de casa de asigurări de sănătate la celelalte unități sanitare publice cu paturi din aria sa
de competență.
Articolul 192
(1) Veniturile realizate de unitățile sanitare publice în baza contractelor de servicii medicale
încheiate cu casele de asigurări de sănătate pot fi utilizate și pentru:
a) investiții în infrastructură;
b) dotarea cu echipamente medicale.
156
 (2) Cheltuielile prevăzute la alin. (1) pot fi efectuate după asigurarea cheltuielilor de
funcționare, conform prevederilor Legii nr. 273/2006 privind finanțele publice locale, cu
modificările și completările ulterioare, Legii nr. 500/2002 privind finanțele publice, cu
modificările și completările ulterioare, precum și cu respectarea prevederilor Legii nr. 72/2013
privind măsurile pentru combaterea întârzierii în executarea obligațiilor de plată a unor sume
de bani rezultând din contracte încheiate între profesioniști și între aceștia și autorități
contractante.
Articolul 193
(1) Spitalele publice din rețeaua Ministerului Sănătății și ale ministerelor și instituțiilor cu
rețea sanitară proprie, cu excepția spitalelor din rețeaua autorităților administrației publice
locale, primesc, în completare, sume de la bugetul de stat sau de la bugetele locale, care vor fi
utilizate numai pentru destinațiile pentru care au fost alocate, după cum urmează:
a) de la bugetul de stat, prin bugetul Ministerului Sănătății sau al ministerelor ori instituțiilor
centrale cu rețea sanitară proprie, precum și prin bugetul Ministerului Educației și Cercetării
Științifice, pentru spitalele clinice cu secții universitare;
b) de la bugetul propriu al județului, pentru spitalele județene;
c) de la bugetele locale, pentru spitalele de interes județean sau local.
(2) Pentru spitalele prevăzute la alin. (1) se asigură de la bugetul de stat:
a) implementarea programelor naționale de sănătate publică;
b) achiziția de echipamente medicale și alte dotări independente de natura cheltuielilor de
capital, în condițiile legii;
c) investiții legate de achiziția și construirea de noi spitale, inclusiv pentru finalizarea celor
aflate în execuție;
d) expertizarea, transformarea și consolidarea construcțiilor grav afectate de seisme și de
alte cazuri de forță majoră;
e) modernizarea, transformarea și extinderea construcțiilor existente, precum și efectuarea
de reparații capitale;
f) activități specifice ministerelor și instituțiilor cu rețea sanitară proprie, care se aprobă prin
hotărâre a Guvernului;
g) activități didactice și de cercetare fundamentală;
h) finanțarea activităților din cabinete de medicină sportivă, cabinete de medicină legală, de
planning familial, TBC, LSM, UPU, programe tip HIV/SIDA, programe pentru distrofici,
drepturi de personal pentru rezidenți;
i) asigurarea cheltuielilor prevăzute la art. 100 alin. (7) și, după caz, alin. (8) pentru UPU și
CPU, cuprinse în structura organizatorică a spitalelor de urgență aprobate în condițiile legii.
(2^1) Spitalele publice din rețeaua Ministerului Sănătății și Ministerului Transporturilor,
beneficiare ale unor proiecte finanțate din fonduri europene în perioada de programare 2014-
2020, pot primi, în completare, sume de la bugetul de stat, prin transferuri din bugetul

157
Ministerului Sănătății și Ministerului Transporturilor, după caz, pentru finanțarea cofinanțării
care trebuie asigurată de către beneficiari potrivit contractelor de finanțare sau acordurilor de
parteneriat.
(la 17-11-2018, Alineatul (2^1) din Articolul 193 , Capitolul IV , Titlul VII a fost modificat
de Punctul 5, ARTICOLUL UNIC din LEGEA nr. 260 din 12 noiembrie 2018, publicată în
MONITORUL OFICIAL nr. 963 din 14 noiembrie 2018 )
(2^2) Spitalele publice din rețeaua Ministerului Afacerilor Interne, beneficiare ale unor
proiecte finanțate din fonduri externe rambursabile/nerambursabile, pot primi sume de la
bugetul de stat, prin transferuri din bugetul Ministerului Afacerilor Interne, pentru finanțarea
proiectelor potrivit contractelor de finanțare sau acordurilor de parteneriat.
(la 30-03-2021, Articolul 193 din Capitolul IV , Titlul VII a fost completat de Punctul 1,
Articolul 16 din ORDONANȚA DE URGENȚĂ nr. 20 din 29 martie 2021, publicată în
MONITORUL OFICIAL nr. 322 din 30 martie 2021 )
(2^3) Fondurile necesare pentru cofinanțarea proiectelor aflate în implementare sau a
proiectelor noi finanțate din fonduri externe nerambursabile postaderare se asigură din bugetul
ordonatorului principal de credite, în cursul întregului an, prin virări de credite de angajament
și credite bugetare între titlurile, articolele și alineatele de cheltuieli din cadrul aceluiași capitol
sau de la alte capitole, cu încadrare în bugetul aprobat.
(la 30-03-2021, Articolul 193 din Capitolul IV , Titlul VII a fost completat de Punctul 1,
Articolul 16 din ORDONANȚA DE URGENȚĂ nr. 20 din 29 martie 2021, publicată în
MONITORUL OFICIAL nr. 322 din 30 martie 2021 )
(3) Finanțarea Spitalului Universitar de Urgență Elias se asigură după cum urmează:
a) de la bugetul de stat, pentru situația prevăzută la alin. (2) lit. b), d) și e), prin bugetul
Academiei Române și prin transfer din bugetul Ministerului Sănătății, prin Direcția de Sănătate
Publică a Municipiului București, către bugetul Spitalului Universitar de Urgență Elias, pe bază
de contract încheiat între ordonatorii de credite;
b) pentru implementarea programelor naționale de sănătate publică se alocă fonduri de la
bugetul de stat și din venituri proprii, prin bugetul Ministerului Sănătății, în baza contractelor
încheiate cu Direcția de Sănătate Publică a Municipiului București sau cu alte instituții publice
din subordinea Ministerului Sănătății, după caz;
c) pentru activitatea didactică și de cercetare fundamentală se alocă fonduri de la bugetul de
stat, prin bugetul Academiei Române și prin bugetul Ministerului Educației și Cercetării
Științifice;
d) pentru CPU se alocă sume de la bugetul de stat, prin bugetul Academiei Române.
(4) Finanțarea Spitalului Universitar de Urgență Elias, prevăzută la alin. (3) lit. a), se poate
asigura și de la bugetele locale, în limita creditelor bugetare aprobate cu această destinație în
bugetele locale.
(5) Pentru spitalele publice prevăzute la alin. (1), bugetele locale participă la finanțarea unor
cheltuieli de administrare și funcționare, respectiv bunuri și servicii, investiții, reparații capitale,
consolidare, extindere și modernizare, dotări cu echipamente medicale ale unităților sanitare

158
publice de interes județean sau local, în limita creditelor bugetare aprobate cu această destinație
în bugetele locale.
(6) Ministerele și instituțiile din sistemul de apărare, ordine publică, siguranță națională și
autoritate judecătorească participă, prin bugetul propriu, la finanțarea unor cheltuieli de
administrare și funcționare a unităților sanitare din structura acestora, în limita creditelor
bugetare aprobate cu această destinație.
(6^1) Ministerul Sănătății, ministerele și instituțiile cu rețea sanitară proprie pot acorda
personalului medical și de specialitate stimulente financiare lunare, în limita a două salarii
minime brute pe țară a căror finanțare este asigurată din veniturile proprii ale acestora, în limita
bugetului aprobat.
(la 11-11-2016, Articolul 193 din Capitolul IV , Titlul VII a fost completat de Punctul 1,
Articolul I din LEGEA nr. 198 din 3 noiembrie 2016, publicată în MONITORUL OFICIAL nr.
892 din 08 noiembrie 2016 )
(7) Spitalele publice pot realiza venituri suplimentare din:
a) donații și sponsorizări;
b) legate;
c) asocieri investiționale în domenii medicale ori de cercetare medicală și farmaceutică;
d) închirierea unor spații medicale, echipamente sau aparatură medicală către alți furnizori
de servicii medicale, în condițiile legii;
d^1) închirierea unor spații, în condițiile legii, pentru servicii de alimentație publică, servicii
poștale, bancare, difuzare presă/cărți, pentru comercializarea produselor de uz personal și
pentru alte servicii necesare pacienților;
(la 01-03-2018, Alineatul (7) din Articolul 193 , Capitolul IV , Titlul VII a fost completat
de Punctul 25, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
d^2) închirierea unor spații, în condițiile legii, pentru desfășurarea unor congrese, seminare,
activități de învățământ, simpozioane, cu profil medical;
(la 01-03-2018, Alineatul (7) din Articolul 193 , Capitolul IV , Titlul VII a fost completat
de Punctul 25, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
d^3) închirierea unor spații, în condițiile legii, pentru desfășurarea unor activități cu specific
gospodăresc și/sau agricol.
(la 01-03-2018, Alineatul (7) din Articolul 193 , Capitolul IV , Titlul VII a fost completat
de Punctul 25, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
e) contracte privind furnizarea de servicii medicale încheiate cu casele de asigurări private
sau cu operatori economici;
f) editarea și difuzarea unor publicații cu caracter medical;

159
 g) servicii medicale, hoteliere sau de altă natură, furnizate la cererea unor terți;
h) servicii de asistență medicală la domiciliu, acordate la cererea pacienților sau, după caz,
în baza unui contract de furnizare de servicii de îngrijiri medicale la domiciliu, în condițiile
stabilite prin contractul-cadru privind condițiile acordării asistenței medicale în cadrul
sistemului de asigurări sociale de sănătate;
i) contracte de cercetare;
j) coplata pentru unele servicii medicale;
k) alte surse, conform legii.
(8) Închirierea spațiilor prevăzute la alin. (7) lit. d), d^1)-d^3) se va realiza fără afectarea
circuitelor medicale și desfășurarea și organizarea activității medicale.
(la 01-03-2018, Articolul 193 din Capitolul IV , Titlul VII a fost completat de Punctul 26,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018, publicată în
MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
Articolul 193^1
(1) Spitalele publice din rețeaua Ministerului Sănătății și ale ministerelor și instituțiilor cu
rețea sanitară proprie, precum și spitalele din rețeaua autorităților administrației publice locale
pot primi sume suplimentare de la bugetul de stat, prin bugetul ordonatorilor principali de
credite ai acestora, pe baza unor indicatori de performanță și de calitate a serviciilor oferite
pacienților.
(2) Condițiile și criteriile pe baza cărora se acordă sumele prevăzute la alin. (1), precum și
modul de utilizare a acestor sume se stabilesc prin hotărâre a Guvernului, cu consultarea
Autorității Naționale de Management al Calității în Sănătate, Colegiului Medicilor din
România, Colegiului Medicilor Stomatologi din România și a organizațiilor patronale, sindicale
și profesionale reprezentative din domeniul medical.
(3) În aplicarea prevederilor alin. (1) se derulează un proiect-pilot pe o perioadă de 12 luni,
în condițiile reglementate prin hotărârea Guvernului prevăzută la alin. (2).
(la 03-09-2021, Capitolul IV din Titlul VII a fost completat de Punctul 24, Articolul I din
ORDONANȚA nr. 18 din 30 august 2021, publicată în MONITORUL OFICIAL nr. 834 din
31 august 2021 )
Notă
Conform alineatului (6) al articolului IV din ORDONANȚA nr. 18 din 30 august 2021,
publicată în MONITORUL OFICIAL nr. 834 din 31 august 2021, hotărârea Guvernului pentru
punerea în aplicare a prevederilor art. I pct. 24 va fi elaborată și publicată în Monitorul Oficial
al României, Partea I, în termen de 90 de zile de la intrarea în vigoare a prezentei ordonanțe.
Articolul 194
Spitalele publice din rețeaua autorităților administrației publice locale încheie contracte cu
direcțiile de sănătate publică județene și a municipiului București, pentru:
a) implementarea programelor naționale de sănătate publică;

160
 b) asigurarea drepturilor salariale ale personalului care își desfășoară activitatea în cadrul
cabinetelor medicale cuprinse în structura organizatorică aprobată în condițiile legii: cabinete
de medicină sportivă, planning familial, HIV/SIDA, distrofici, TBC, LSM;
c) asigurarea drepturilor salariale ale personalului care desfășoară activitatea de cercetare
științifică în condițiile legii;
d) asigurarea cheltuielilor de natura bunurilor și serviciilor necesare cabinetelor medicale
de medicină sportivă, cabinete TBC, cabinete LSM, cuprinse în structura organizatorică a
spitalului, aprobate în condițiile legii;
e) asigurarea cheltuielilor prevăzute la art. 100 alin. (7) și, după caz, alin. (8) pentru UPU și
CPU cuprinse în structura organizatorică a spitalelor de urgență, aprobate în condițiile legii;
f) asigurarea drepturilor salariale pentru rezidenți în toată perioada rezidențiatului, anii I-
VII.
Articolul 195
Spitalele publice din rețeaua autorităților administrației publice locale încheie contracte cu
institutele de medicină legală din centrele medicale universitare la care sunt arondate pentru
asigurarea drepturilor salariale ale personalului care își desfășoară activitatea în cabinetele de
medicină legală din structura acestora, precum și a cheltuielilor de natura bunurilor și serviciilor
necesare pentru funcționarea acestor cabinete.
Articolul 196
(1) Sumele necesare pentru derularea contractelor prevăzute la art. 194 lit. b), c), d) și f) și
la art. 195 se asigură din fonduri de la bugetul de stat, prin bugetul Ministerului Sănătății.
(2) Sumele necesare pentru derularea contractelor prevăzute la art. 194 lit. a) și e) se asigură
din fonduri de la bugetul de stat și din venituri proprii, prin bugetul Ministerului Sănătății.
Articolul 197
Contractele încheiate în condițiile art. 194 și 195 încetează de drept la data constatării
nerespectării obligațiilor contractuale de către spitalele din rețeaua autorităților administrației
publice locale.
Articolul 198
(1) Spitalele publice din rețeaua autorităților administrației publice locale pot primi sume
de la bugetul de stat și din veniturile proprii ale Ministerului Sănătății, care se alocă prin transfer
în baza contractelor încheiate între direcțiile de sănătate publică județene și a municipiului
București și autoritățile administrației publice locale în subordinea cărora funcționează
respectivele unități, pentru:
a) finalizarea obiectivelor de investiții noi, de investiții în continuare, aflate în derulare și
finanțate, anterior datei transferării managementului spitalelor publice, prin programele de
investiții anuale ale Ministerului Sănătății;
b) dotarea cu aparatură medicală, în condițiile în care autoritățile administrației publice
locale participă la achiziționarea acestora cu fonduri în cuantum de minimum 10% din valoarea
acestora;
161
 c) reparații capitale la spitale, în condițiile în care autoritățile administrației publice locale
participă cu fonduri în cuantum de minimum 5% din valoarea acestora;
d) finanțarea obiectivelor de modernizare, transformare și extindere a construcțiilor
existente, precum și expertizarea, proiectarea și consolidarea clădirilor, în condițiile în care
autoritățile administrației publice locale participă la achiziționarea acestora cu fonduri în
cuantum de minimum 10% din valoarea acestora.
(2) Sumele alocate din bugetul Ministerului Sănătății prevăzute la alin. (1) lit. b), c) și d) și
listele spitalelor publice beneficiare se aprobă prin ordine ale ministrului sănătății, după
publicarea legii bugetului de stat în Monitorul Oficial al României, Partea I, și sunt valabile
pentru anul în curs.
(3) Ordinele prevăzute la alin. (2) se aprobă în baza propunerilor făcute de structurile de
specialitate ale Ministerului Sănătății în urma solicitărilor depuse la acestea.
Articolul 199
(1) Autoritățile publice locale pot participa la finanțarea unor cheltuieli de administrare și
funcționare, respectiv cheltuieli de personal, stabilite în condițiile legii, bunuri și servicii,
investiții, reparații capitale, consolidare, extindere și modernizare, dotări cu echipamente
medicale ale unităților sanitare cu paturi transferate, în limita creditelor bugetare aprobate cu
această destinație în bugetele locale.
(2) Autoritățile administrației publice locale pot acorda personalului medical și de
specialitate din spitalele publice din rețeaua sanitară proprie stimulente financiare lunare, în
limita a două salarii minime brute pe țară, în baza hotărârii autorităților deliberative ale
autorităților administrației publice locale, în limita bugetului aprobat.
(la 11-11-2016, Articolul 199 din Capitolul IV , Titlul VII a fost modificat de Punctul 2,
Articolul I din LEGEA nr. 198 din 3 noiembrie 2016, publicată în MONITORUL OFICIAL nr.
892 din 08 noiembrie 2016 )
Articolul 200
Prevederile art. 193 alin. (7) se aplică și spitalelor publice din rețeaua autorităților
administrației publice locale.
Articolul 200^1
(1) Spitalele private pot încheia contracte cu direcțiile de sănătate publică județene și a
municipiului București pentru asigurarea drepturilor salariale ale rezidenților pe toată perioada
pregătirii în rezidențiat, anii I-VII, în funcție de specialitate.
(2) Sumele necesare pentru derularea contractelor prevăzute la alin. (1) se asigură din
fonduri de la bugetul de stat prin bugetul Ministerului Sănătății.
(3) Contractele încheiate în condițiile alin. (1) încetează de drept la data constatării
nerespectării obligațiilor contractuale de către spitalele private.

162
 (la 11-12-2019, Capitolul IV din Titlul VII a fost completat de Punctul 2, Articolul IV din
ORDONANȚA DE URGENȚĂ nr. 74 din 10 decembrie 2019, publicată în MONITORUL
OFICIAL nr. 997 din 11 decembrie 2019 )
Articolul 201
(1) Proiectul bugetului de venituri și cheltuieli al spitalului public se elaborează de către
comitetul director pe baza propunerilor fundamentate ale conducătorilor secțiilor și
compartimentelor din structura spitalului, în conformitate cu normele metodologice aprobate
prin ordin al ministrului sănătății, și se publică pe site-ul Ministerului Sănătății, pentru unitățile
subordonate, pe cel al autorității de sănătate publică sau pe site-urile ministerelor și instituțiilor
sanitare cu rețele sanitare proprii, după caz, în termen de 15 zile calendaristice de la aprobarea
lui.
(2) Pentru spitalele publice din rețeaua ministerelor și instituțiilor cu rețea sanitară proprie,
normele metodologice prevăzute la alin. (1) se aprobă prin ordin sau decizie a conducătorilor
acestora, după caz, cu avizul Ministerului Sănătății.
(3) Bugetul de venituri și cheltuieli al spitalului public se aprobă de ordonatorul de credite
ierarhic superior, la propunerea managerului spitalului.
(4) Bugetul de venituri și cheltuieli al spitalului public se repartizează pe secțiile și
compartimentele din structura spitalului. Sumele repartizate sunt cuprinse în contractul de
administrare, încheiat în condițiile legii.
(5) Execuția bugetului de venituri și cheltuieli pe secții și compartimente se monitorizează
lunar de către șefii secțiilor și compartimentelor din structura spitalului, conform unei
metodologii aprobate prin ordin al ministrului sănătății.
(6) Execuția bugetului de venituri și cheltuieli se raportează lunar, respectiv trimestrial,
unităților deconcentrate cu personalitate juridică ale Ministerului Sănătății și, respectiv,
ministerului sau instituției cu rețea sanitară proprie, în funcție de subordonare, și se publică pe
site-ul Ministerului Sănătății, pentru unitățile subordonate, pe cel al autorității de sănătate
publică sau pe site-urile ministerelor și instituțiilor sanitare cu rețele sanitare proprii.
(7) Execuția bugetului de venituri și cheltuieli se raportează lunar și trimestrial și consiliului
local și/sau județean, după caz, dacă beneficiază de finanțare din bugetele locale.
(8) Direcțiile de sănătate publică județene și a municipiului București, respectiv direcțiile
medicale ori similare ale ministerelor și instituțiilor cu rețea sanitară proprie analizează execuția
bugetelor de venituri și cheltuieli lunare și trimestriale și le înaintează Ministerului Sănătății,
respectiv ministerului sau instituției cu rețea sanitară proprie, după caz.
(9) Bugetele de venituri și cheltuieli ale spitalelor din rețeaua administrației publice locale
se întocmesc, se aprobă și se execută potrivit prevederilor Legii nr. 273/2006 privind finanțele
publice locale, cu modificările și completările ulterioare, și fac parte din bugetul general al
unităților/subdiviziunilor administrativ-teritoriale.

Articolul 202
163
 (1) În cazul existenței unor datorii la data încheierii contractului de management, acestea
vor fi evidențiate separat, stabilindu-se posibilitățile și intervalul în care vor fi lichidate, în
condițiile legii.
(2) Prin excepție de la dispozițiile alin. (1), stingerea obligațiilor de plată ale spitalelor,
înregistrate până la data de 31 decembrie 2005 față de furnizorii de medicamente, materiale
sanitare, alți furnizori de bunuri și servicii, se realizează eșalonat. Plata obligațiilor se
efectuează din veniturile proprii ale Ministerului Sănătății și în completare de la bugetul de stat,
prin transferuri către bugetul fondului, din sumele prevăzute în bugetul aprobat Ministerului
Sănătății în Programul de administrație sanitară și politici de sănătate. Condițiile și modalitatea
de stingere a obligațiilor de plată se stabilesc prin ordin comun al ministrului sănătății și al
președintelui CNAS.
Articolul 203
(1) Abrogat.
(la 01-03-2018, Alineatul (1) din Articolul 203 , Capitolul IV , Titlul VII a fost abrogat de
Punctul 27, Articolul I din ORDONANȚA DE URGENȚĂ nr. 8 din 22 februarie 2018,
publicată în MONITORUL OFICIAL nr. 190 din 01 martie 2018 )
(2) Auditul public intern pentru spitalele aparținând ministerelor și instituțiilor cu rețea
sanitară proprie se exercită în conformitate cu dispozițiile legale și cu reglementările specifice
ale acestora.
(3) Controlul asupra activității financiare a spitalului public se face, în condițiile legii, de
Curtea de Conturi, Ministerul Sănătății, de ministerele și instituțiile cu rețea sanitară proprie
sau de alte organe abilitate prin lege.
Articolul 204
(1) Fondul de dezvoltare al spitalului se constituie din următoarele surse:
a) cotă-parte din amortizarea calculată lunar și cuprinsă în bugetul de venituri și cheltuieli
al spitalului, cu păstrarea echilibrului financiar;
b) sume rezultate din valorificarea bunurilor disponibile, precum și din cele casate cu
respectarea dispozițiilor legale în vigoare;
c) sponsorizări cu destinația "dezvoltare";
d) o cotă de 20% din excedentul bugetului de venituri și cheltuieli înregistrat la finele
exercițiului financiar;
e) sume rezultate din închirieri, în condițiile legii.
(2) Fondul de dezvoltare se utilizează pentru dotarea spitalului.
(3) Soldul fondului de dezvoltare rămas la finele anului se reportează în anul următor, fiind
utilizat potrivit destinației prevăzute la alin. (2).
Articolul 205

164
 Decontarea contravalorii serviciilor medicale contractate se face conform contractului de
furnizare de servicii medicale, pe bază de documente justificative, în funcție de realizarea
acestora, cu respectarea prevederilor contractului-cadru privind condițiile acordării asistenței
medicale în cadrul sistemului asigurărilor sociale de sănătate.
Articolul 206
În situația în care spitalul public nu are angajat personal propriu sau personalul angajat este
insuficient pentru acordarea asistenței medicale corespunzătoare structurii organizatorice
aprobate în condițiile legii, precum și pentru servicii de natură administrativă necesare derulării
actului medical, cum ar fi servicii de curățenie, de pază și protecție sau alte asemenea servicii,
poate încheia contracte de prestări servicii pentru asigurarea acestora, în condițiile legii.
(la 22-11-2016, Articolul 206 din Capitolul IV , Titlul VII a fost modificat de Punctul 21,
Articolul I din ORDONANȚA DE URGENȚĂ nr. 79 din 16 noiembrie 2016, publicată în
MONITORUL OFICIAL nr. 938 din 22 noiembrie 2016 )
Articolul 207
(1) Asistenții medicali absolvenți de studii sanitare postliceale sau superioare de scurtă
durată într-o specializare de profil clinic, care au absolvit studii superioare de asistent medical
generalist ori moașă, se încadrează în funcția corespunzătoare studiilor superioare absolvite, la
gradul profesional imediat superior gradului de debutant cu menținerea gradației avute la data
promovării.
(2) Asistenții medicali absolvenți de studii sanitare postliceale sau superioare de scurtă
durată într-o specializare de profil clinic, care au dobândit gradul de principal și, ulterior, au
absolvit studii superioare de asistent medical generalist ori de moașă, se încadrează în funcția
corespunzătoare studiilor superioare absolvite, cu menținerea gradului de principal și a gradației
avute la data promovării.
Notă
Decizie de admitere: HP nr. 59/2021, publicată în Monitorul Oficial nr. 1049 din 2
noiembrie 2021:
În interpretarea și aplicarea prevederilor art. 207 alin. (2) și (3) din Legea nr. 95/2006
raportate la prevederile art. 31 alin. (8) din Legea-cadru nr. 153/2017 și ale art. 10 din anexa nr.
II cap. II din aceeași lege, precum și la prevederile art. 41 din Regulamentul-cadru aprobat prin
Hotărârea Guvernului nr. 286/2011, încadrarea asistenților medicali absolvenți de studii
sanitare postliceale sau superioare de scurtă durată într-o specializare de profil clinic, care au
dobândit gradul de principal și, ulterior, au absolvit studii superioare de asistent medical
generalist sau de moașă, în funcția corespunzătoare studiilor superioare absolvite, în condițiile
art. 207 alin. (2) și (3) din Legea nr. 95/2006, intervine de drept, nefiind condiționată de
îndeplinirea altor cerințe pentru promovarea în funcție, respectiv de încadrarea în cheltuielile
de personal aprobate în buget, conform art. 31 alin. (8) din Legea-cadru nr. 153/2017, și de
transformarea postului avut într-un post corespunzător studiilor superioare absolvite, în
condițiile art. 10 din anexa nr. II cap. II din Legea-cadru nr. 153/2017 și ale art. 41 din
Regulamentul-cadru aprobat prin Hotărârea Guvernului nr. 286/2011.

165
 (3) Se consideră specializări de profil clinic potrivit prevederilor alin. (1) și (2) următoarele:
asistent medical generalist, asistent medical obstetrică-ginecologie, asistent medical de
pediatrie, asistent medical de ocrotire.
Notă
Decizie de admitere: HP nr. 59/2021, publicată în Monitorul Oficial nr. 1049 din 2
noiembrie 2021:
În interpretarea și aplicarea prevederilor art. 207 alin. (2) și (3) din Legea nr. 95/2006
raportate la prevederile art. 31 alin. (8) din Legea-cadru nr. 153/2017 și ale art. 10 din anexa nr.
II cap. II din aceeași lege, precum și la prevederile art. 41 din Regulamentul-cadru aprobat prin
Hotărârea Guvernului nr. 286/2011, încadrarea asistenților medicali absolvenți de studii
sanitare postliceale sau superioare de scurtă durată într-o specializare de profil clinic, care au
dobândit gradul de principal și, ulterior, au absolvit studii superioare de asistent medical
generalist sau de moașă, în funcția corespunzătoare studiilor superioare absolvite, în condițiile
art. 207 alin. (2) și (3) din Legea nr. 95/2006, intervine de drept, nefiind condiționată de
îndeplinirea altor cerințe pentru promovarea în funcție, respectiv de încadrarea în cheltuielile
de personal aprobate în buget, conform art. 31 alin. (8) din Legea-cadru nr. 153/2017, și de
transformarea postului avut într-un post corespunzător studiilor superioare absolvite, în
condițiile art. 10 din anexa nr. II cap. II din Legea-cadru nr. 153/2017 și ale art. 41 din
Regulamentul-cadru aprobat prin Hotărârea Guvernului nr. 286/2011.
(4) Asistenții medicali cu profil paraclinic, precum și farmacie, medicină dentară,
balneofizioterapie, nutriție și dietetică încadrați în sistemul public în baza
diplomei/certificatului de studii sanitare postliceale sau superioare de scurtă durată de
specialitate, care au absolvit studii superioare în aceeași specializare, se încadrează în funcția
corespunzătoare studiilor superioare absolvite, la gradul profesional imediat superior gradului
de debutant, cu menținerea gradației avute la data promovării.
(5) Asistenții medicali cu profil paraclinic, precum și, farmacie, medicină dentară,
balneofizioterapie, nutriție și dietetică, încadrați în sistemul public în baza
diplomei/certificatului de studii sanitare postliceale sau superioare de scurtă durată de
specialitate, care au dobândit gradul de principal și ulterior au absolvit studii superioare în
aceeași specializare se încadrează în funcția corespunzătoare studiilor superioare absolvite, cu
menținerea gradului de principal avut la data promovării.
(6) Asistenții medicali încadrați în sistemul public în baza diplomei/certificatului de studii
sanitare postliceale sau superioare de scurtă durată de specialitate, care au absolvit studii
superioare în profilul acestora și, ulterior, obțin gradul de principal în profilul studiilor
superioare absolvite, beneficiază de încadrarea în funcția de asistent medical principal
corespunzătoare studiilor superioare absolvite, cu menținerea gradației avute la data
promovării.
(7) În cazul asistenților medicali absolvenți de studii postliceale, care au dobândit gradul de
principal în profilul specialității de bază și, ulterior, au absolvit un program de pregătire pentru
obținerea specializării în unul din domeniile complementare acesteia, se încadrează în funcția
corespunzătoare noii specializări cu păstrarea gradului de principal dacă noua specializare
aparține profilului specialității de bază, precum și cu menținerea gradației deținute la acea dată.

166
 (8) Gradul de principal dobândit în altă specializare aparținând profilului specializării
studiilor postliceale absolvite de asistenții medicali care nu dețin un alt titlu de calificare de
studii superioare de asistent medical, se păstrează și se salarizează conform legii.
(9) Exercitarea efectivă a activităților de asistent medical generalist, de asistent medical ori
de moașă cu normă întreagă sau echivalent de fracții de normă cu respectarea celorlalte condiții
de exercitare prevăzute de lege constituie experiență profesională, după caz, în profesia de
asistent medical generalist, de asistent medical, respectiv de moașă.
(la 02-09-2016, Art. 207 a fost modificat de pct. 1 al art. I din ORDONANȚA DE
URGENȚĂ nr. 45 din 31 august 2016, publicată în MONITORUL OFICIAL nr. 684 din 2
septembrie 2016. )
Articolul 208
(1) Salarizarea personalului de conducere din spitalele publice, precum și a celorlalte
categorii de personal se stabilește potrivit legii.
(2) Cuantumul cheltuielilor aferente drepturilor de personal stabilite potrivit alin. (1) este
supus aprobării ordonatorului principal de credite de către manager, cu avizul consiliului de
administrație.

Capitolul V Dispoziții tranzitorii și finale

Articolul 209
(1) Spitalele finanțate în baza contractelor încheiate cu casele de asigurări de sănătate au
obligația să înregistreze, să stocheze, să prelucreze și să transmită informațiile legate de
activitatea proprie, conform normelor aprobate prin ordin al ministrului sănătății și al
președintelui CNAS.
(2) Raportările se fac către Ministerul Sănătății, serviciile publice deconcentrate cu
personalitate juridică ale Ministerului Sănătății, Centrul Național pentru Organizarea și
Asigurarea Sistemului Informațional și Informatic în Domeniul Sănătății București și, după caz,
către ministerele și instituțiile cu rețea sanitară proprie, pentru constituirea bazei de date, la
nivel național, în vederea fundamentării deciziilor de politică sanitară, precum și pentru
raportarea datelor către organismele internaționale.
(3) Nerespectarea obligațiilor prevăzute la alin. (1) se sancționează în condițiile prevăzute
de contractul-cadru aprobat prin hotărâre a Guvernului.
(4) Informațiile prevăzute la alin. (1), care constituie secrete de stat și de serviciu, vor fi
accesate și gestionate conform standardelor naționale de protecție a informațiilor clasificate.
Articolul 210
Spitalul public, indiferent de rețeaua în cadrul căreia funcționează, are obligația să se
încadreze în Strategia națională de raționalizare a spitalelor, aprobată prin hotărâre a
Guvernului.
Articolul 211

167
 Ministerul Sănătății, ministerele și instituțiile cu rețea sanitară proprie vor lua măsuri pentru
reorganizarea spitalelor publice existente, în conformitate cu prevederile prezentului titlu, în
termen de maximum 180 de zile de la data intrării în vigoare a acestuia.
Articolul 212
(1) Ministerul Sănătății analizează și evaluează periodic și ori de câte ori este nevoie sau la
sesizarea organelor abilitate ale statului activitatea unităților sanitare publice cu paturi din
rețeaua proprie, numind o comisie de evaluare pentru efectuarea acesteia.
(2) Pentru analiza și evaluarea spitalelor publice din rețelele sanitare ale ministerelor și
instituțiilor, precum și pentru spitalele publice din rețeaua autorităților administrației publice
locale, comisia prevăzută la alin. (1) se constituie, după caz, prin ordin al ministrului, al
conducătorului instituției care are în subordine spitalul sau prin act administrativ al primarului
localității, al primarului general al municipiului București sau al președintelui consiliului
județean, după caz.
(3) La propunerea comisiei prevăzute la alin. (1), după caz, conducerea spitalelor publice
evaluate poate fi revocată prin act administrativ al miniștrilor, al conducătorului instituției cu
rețea sanitară proprie sau, după caz, al primarului localității, al primarului general al
municipiului București sau al președintelui consiliului județean.
(4) Analiza și evaluarea activității spitalelor publice prevăzute la alin. (1) și (2) se realizează
conform unei metodologii unitare aprobate prin ordin al ministrului sănătății.
Articolul 213
(1) Imobilele din domeniul public al statului sau al unor unități administrativ-teritoriale,
aflate în administrarea unor spitale publice, care se reorganizează și devin disponibile, precum
și aparatura medicală pot fi, în condițiile legii, închiriate sau concesionate, după caz, unor
persoane fizice ori juridice, în scopul organizării și funcționării unor spitale private sau pentru
alte forme de asistență medicală ori socială, în condițiile legii.
(2) Fac excepție de la prevederile alin. (1) spațiile destinate desfășurării activității de
învățământ superior medical și farmaceutic uman.
(3) Sumele obținute în condițiile legii din închirierea bunurilor constituie venituri proprii
ale spitalului și se utilizează pentru cheltuieli curente și de capital, în conformitate cu bugetul
de venituri și cheltuieli aprobat.
Articolul 214
Anual, ministrul sănătății va prezenta Guvernului situația privind:
a) numărul de spitale, pe diferite categorii;
b) numărul de paturi de spital raportat la numărul de locuitori;
c) gradul de dotare a spitalelor;
d) principalii indicatori de morbiditate și mortalitate;
e) situația acreditării spitalelor publice;

168
 f) zonele și județele țării în care necesarul de servicii medicale spitalicești nu este acoperit.
Articolul 215
(1) Dacă în termen de un an de la obținerea autorizației sanitare de funcționare spitalele nu
solicită acreditarea în condițiile legii, acestea pierd dreptul de a mai fi finanțate din fonduri
publice.
(2) Dacă spitalele acreditate nu solicită intrarea într-un nou ciclu de acreditare cu cel puțin
9 luni înainte de încetarea valabilității acreditării, pierd dreptul de a mai fi finanțate din fonduri
publice.
Articolul 216
Nerespectarea prevederilor prezentului titlu atrage răspunderea disciplinară,
contravențională, civilă sau penală, după caz, în condițiile legii, a persoanelor vinovate.
Articolul 217
Numirea managerilor selectați prin concurs se face în termen de maximum 90 de zile de la
data intrării în vigoare a prezentului titlu.
Articolul 218
La data intrării în vigoare a prezentului titlu, Legea spitalelor nr. 270/2003, publicată în
Monitorul Oficial al României, Partea I, nr. 438 din 20 iunie 2003, cu modificările și
completările ulterioare, precum și orice alte dispoziții contrare se abrogă.

169