Regulament GDPR

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)

(la data 31-oct-2018 actul a fost in legatura cu Decizia 174/2018 )(la data 31-oct-2018 actul a fost in legatura cu Decizia 174/2018 )

(la data 25-mai-2018 a se vedea referinte de aplicare din Decizia 743/16-mai-2018 )

(la data 06-oct-2016 actul a fost in legatura cu Directiva 1629/14-sep-2016 )

(la data 05-mai-2016 actul a fost in legatura cu Directiva 680/27-apr-2016 )(Text cu relevanţă pentru SEE)

 

PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 16,având în vedere propunerea Comisiei Europene,după transmiterea proiectului de act legislativ către parlamentele naţionale,având în vedere avizul Comitetului Economic şi Social European (1),(1)JO C 229, 31.7.2012, p. 90.având în vedere avizul Comitetului Regiunilor (2),(2)JO C 391, 18.12.2012, p. 127.hotărând în conformitate cu procedura legislativă ordinară (3),(3)Poziţia Parlamentului European din 12 martie 2014 (nepublicată încă în Jurnalul Oficial) şi Poziţia înprimă lectură a Consiliului din 8 aprilie 2016 (nepublicată încă în Jurnalul Oficial). Poziţia ParlamentuluiEuropean din 14 aprilie 2016.întrucât:

(1) Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un(1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este undrept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a UniuniiEuropene ("carta") şi articolul 16 alineatul (1) din Tratatul privind funcţionarea UniuniiEuropene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care oprivesc.

(2) Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrareadatelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă alpersoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul laprotecţia datelor cu caracter personal. Prezentul regulament urmăreşte să contribuie la realizarea unuispaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, laconsolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.

(3) Directiva 95/46/CE a Parlamentului European şi a Consiliului(4) vizează armonizarea nivelului deprotecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte activităţilede prelucrare şi asigurarea liberei circulaţii a datelor cu caracter personal între statele membre.(4) Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privindprotecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi liberacirculaţie a acestor date (JO L 281, 23.11.1995, p. 31).

(4) Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetăţenilor. Dreptul la protecţia(4)Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetăţenilor. Dreptul la protecţiadatelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cufuncţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi fundamentale, în conformitate cuprincipiul proporţionalităţii. Prezentul regulament respectă toate drepturile fundamentale şi libertăţile şiprincipiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieţiiprivate şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter personal, a libertăţiide gândire, de conştiinţă şi de religie, a libertăţii de exprimare şi de informare, a libertăţii de adesfăşura o activitate comercială, dreptul la o cale de atac eficientă şi la un proces echitabil, precum şidiversitatea culturală, religioasă şi lingvistică.

(5) Integrarea economică şi socială care rezultă din funcţionarea pieţei interne a condus la o creştere(5)Integrarea economică şi socială care rezultă din funcţionarea pieţei interne a condus la o creşteresubstanţială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracterpersonal între actori publici şi privaţi, inclusiv persoane fizice, asociaţii şi întreprinderi, s-a intensificat înîntreaga Uniune. Conform dreptului Uniunii, autorităţile naţionale din statele membre sunt chemate săcoopereze şi să facă schimb de date cu caracter personal pentru a putea să îşi îndeplinească atribuţiilesau să execute sarcini în numele unei autorităţi dintr-un alt stat membru.

(6) Evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia datelor cucaracter personal. Amploarea colectării şi a schimbului de date cu caracter personal a crescut în modsemnificativ. Tehnologia permite atât societăţilor private, cât şi autorităţilor publice să utilizeze date cucaracter personal la un nivel fără precedent în cadrul activităţilor lor. Din ce în ce mai mult, persoanelefizice fac publice la nivel mondial informaţii cu caracter personal. Tehnologia a transformat deopotrivăeconomia şi viaţa socială şi ar trebui să faciliteze în continuare libera circulaţie a datelor cu caracterpersonal în cadrul Uniunii şi transferul către ţări terţe şi organizaţii internaţionale, asigurând, totodată,un nivel ridicat de protecţie a datelor cu caracter personal.

(7) Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor în Uniune,(7)Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor în Uniune,însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat deîncredere care va permite economiei digitale să se dezvolte pe piaţa internă. Persoanele fizice ar trebuisă aibă control asupra propriilor date cu caracter personal, iar securitatea juridică şi practică pentrupersoane fizice, operatori economici şi autorităţi publice ar trebui să fie consolidată.

(8) În cazul în care prezentul regulament prevede specificări sau restricţionări ale normelor sale decătre dreptul intern, statele membre pot, în măsura în care acest lucru este necesar pentru coerenţă şipentru a asigura înţelegerea dispoziţiilor naţionale de către persoanele cărora li se aplică acestea, săîncorporeze elemente din prezentul regulament în dreptul lor intern.

(9) Obiectivele şi principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentareamodului în care protecţia datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepţiapublică larg răspândită conform căreia există riscuri semnificative pentru protecţia persoanelor fizice, înspecial în legătură cu activitatea online. Diferenţele dintre nivelurile de protecţie a drepturilor şilibertăţilor persoanelor fizice, în special a dreptului la protecţia datelor cu caracter personal, în ceea cepriveşte prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulaţie adatelor cu caracter personal în întreaga Uniune. Aceste diferenţe pot constitui, prin urmare, un obstacolîn desfăşurarea de activităţi economice la nivelul Uniunii, pot denatura concurenţa şi pot împiedicaautorităţile să îndeplinească responsabilităţile care le revin în temeiul dreptului Uniunii. Aceastădiferenţă între nivelurile de protecţie este cauzată de existenţa unor deosebiri în ceea ce priveştetranspunerea şi aplicarea Directivei 95/46/CE.

(10) Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi pentru a se(10)Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi pentru a seîndepărta obstacolele din calea circulaţiei datelor cu caracter personal în cadrul Uniunii, nivelulprotecţiei drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea unor astfel de datear trebui să fie echivalent în toate statele membre. Aplicarea consecventă şi omogenă a normelor înmaterie de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşteprelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. În ceea cepriveşte prelucrarea datelor cu caracter personal în vederea respectării unei obligaţii legale, aîndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţiipublice cu care este învestit operatorul, statelor membre ar trebui să li se permită să menţină sau săintroducă dispoziţii de drept intern care să clarifice într-o mai mare măsură aplicarea normelorprezentului regulament. În coroborare cu legislaţia generală şi orizontală privind protecţia datelor, princare este pusă în aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice îndomenii care necesită dispoziţii mai precise. Prezentul regulament oferă, de asemenea, statelormembre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce priveşte prelucrareacategoriilor speciale de date cu caracter personal ("date sensibile"). În acest sens, prezentulregulament nu exclude dreptul statelor membre care stabileşte circumstanţele aferente unor situaţii deprelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiţiilor în care prelucrarea datelor cucaracter personal este legală.

TCAG CONSULTING - SERVICII COMPLETE DE CONSULTANTA GDPR, IMPLEMENTARE GDPR, AUDIT GDPR SI DPO EXTERNALIZAT

(11) Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai(11)Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numaiconsolidarea şi stabilirea în detaliu a drepturilor persoanelor vizate şi a obligaţiilor celor careprelucrează şi decid prelucrarea datelor cu caracter personal, ci şi competenţe echivalente pentrumonitorizarea şi asigurarea conformităţii cu normele de protecţie a datelor cu caracter personal şisancţiuni echivalente pentru infracţiuni în statele membre.

(12)Articolul 16 alineatul (2) din TFUE mandatează Parlamentul European şi Consiliul să stabileascănormele privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal,precum şi normele privind libera circulaţie a acestor date.

(13) În vederea asigurării unui nivel uniform de protecţie pentru persoanele fizice în întreaga Uniune şia preîntâmpinării discrepanţelor care împiedică libera circulaţie a datelor în cadrul pieţei interne, estenecesar un regulament în scopul de a furniza securitate juridică şi transparenţă pentru operatoriieconomici, inclusiv microîntreprinderi şi întreprinderi mici şi mijlocii, precum şi de a oferi persoanelorfizice în toate statele membre acelaşi nivel de drepturi, obligaţii şi responsabilităţi opozabile din punctde vedere juridic pentru operatori şi persoanele împuternicite de aceştia, pentru a se asigura omonitorizare coerentă a prelucrării datelor cu caracter personal, sancţiuni echivalente în toate statelemembre, precum şi cooperarea eficace a autorităţilor de supraveghere ale diferitelor state membre.Pentru buna funcţionare a pieţei interne este necesar ca libera circulaţie a datelor cu caracter personalîn cadrul Uniunii să nu fie restricţionată sau interzisă din motive legate de protecţia persoanelor fizice înceea ce priveşte prelucrarea datelor cu caracter personal. Pentru a se lua în considerare situaţiaspecifică a microîntreprinderilor şi a întreprinderilor mici şi mijlocii, prezentul regulament include oderogare pentru organizaţiile cu mai puţin de 250 de angajaţi în ceea ce priveşte păstrarea evidenţelor.În plus, instituţiile şi organele Uniunii şi statele membre şi autorităţile lor de supraveghere suntîncurajate să ia în considerare necesităţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şimijlocii în aplicarea prezentului regulament. Noţiunea de microîntreprinderi şi de întreprinderi mici şimijlocii ar trebui să se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1).(1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor şi aîntreprinderilor mici şi mijlocii [C(2003) 1422] (JO L 124, 20.5.2003, p. 36).

(14) Protecţia conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent decetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea datelor cu caracterpersonal ale acestora. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal careprivesc persoane juridice şi, în special, întreprinderi cu personalitate juridică, inclusiv numele şi tipul depersoană juridică şi datele de contact ale persoanei juridice.

(15) Pentru a preveni apariţia unui risc major de eludare, protecţia persoanelor fizice ar trebui să fieneutră din punct de vedere tehnologic şi să nu depindă de tehnologiile utilizate. Protecţia persoanelorfizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automatizate, precumşi prelucrării manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fiecuprinse într-un sistem de evidenţă. Dosarele sau seturile de dosare, precum şi copertele acestora, carenu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare alprezentului regulament.

(16) Prezentul regulament nu se aplică chestiunilor de protecţie a drepturilor şi libertăţilorfundamentale sau la libera circulaţie a datelor cu caracter personal referitoare la activităţi care nu intrăîn domeniul de aplicare al dreptului Uniunii, de exemplu activităţile privind securitatea naţională.Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către statele membreatunci când acestea desfăşoară activităţi legate de politica externă şi de securitatea comună a Uniunii.

(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (2) se aplică prelucrăriide date cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii. Regulamentul(CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cucaracter personal ar trebui adaptate la principiile şi normele stabilite în prezentul regulament şi aplicateîn conformitate cu prezentul regulament. În vederea asigurării unui cadru solid şi coerent în materie deprotecţie a datelor în Uniune, ar trebui ca după adoptarea prezentului regulament să se aducăRegulamentului (CE) nr. 45/2001 adaptările necesare, astfel încât acestea să poată fi aplicate odatăcu prezentul regulament.(2)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de cătreinstituţiile şi organele comunitare şi privind libera circulaţie a acestor date (JO L 8, 12.1.2001, p. 1).

(18) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană(18)Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoanăfizică în cadrul unei activităţi exclusiv personale sau domestice şi care, prin urmare, nu are legătură cuo activitate profesională sau comercială. Activităţile personale sau domestice ar putea includecorespondenţa şi repertoriul de adrese sau activităţile din cadrul reţelelor sociale şi activităţile onlinedesfăşurate în contextul respectivelor activităţi. Cu toate acestea, prezentul regulament se aplicăoperatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare adatelor cu caracter personal pentru astfel de activităţi personale sau domestice.

(19) Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de cătreautorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilorsau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şial prevenirii acestora, precum şi libera circulaţie a acestor date, face obiectul unui act juridic specific alUniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităţilor de prelucrare în acestescopuri. Cu toate acestea, datele cu caracter personal prelucrate de către autorităţile publice în temeiulprezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie reglementate printrunact juridic mai specific al Uniunii, şi anume Directiva (UE) 2016/680 a Parlamentului European şi aConsiliului (1). Statele membre pot încredinţa autorităţilor competente în sensul Directivei (UE)2016/680 sarcini care nu sunt neapărat îndeplinite în scopul prevenirii, investigării, depistării sauurmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotrivaameninţărilor la adresa siguranţei publice şi al prevenirii acestora, astfel încât prelucrarea datelor cucaracter personal pentru alte scopuri, în măsura în care se încadrează în domeniul de aplicare aldreptului Uniunii, să intre în domeniul de aplicare al prezentului regulament.(1)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privindprotecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţilecompetente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau alexecutării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).În ceea ce priveşte prelucrarea datelor cu caracter personal de către aceste autorităţi competente înscopuri care intră în domeniul de aplicare al prezentului regulament, statele membre ar trebui să poatămenţine sau introduce dispoziţii mai detaliate pentru a adapta aplicarea normelor din prezentulregulament. Aceste dispoziţii pot stabili mai precis cerinţe specifice pentru prelucrarea datelor cucaracter personal de către respectivele autorităţi competente în aceste alte scopuri, ţinând seama destructura constituţională, organizatorică şi administrativă a statului membru în cauză. Atunci cândprelucrarea de date cu caracter personal de către organisme private face obiectul prezentuluiregulament, prezentul regulament ar trebui să prevadă posibilitatea ca statele membre, în anumitecondiţii, să impună prin lege restricţii asupra anumitor obligaţii şi drepturi, în cazul în care asemenearestricţii constituie o măsură necesară şi proporţională într-o societate democratică în scopul garantăriiunor interese specifice importante, printre care se numără siguranţa publică şi prevenirea, investigarea,depistarea şi urmărirea penală a infracţiunilor sau executarea pedepselor, inclusiv protejarea împotrivaameninţărilor la adresa siguranţei publice şi prevenirea acestora. Acest lucru este relevant, de exemplu,în cadrul combaterii spălării de bani sau al activităţilor laboratoarelor criminalistice.

(20) Deşi prezentul regulament se aplică, inter alia, activităţilor instanţelor şi ale altor autorităţijudiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operaţiunile şi procedurile deprelucrare în ceea ce priveşte prelucrarea datelor cu caracter personal de către instanţe şi alteautorităţi judiciare. Prelucrarea datelor cu caracter personal nu ar trebui să fie de competenţaautorităţilor de supraveghere în cazul în care instanţele îşi exercită atribuţiile judiciare, în scopulgarantării independenţei sistemului judiciar în îndeplinirea sarcinilor sale judiciare, inclusiv în luareadeciziilor. Supravegherea unor astfel de operaţiuni de prelucrare a datelor ar trebui să poată fiîncredinţată unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui săasigure în special respectarea normelor prevăzute de prezentul regulament, să sensibilizeze membriisistemului judiciar cu privire la obligaţiile care le revin în temeiul prezentului regulament şi să tratezeplângerile în legătură cu astfel de operaţiuni de prelucrare a datelor.

(21) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE a ParlamentuluiEuropean şi a Consiliului (2), în special normelor privind răspunderea furnizorilor intermediari de serviciiprevăzute la articolele 12-15 din directiva menţionată. Respectiva directivă îşi propune să contribuie labuna funcţionare a pieţei interne, prin asigurarea liberei circulaţii a serviciilor societăţii informaţionaleîntre statele membre.(2)Directiva 2000/31/CE a Parlamentului European şi a Consiliului din 8 iunie 2000 privind anumiteaspecte juridice ale serviciilor societăţii informaţionale, în special ale comerţului electronic, pe piaţainternă (directiva privind comerţul electronic) (JO L 178, 17.7.2000, p. 1).

(22) Orice prelucrare a datelor cu caracter personal în cadrul activităţilor unui sediu al unui operatorsau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cuprezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii.Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Formajuridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitatejuridică, nu este factorul determinant în această privinţă.

(23) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul în temeiulprezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se află peteritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul înUniune ar trebui să facă obiectul prezentului regulament în cazul în care activităţile de prelucrare aulegătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea suntsau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoanăîmputernicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriulUniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operatorintenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune.Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operatorsau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau căeste utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficientpentru a confirma o astfel de intenţie, factori precum utilizarea unei limbi sau a unei monede utilizate îngeneral în unul sau mai multe state membre cu posibilitatea de a comanda bunuri şi servicii înrespectiva limbă sau menţionarea unor clienţi sau utilizatori care se află pe teritoriul Uniunii potconduce la concluzia că operatorul intenţionează să ofere bunuri sau servicii unor persoane vizate înUniune.

(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii decătre un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui, deasemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizareacomportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestăpe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca"monitorizare a comportamentului" persoanelor vizate, ar trebui să se stabilească dacă persoanelefizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare adatelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special înscopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare lapreferinţele personale, comportamentele şi atitudinile acesteia.

(25) În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional public,prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune,ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.

(26) Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o persoană fizicăidentificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care arputea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, ar trebui considerateinformaţii referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizicăeste identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe careeste probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării,în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, înmod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luaţi înconsiderare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru identificare,ţinându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât şi de dezvoltareatehnologică. Principiile protecţiei datelor ar trebui, prin urmare, să nu se aplice informaţiilor anonime,adică informaţiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cucaracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai esteidentificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informaţiianonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.

(27) Prezentul regulament nu se aplică datelor cu caracter personal referitoare la persoane decedate.Statele membre pot să prevadă norme privind prelucrarea datelor cu caracter personal referitoare lapersoane decedate.

(28) Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanelevizate şi poate ajuta operatorii şi persoanele împuternicite de aceştia să îşi îndeplinească obligaţiile deprotecţie a datelor. Introducerea explicită a conceptului de "pseudonimizare" în prezentul regulamentnu este destinată să împiedice alte eventuale măsuri de protecţie a datelor.

(29) Pentru a crea stimulente pentru aplicarea pseudonimizării atunci când sunt prelucrate date cucaracter personal, ar trebui să fie posibile măsuri de pseudonimizare, permiţând în acelaşi timp analizagenerală, în cadrul aceluiaşi operator atunci când operatorul a luat măsurile tehnice şi organizatoricenecesare pentru a se asigura că prezentul regulament este pus în aplicare în ceea ce priveşterespectiva prelucrare a datelor şi că informaţiile suplimentare pentru atribuirea datelor cu caracterpersonal unei anumite persoane vizate sunt păstrate separat. Operatorul care prelucrează datele cucaracter personal ar trebui să indice persoanele autorizate din cadrul aceluiaşi operator.

(30) Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile,instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatoriprecum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme care, în special atunci cândsunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru creareade profiluri ale persoanelor fizice şi pentru identificarea lor.

INTAMPINI PROBLEME IN LEGATURA CU REGULAMENTUL GDPR?
DA-NE UN SEMN: +40 732 634 123

(31) Autorităţile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligaţie(31)Autorităţile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligaţielegală în vederea exercitării funcţiei lor oficiale, cum ar fi autorităţile fiscale şi vamale, unităţile deinvestigare financiară, autorităţile administrative independente sau autorităţile pieţelor financiareresponsabile de reglementarea şi supravegherea pieţelor titlurilor de valoare, nu ar trebui să fieconsiderate destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentruefectuarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cel alstatelor membre. Cererile de divulgare trimise de autorităţile publice ar trebui să fie întotdeaunaprezentate în scris, motivate şi ocazionale şi nu ar trebui să se refere la un sistem de evidenţă întotalitate sau să conducă la interconectarea sistemelor de evidenţă. Prelucrarea datelor cu caracterpersonal de către autorităţile publice respective ar trebui să respecte normele aplicabile în materie deprotecţie a datelor în conformitate cu scopurile prelucrării.

(32) Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestareliber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentruprelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv înformat electronic, sau verbal. Acesta ar putea include bifarea unei căsuţe atunci când persoanavizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altădeclaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată aprelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţelebifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ. Consimţământular trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacăprelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurileprelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereritransmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în modinutil utilizarea serviciului pentru care se acordă consimţământul.

(33) Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pedeplin scopul prelucrării datelor în scopuri de cercetare ştiinţifică. Din acest motiv, persoanelor vizate artrebui să li se permită să îşi exprime consimţământul pentru anumite domenii ale cercetării ştiinţificeatunci când sunt respectate standardele etice recunoscute pentru cercetarea ştiinţifică. Persoanelevizate ar trebui să aibă posibilitatea de a-şi exprima consimţământul doar pentru anumite domenii decercetare sau părţi ale proiectelor de cercetare în măsura permisă de scopul preconizat.

(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicilegenetice moştenite sau dobândite ale unei persoane fizice, care rezultă în urma unei analize a uneimostre de material biologic al persoanei fizice în cauză, în special a unei analize cromozomiale, a uneianalize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricăruialt element ce permite obţinerea unor informaţii echivalente.

(35) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură custarea de sănătate a persoanei vizate care dezvăluie informaţii despre starea de sănătate fizică saumentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informaţii despre persoanafizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordăriiserviciilor respective persoanei fizice în cauză, astfel cum sunt menţionate în Directiva 2011/24/UE aParlamentului European şi a Consiliului (1); un număr, un simbol sau un semn distinctiv atribuit uneipersoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate dintestarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date geneticeşi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap,un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală apersoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, unspital, un dispozitiv medical sau un test de diagnostic in vitro.(1)Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicareadrepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

(36) Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află administraţiacentrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele deprelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului în Uniune. În acest caz,acesta din urmă ar trebui considerat drept sediul principal. Sediul principal al unui operator în Uniune artrebui să fie determinat conform unor criterii obiective şi ar trebui să implice exercitarea efectivă şireală a unor activităţi de gestionare care să determine principalele decizii cu privire la scopurile şimijloacele de prelucrare în cadrul unor înţelegeri stabile. Acest criteriu nu ar trebui să depindă derealizarea prelucrării datelor cu caracter personal în locul respectiv. Prezenţa şi utilizarea mijloacelortehnice şi a tehnologiilor de prelucrare a datelor cu caracter personal sau activităţile de prelucrare nuconstituie un sediu principal şi, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principalal persoanei împuternicite de operator ar trebui să fie locul în care se află administraţia centrală aacestuia în Uniune sau, în cazul în care nu are o administraţie centrală în Uniune, locul în care sedesfăşoară principalele activităţi de prelucrare în Uniune. În cazurile care implică atât operatorul, cât şipersoana împuternicită de operator, autoritatea de supraveghere principală competentă ar trebui sărămână autoritatea de supraveghere a statului membru în care operatorul îşi are sediul principal, darautoritatea de supraveghere a persoanei împuternicite de operator ar trebui considerată ca fiind oautoritate de supraveghere vizată şi acea autoritate de supraveghere ar trebui să participe la procedurade cooperare prevăzută de prezentul regulament. În orice caz, autorităţile de supraveghere ale statuluimembru sau ale statelor membre în care persoana împuternicită de operator are unul sau mai multesedii nu ar trebui considerate ca fiind autorităţi de supraveghere vizate în cazul în care proiectul dedecizie nu se referă decât la operator. În cazul în care prelucrarea este efectuată de un grup deîntreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediulprincipal al grupului de întreprinderi, cu excepţia cazului în care scopurile şi mijloacele aferenteprelucrării sunt stabilite de o altă întreprindere.

(37) Un grup de întreprinderi ar trebui să cuprindă o întreprindere care exercită controlul şiîntreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui săfie întreprinderea care poate exercita o influenţă dominantă asupra celorlalte întreprinderi, de exempluîn temeiul proprietăţii, al participării financiare sau al regulilor care o reglementează sau al competenţeide a pune în aplicare norme în materie de protecţie a datelor cu caracter personal. O întreprindere carecontrolează prelucrarea datelor cu caracter personal în întreprinderile sale afiliate ar trebui considerată,împreună cu acestea din urmă, drept "grup de întreprinderi".

(38) Copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţinconştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrareadatelor cu caracter personal. Această protecţie specifică ar trebui să se aplice în special utilizării datelorcu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitatesau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizăriiserviciilor oferite direct copiilor. Consimţământul titularului răspunderii părinteşti nu ar trebui să fienecesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

(39) Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. Ar trebui să fietransparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt moddatele cu caracter personal care le privesc şi în ce măsură datele cu caracter personal sunt sau vor fiprelucrate. Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarearespectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi că se utilizează unlimbaj simplu şi clar. Acest principiu se referă în special la informarea persoanelor vizate privindidentitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentrua asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptulacestora de a li se confirma şi comunica datele cu caracter personal care le privesc care suntprelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile înmaterie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercitedrepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personalsunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelorrespective. Datele cu caracter personal ar trebui să fie adecvate, relevante şi limitate la ceea ce estenecesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului căperioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cucaracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în modrezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu suntpăstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termenepentru ştergere sau revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a seasigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracterpersonal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şiconfidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizareaneautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.

(40) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pebaza consimţământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie înprezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede înprezentul regulament, inclusiv necesitatea respectării obligaţiilor legale la care este supus operatorulsau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurgeetapele premergătoare încheierii unui contract, la solicitarea persoanei vizate.

(41) Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă,aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingerecerinţelor care decurg din ordinea constituţională a statului membru în cauză. Cu toate acestea, unastfel de temei juridic sau o astfel de măsură legislativă ar trebui să fie clară şi precisă, iar aplicareaacesteia ar trebui să fie previzibilă pentru persoanele vizate de aceasta, în conformitate cujurisprudenţa Curţii de Justiţie a Uniunii Europene ("Curtea de Justiţie") şi a Curţii Europene aDrepturilor Omului.

(42) În cazul în care prelucrarea se bazează pe consimţământul persoanei vizate, operatorul ar trebuisă fie în măsură să demonstreze faptul că persoana vizată şi-a dat consimţământul pentru operaţiuneade prelucrare. În special, în contextul unei declaraţii scrise cu privire la un alt aspect, garanţiile artrebui să asigure că persoana vizată este conştientă de faptul că şi-a dat consimţământul şi în cemăsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (1), ar trebuifurnizată o declaraţie de consimţământ formulată în prealabil de către operator, într-o formă inteligibilăşi uşor accesibilă, utilizând un limbaj clar şi simplu, iar această declaraţie nu ar trebui să conţină clauzeabuzive. Pentru ca acordarea consimţământului să fie în cunoştinţă de cauză, persoana vizată ar trebuisă fie la curent cel puţin cu identitatea operatorului şi cu scopurile prelucrării pentru care sunt destinatedatele cu caracter personal. Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacăpersoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sausă îşi retragă consimţământul fără a fi prejudiciată.(1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiatecu consumatorii (JO L 95, 21.4.1993, p. 29).

(43) Pentru a garanta faptul că a fost acordat în mod liber, consimţământul nu ar trebui să constituieun temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care existăun dezechilibru evident între persoana vizată şi operator, în special în cazul în care operatorul este oautoritate publică, iar acest lucru face improbabilă acordarea consimţământului în mod liber în toatecircumstanţele aferente respectivei situaţii particulare. Consimţământul este considerat a nu fi acordatîn mod liber în cazul în care aceasta nu permite să se acorde consimţământul separat pentru diferiteleoperaţiuni de prelucrare a datelor cu caracter personal, deşi acest lucru este adecvat în cazul particular,sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este condiţionată deconsimţământ, în ciuda faptului că consimţământul în cauză nu este necesar pentru executareacontractului.

(44) Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contractsau în vederea încheierii unui contract.

(45) În cazul în care prelucrarea este efectuată în conformitate cu o obligaţie legală a operatorului sauîn cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interespublic sau care face parte din exercitarea autorităţii publice, prelucrarea ar trebui să aibă un temei îndreptul Uniunii sau în dreptul intern. Prezentul regulament nu impune existenţa unei legi specificepentru fiecare prelucrare în parte. Poate fi suficientă o singură lege drept temei pentru mai multeoperaţiuni de prelucrare efectuate în conformitate cu o obligaţie legală a operatorului sau în cazul încare prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public saucare face parte din exercitarea autorităţii publice. De asemenea, ar trebui ca scopul prelucrării să fiestabilit în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea săspecifice condiţiile generale ale prezentului regulament care reglementează legalitatea prelucrăriidatelor cu caracter personal, să determine specificaţiile pentru stabilirea operatorului, a tipului de datecu caracter personal care fac obiectul prelucrării, a persoanelor vizate, a entităţilor cărora le pot fidivulgate datele cu caracter personal, a limitărilor în funcţie de scop, a perioadei de stocare şi a altormăsuri pentru a garanta o prelucrare legală şi echitabilă. De asemenea, ar trebui să se stabilească îndreptul Uniunii sau în dreptul intern dacă operatorul care îndeplineşte o sarcină care serveşte unuiinteres public sau care face parte din exercitarea autorităţii publice ar trebui să fie o autoritate publicăsau o altă persoană fizică sau juridică guvernată de dreptul public sau, atunci când motive de interespublic justifică acest lucru, inclusiv în scopuri medicale, precum sănătatea publică şi protecţia socială,precum şi gestionarea serviciilor de asistenţă medicală, de dreptul privat, cum ar fi o asociaţieprofesională.

(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazulîn care este necesară în scopul asigurării protecţiei unui interes care este esenţial pentru viaţapersoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea datelor cu caracter personalcare are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul încare prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare potservi atât unor motive importante de interes public, cât şi intereselor vitale ale persoanei vizate, deexemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vedereamonitorizării unei epidemii şi a răspândirii acesteia sau în situaţii de urgenţe umanitare, în special însituaţii de dezastre naturale sau provocate de om.

(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datelecu caracter personal sau ale unei terţe părţi, pot constitui un temei juridic pentru prelucrare, cucondiţia să nu prevaleze interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, luândîn considerare aşteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul.Acest interes legitim ar putea exista, de exemplu, atunci când există o relaţie relevantă şi adecvatăîntre persoana vizată şi operator, cum ar fi cazul în care persoana vizată este un client al operatoruluisau se află în serviciul acestuia. În orice caz, existenţa unui interes legitim ar necesita o evaluareatentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, înmomentul şi în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop.Interesele şi drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cuinteresul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanţe încare persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorultrebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autorităţilepublice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autorităţile publice înîndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopulprevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză.Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată cafiind desfăşurată pentru un interes legitim.

(48) Operatorii care fac parte dintr-un grup de întreprinderi sau instituţii afiliate unui organism centralpot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderiîn scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienţilorsau angajaţilor. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup deîntreprinderi, către o întreprindere situată într-o ţară terţă rămân neschimbate.

(49) Prelucrarea datelor cu caracter personal în măsura strict necesară şi proporţională în scopulasigurării securităţii reţelelor şi a informaţiilor, şi anume capacitatea unei reţele sau a unui sistem deinformaţii de a face faţă, la un anumit nivel de încredere, evenimentelor accidentale sau acţiunilorilegale sau rău intenţionate care compromit disponibilitatea, autenticitatea, integritatea şiconfidenţialitatea datelor cu caracter personal stocate sau transmise, precum şi securitatea serviciilorconexe oferite de aceste reţele şi sisteme, sau accesibile prin intermediul acestora, de către autorităţilepublice, echipele de intervenţie în caz de urgenţă informatică, echipele de intervenţie în cazulproducerii unor incidente care afectează securitatea informatică, furnizorii de reţele şi servicii decomunicaţii electronice, precum şi de către furnizorii de servicii şi tehnologii de securitate, constituie uninteres legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenireaaccesului neautorizat la reţelele de comunicaţii electronice şi a difuzării de coduri dăunătoare şi oprireaatacurilor de "blocare a serviciului", precum şi prevenirea daunelor aduse calculatoarelor şi sistemelorde comunicaţii electronice.

(50) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cucaracter personal au fost iniţial colectate ar trebui să fie permisă doar atunci când prelucrarea estecompatibilă cu scopurile respective pentru care datele cu caracter personal au fost iniţial colectate. Înacest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectareadatelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcinicare serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestitoperatorul, dreptul Uniunii sau dreptul intern poate stabili şi specifica sarcinile şi scopurile pentru careprelucrarea ulterioară ar trebui considerată a fi compatibilă şi legală. Prelucrarea ulterioară în scopuride arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice artrebui considerată ca reprezentând operaţiuni de prelucrare legale compatibile. Temeiul juridic prevăzutîn dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui,de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrăriiulterioare este compatibil cu scopul pentru care au fost colectate iniţial datele cu caracter personal,operatorul, după ce a îndeplinit toate cerinţele privind legalitatea prelucrării iniţiale, ar trebui să ţinăseama, printre altele, de orice legătură între respectivele scopuri şi scopurile prelucrării ulterioarepreconizate, de contextul în care au fost colectate datele cu caracter personal, în special de aşteptărilerezonabile ale persoanelor vizate, bazate pe relaţia lor cu operatorul, în ceea ce priveşte utilizareaulterioară a datelor, de natura datelor cu caracter personal, de consecinţele prelucrării ulterioarepreconizate asupra persoanelor vizate, precum şi de existenţa garanţiilor corespunzătoare atât în cadruloperaţiunilor de prelucrare iniţiale, cât şi în cadrul operaţiunilor de prelucrare ulterioare preconizate.În cazul în care persoana vizată şi-a dat consimţământul sau prelucrarea se bazează pe dreptul Uniuniisau pe dreptul intern, care constituie o măsură necesară şi proporţională într-o societate democraticăpentru a proteja, în special, obiective importante de interes public general, operatorul ar trebui să aibăposibilitatea de a prelucra în continuare datele cu caracter personal, indiferent de compatibilitateascopurilor. În orice caz, aplicarea principiilor stabilite de prezentul regulament şi, în special, informareapersoanei vizate cu privire la aceste alte scopuri şi la drepturile sale, inclusiv dreptul la opoziţie, artrebui să fie garantate. Indicarea unor posibile infracţiuni sau ameninţări la adresa siguranţei publice decătre operator şi transmiterea către o autoritate competentă a datelor cu caracter personal relevante încazuri individuale sau în mai multe cazuri legate de aceeaşi infracţiune sau de aceleaşi ameninţări laadresa siguranţei publice ar trebui considerată ca fiind în interesul legitim urmărit de operator. Cu toateacestea, o astfel de transmitere în interesul legitim al operatorului sau prelucrarea ulterioară a datelorcu caracter personal ar trebui interzisă în cazul în care prelucrarea nu este compatibilă cu o obligaţielegală, profesională sau cu o altă obligaţie de păstrare a confidenţialităţii.

(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce priveştedrepturile şi libertăţile fundamentale necesită o protecţie specifică, deoarece contextul prelucrăriiacestora ar putea genera riscuri considerabile la adresa drepturilor şi libertăţilor fundamentale. Acestedate cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasialăsau etnică, utilizarea termenului "origine rasială" în prezentul regulament neimplicând o acceptare decătre Uniune a teoriilor care urmăresc să stabilească existenţa unor rase umane separate. Prelucrareafotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii specialede date cu caracter personal, întrucât fotografiile intră sub incidenţa definiţiei datelor biometrice doar încazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sauautentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cuexcepţia cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament,ţinând seama de faptul că dreptul statelor membre poate prevedea dispoziţii specifice cu privire laprotecţia datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea respectăriiunei obligaţii legale sau a îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă dinexercitarea autorităţii publice cu care este învestit operatorul. Pe lângă cerinţele specifice pentru oastfel de prelucrare, ar trebui să se aplice principiile generale şi alte norme prevăzute de prezentulregulament, în special în ceea ce priveşte condiţiile pentru prelucrarea legală. Ar trebui prevăzute înmod explicit derogări de la interdicţia generală de prelucrare a acestor categorii speciale de date cucaracter personal, printre altele atunci când persoana vizată îşi dă consimţământul explicit sau în ceeace priveşte nevoile specifice în special atunci când prelucrarea este efectuată în cadrul unor activităţilegitime de către anumite asociaţii sau fundaţii al căror scop este de a permite exercitarea libertăţilorfundamentale.

(52) Derogarea de la interdicţia privind prelucrarea categoriilor speciale de date cu caracter personal artrebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acestlucru şi ar trebui să facă obiectul unor garanţii adecvate, astfel încât să fie protejate datele cu caracterpersonal şi alte drepturi fundamentale, atunci când acest lucru se justifică din motive de interes public,în special în cazul prelucrării datelor cu caracter personal în domeniul legislaţiei privind ocuparea forţeide muncă, protecţia socială, inclusiv pensiile, precum şi în scopuri de securitate, supraveghere şi alertăîn materie de sănătate, pentru prevenirea sau controlul bolilor transmisibile şi a altor ameninţări gravela adresa sănătăţii. Această derogare poate fi acordată în scopuri medicale, inclusiv sănătatea publică şigestionarea serviciilor de asistenţă medicală, în special în vederea asigurării calităţii şi eficienţei dinpunctul de vedere al costurilor ale procedurilor utilizate pentru soluţionarea cererilor de prestaţii şiservicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de arhivare în interes public, înscopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice. De asemenea, prelucrarea unorasemenea date cu caracter personal ar trebui permisă, printr-o derogare, atunci când este necesarăpentru constatarea, exercitarea sau apărarea unui drept în justiţie, indiferent dacă are loc în cadrul uneiproceduri în faţa unei instanţe sau în cadrul unei proceduri administrative sau a unei proceduriextrajudiciare.

(53) Categoriile speciale de date cu caracter personal care necesită un nivel mai ridicat de protecţie artrebui prelucrate doar în scopuri legate de sănătate atunci când este necesar pentru realizarea acestorscopuri în beneficiul persoanelor fizice şi al societăţii în general, în special în contextul gestionăriiserviciilor şi sistemelor de sănătate sau de asistenţă socială, inclusiv prelucrarea acestor date de cătreautorităţile de management şi de către autorităţile centrale naţionale din domeniul sănătăţii în scopulcontrolului calităţii, furnizării de informaţii de gestiune şi al supravegherii generale a sistemului desănătate sau de asistenţă socială la nivel naţional şi local, precum şi în contextul asigurării continuităţiiasistenţei medicale sau sociale şi a asistenţei medicale transfrontaliere ori în scopuri de securitate,supraveghere şi alertă în materie de sănătate ori în scopuri de arhivare în interes public, în scopuri decercetare ştiinţifică sau istorică ori în scopuri statistice în temeiul dreptului Uniunii sau al dreptuluiintern, care trebuie să urmărească un obiectiv de interes public, precum şi în cazul studiilor realizate îninteres public în domeniul sănătăţii publice. Prin urmare, prezentul regulament ar trebui să prevadăcondiţii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privindsănătatea, în ceea ce priveşte nevoile specifice, în special atunci când prelucrarea acestor date esteefectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligaţii legalede a păstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui să prevadă măsuri specificeşi adecvate pentru a proteja drepturile fundamentale şi datele cu caracter personal ale persoanelorfizice. Statele membre ar trebui să aibă posibilitatea de a menţine sau de a introduce condiţiisuplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea datelor genetice, a datelor biometricesau a datelor privind sănătatea. Totuşi, acest lucru nu ar trebui să împiedice libera circulaţie a datelorcu caracter personal în cadrul Uniunii atunci când aceste condiţii se aplică prelucrării transfrontaliere aunor astfel de date.

(54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din motive deinteres public în domeniile sănătăţii publice, fără consimţământul persoanei vizate. O astfel deprelucrare ar trebui condiţionată de măsuri adecvate şi specifice destinate să protejeze drepturile şilibertăţile persoanelor fizice. În acest context, conceptul de "sănătate publică" ar trebui interpretatastfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului(1), şi anume toate elementele referitoare la sănătate şi anume starea de sănătate, inclusivmorbiditatea sau handicapul, factorii determinanţi care au efect asupra stării de sănătate, necesităţileîn domeniul asistenţei medicale, resursele alocate asistenţei medicale, furnizarea asistenţei medicale şiasigurarea accesului universal la aceasta, precum şi cheltuielile şi sursele de finanţare în domeniulsănătăţii şi cauzele mortalităţii. Această prelucrare a datelor privind sănătatea din motive de interespublic nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părţi terţe, cum ar fiangajatorii sau societăţile de asigurări şi băncile.(1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţala locul de muncă (JO L 354, 31.12.2008, p. 70).

(55) În plus, prelucrarea datelor cu caracter personal de către autorităţile publice în vederea realizăriiobiectivelor prevăzute de dreptul constituţional sau de dreptul internaţional public, ale asociaţiilorreligioase recunoscute oficial se efectuează din motive de interes public.

(56) În cazul în care, în cadrul activităţilor electorale, funcţionarea sistemului democratic necesită, întrunstat membru, ca partidele politice să colecteze date cu caracter personal privind opiniile politice alepersoanelor, prelucrarea unor astfel de date poate fi permisă din motive de interes public, cu condiţiasă se prevadă garanţiile corespunzătoare.

(57) Dacă datele cu caracter personal prelucrate de un operator nu îi permit acestuia să identifice opersoană fizică, operatorul de date nu ar trebui să aibă obligaţia de a obţine informaţii suplimentare învederea identificării persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziţiile prezentuluiregulament. Cu toate acestea, operatorul nu ar trebui să refuze să preia informaţiile suplimentarefurnizate de persoana vizată cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea artrebui să includă identificarea digitală a unei persoane vizate, de exemplu prin mecanisme deautentificare precum aceleaşi acreditări utilizate de către persoana vizată pentru a accesa serviciileonline oferite de operatorul de date.

(58) Principiul transparenţei prevede că orice informaţii care se adresează publicului sau persoaneivizate să fie concise, uşor accesibile şi uşor de înţeles şi să se utilizeze un limbaj simplu şi clar, precumşi vizualizare acolo unde este cazul. Aceste informaţii ar putea fi furnizate în format electronic, deexemplu atunci când sunt adresate publicului, prin intermediul unui site. Acest lucru este important înspecial în situaţii în care datorită multitudinii actorilor şi a complexităţii, din punct de vedere tehnologic,a practicii, este dificil ca persoana vizată să ştie şi să înţeleagă dacă datele cu caracter personal care oprivesc sunt colectate, de către cine şi în ce scop, cum este cazul publicităţii online. Întrucât copiinecesită o protecţie specifică, orice informaţii şi orice comunicare, în cazul în care prelucrarea vizeazăun copil, ar trebui să fie exprimate într-un limbaj simplu şi clar, astfel încât copilul să îl poată înţelegecu uşurinţă.

(59) Ar trebui să fie prevăzute modalităţi de facilitare a exercitării de către persoana vizată a drepturilorcare îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicitaşi, dacă este cazul, obţine, în mod gratuit, în special, acces la datele cu caracter personal, precum şirectificarea sau ştergerea acestora, şi exercitarea dreptului la opoziţie. Operatorul ar trebui să ofere, deasemenea, modalităţi de introducere a cererilor pe cale electronică, mai ales în cazul în care datele cucaracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui să aibă obligaţia de arăspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună şi, încazul în care nu intenţionează să se conformeze respectivele cereri, să motiveze acest refuz.

DACA AI NEVOIE PENTRU IMPLEMENTAREA REGULAMENTULUI GDPR
DA-NE UN SEMN: +40 732 634 123

(60)Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată cu privire(60)Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată cu privirela existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui să furnizezepersoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şitransparentă, ţinând seama de circumstanţele specifice şi de contextul în care sunt prelucrate datele cucaracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precumşi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată,aceasta ar trebui informată, de asemenea, dacă are obligaţia de a furniza datele cu caracter personal şicare sunt consecinţele în cazul unui refuz. Aceste informaţii pot fi furnizate în combinaţie cu pictogramestandardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblusemnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în formatelectronic, acestea ar trebui să poată fi citite automat.

(61)Informaţiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizatăar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în cazul în care datele cucaracter personal sunt obţinute din altă sursă, într-o perioadă rezonabilă, în funcţie de circumstanţelecazului. În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar,persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru primadată destinatarului. În cazul în care operatorul intenţionează să prelucreze datele cu caracter personalîntr-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizezepersoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şialte informaţii necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicatăpersoanei vizate din cauză că au fost utilizate surse diverse, informaţiile generale ar trebui furnizate.

(62)Cu toate acestea, nu este necesară impunerea obligaţiei de a furniza informaţii în cazul în carepersoana vizată deţine deja informaţiile, în cazul în care înregistrarea sau divulgarea datelor cu caracterpersonal este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate sedovedeşte imposibilă sau ar implica eforturi disproporţionate. Acesta din urmă ar putea fi cazul înspecial atunci când prelucrarea se efectuează în scopuri de arhivare în interes public, în scopuri decercetare ştiinţifică sau istorică ori în scopuri statistice. În această privinţă, ar trebui luate înconsiderare numărul persoanelor vizate, vechimea datelor şi orice garanţii adecvate adoptate.

(63)O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care oprivesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fiinformată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptulpersoanelor vizate de a avea acces la datele lor privind sănătatea, de exemplu datele din registrele lormedicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilorcuranţi şi orice tratament sau intervenţie efectuată. Orice persoană vizată ar trebui, prin urmare, săaibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, dacăeste posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cucaracter personal, logica de prelucrare automată a datelor cu caracter personal şi, cel puţin în cazul încare se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări. Dacă acest lucru esteposibil, operatorul de date ar trebui să poată furniza acces de la distanţă la un sistem sigur, care săofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui săaducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţiiintelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software. Cu toateacestea, consideraţiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toateinformaţiile persoanei vizate. Atunci când operatorul prelucrează un volum mare de informaţii privindpersoana vizată, operatorul ar trebui să poată solicita ca, înainte de a îi fi furnizate informaţiile,persoana vizată să precizeze informaţiile sau activităţile de prelucrare la care se referă cererea sa.

(64)Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei persoanevizate care solicită acces la date, în special în contextul serviciilor online şi al identificatorilor online. Unoperator nu ar trebui să reţină datele cu caracter personal în scopul exclusiv de a fi în măsură săreacţioneze la cereri potenţiale.

(65)O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care oprivesc şi "dreptul de a fi uitată", în cazul în care păstrarea acestor date încalcă prezentul regulamentsau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră operatorul. În special, persoanele vizatear trebui să aibă dreptul ca datele lor cu caracter personal să fie şterse şi să nu mai fie prelucrate, încazul în care datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectatesau sunt prelucrate, în cazul în care persoanele vizate şi-au retras consimţământul pentru prelucraresau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazulîn care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentulregulament. Acest drept este relevant în special în cazul în care persoana vizată şi-a datconsimţământul când era copil şi nu cunoştea pe deplin riscurile pe care le implică prelucrarea, iarulterior doreşte să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizatăar trebui să aibă posibilitatea de a-şi exercita acest drept în pofida faptului că nu mai este copil. Cutoate acestea, păstrarea în continuare a datelor cu caracter personal ar trebui să fie legală în cazul încare este necesară pentru exercitarea dreptului la libertatea de exprimare şi de informare, pentrurespectarea unei obligaţii legale, pentru îndeplinirea unei sarcini care serveşte unui interes public saucare rezultă din exercitarea autorităţii publice cu care este învestit operatorul, din motive de interespublic în domeniul sănătăţii publice, în scopuri de arhivare în interes public, în scopuri de cercetareştiinţifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unuidrept în instanţă.

(66)Pentru a se consolida "dreptul de a fi uitat" în mediul online, dreptul de ştergere ar trebui să fieextins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligaţiade a informa operatorii care prelucrează respectivele date cu caracter personal să şteargă orice linkuricătre datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul în cauză artrebui să ia măsuri rezonabile, ţinând seama de tehnologia disponibilă şi de mijloacele aflate ladispoziţia lui, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracterpersonal în ceea ce priveşte cererea persoanei vizate.

(67)Metodele de restricţionare a prelucrării de date cu caracter personal ar putea include, printrealtele, mutarea temporară a datelor cu caracter personal selectate într-un alt sistem de prelucrare, sauanularea accesului utilizatorilor la datele selectate sau înlăturarea temporară a datelor publicate de peun site. În ceea ce priveşte sistemele automatizate de evidenţă a datelor, restricţionarea prelucrării artrebui, în principiu, asigurată prin mijloace tehnice în aşa fel încât datele cu caracter personal să nufacă obiectul unor operaţiuni de prelucrare ulterioară şi să nu mai poată fi schimbate. Faptul căprelucrarea datelor cu caracter personal este restricţionată ar trebui indicat în mod clar în sistem.

(68)Pentru a spori suplimentar controlul asupra propriilor date, persoana vizată ar trebui, în cazul încare datele cu caracter personal sunt prelucrate prin mijloace automate, să poată primi datele cucaracter personal care o privesc şi pe care le-a furnizat unui operator, într-un format structurat, utilizatîn mod curent, prelucrabil automat şi interoperabil şi să le poată transmite unui alt operator. Operatoriide date ar trebui să fie încurajaţi să dezvolte formate interoperabile care să permită portabilitateadatelor. Acest drept ar trebui să se aplice în cazul în care persoana vizată a furnizat datele cu caracterpersonal pe baza propriului consimţământ sau în cazul în care prelucrarea datelor este necesară pentruexecutarea unui contract. Acest drept nu ar trebui să se aplice în cazul în care prelucrarea se bazeazăpe un alt temei juridic decât consimţământul sau contractul. Prin însăşi natura sa, acest drept nu artrebui exercitat împotriva operatorilor care prelucrează date cu caracter personal în cadrul exercităriifuncţiilor lor publice. Acesta nu ar trebui să se aplice în special în cazul în care prelucrarea de date cucaracter personal este necesară în vederea respectării unei obligaţii legale căreia îi este supusoperatorul sau în cazul îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă dinexercitarea unei autorităţi publice cu care este învestit operatorul. Dreptul persoanei vizate de atransmite sau de a primi date cu caracter personal care o privesc nu ar trebui să creeze pentruoperatori obligaţia de a adopta sau de a menţine sisteme de prelucrare care să fie compatibile dinpunct de vedere tehnic. În cazul în care, într-un anumit set de date cu caracter personal, sunt implicatemai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui să aducă atingere drepturilor şi libertăţilor altor persoane vizate, în conformitate cu prezentul regulament. Deasemenea, acest drept nu ar trebui să aducă atingere dreptului persoanei vizate de a obţine ştergereadatelor cu caracter personal şi limitărilor dreptului respectiv, astfel cum sunt prevăzute în prezentulregulament, şi nu ar trebui, în special, să implice ştergerea acelor date cu caracter personal referitoarela persoana vizată care au fost furnizate de către aceasta în vederea executării unui contract, în măsuraîn care şi atât timp cât datele respective sunt necesare pentru executarea contractului. Persoana vizatăar trebui să aibă dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul,dacă acest lucru este fezabil din punct de vedere tehnic.

(69)În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal deoareceprelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau carerezultă din exercitarea autorităţii publice cu care este învestit operatorul sau pe baza intereselorlegitime ale unui operator sau ale unei părţi terţe, o persoană vizată ar trebui să aibă totuşi dreptul dea se opune prelucrării oricăror date cu caracter personal care se referă la situaţia sa particulară. Artrebui să revină operatorului sarcina de a demonstra că interesele sale legitime şi imperioaseprevalează asupra intereselor sau a drepturilor şi libertăţilor fundamentale ale persoanei vizate.

(70)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct,persoana vizată ar trebui să aibă dreptul de a se opune unei astfel de prelucrări, inclusiv creării deprofiluri în măsura în care aceasta are legătură cu marketingul direct, indiferent dacă prelucrarea încauză este cea iniţială sau una ulterioară, în orice moment şi în mod gratuit. Acest drept ar trebui adusîn mod explicit în atenţia persoanei vizate şi prezentat în mod clar şi separat de orice alte informaţii.

(71)Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include omăsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv peprelucrarea automată şi care produce efecte juridice care privesc persoana vizată sau o afectează înmod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online saupracticile de recrutare pe cale electronică, fără intervenţie umană. O astfel de prelucrare include"crearea de profiluri", care constă în orice formă de prelucrare automată a datelor cu caracter personalprin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării saupreconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situaţiaeconomică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul,locaţia sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau oafectează în mod similar într-o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată înmod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopulmonitorizării şi prevenirii fraudei şi a evaziunii fiscale, desfăşurate în conformitate cu reglementările,standardele şi recomandările instituţiilor Uniunii sau ale organismelor naţionale de supraveghere, şi înscopul asigurării securităţii şi fiabilităţii unui serviciu oferit de operator sau în cazul în care estenecesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator sau încazul în care persoana vizată şi-a dat în mod explicit consimţământul. În orice caz, o astfel deprelucrare ar trebui să facă obiectul unor garanţii corespunzătoare, care ar trebui să includă oinformare specifică a persoanei vizate şi dreptul acesteia de a obţine intervenţie umană, de a-şiexprima punctul de vedere, de a primi o explicaţie privind decizia luată în urma unei astfel de evaluări,precum şi dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la un copil.Pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată, având învedere circumstanţele specifice şi contextul în care sunt prelucrate datele cu caracter personal,operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea deprofiluri, să implementeze măsuri tehnice şi organizatorice adecvate pentru a asigura în special faptulcă factorii care duc la inexactităţi ale datelor cu caracter personal sunt corectaţi şi că riscul de erori esteredus la minimum, precum şi să securizeze datele cu caracter personal într-un mod care să ţină seamade pericolele potenţiale la adresa intereselor şi drepturilor persoanei vizate şi să prevină, printre altele,efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religiesau convingeri, apartenenţă sindicală, caracteristici genetice, stare de sănătate sau orientare sexualăsau prelucrări care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat şicrearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permisenumai în condiţii specifice.(la data 23-mai-2018 alin. (71) rectificat de punctul 1. din Rectificare din 23-mai-2018 )

(72)Crearea de profiluri este supusă normelor prezentului regulament care reglementează prelucrareadatelor cu caracter personal, precum temeiurile juridice ale prelucrării sau principiile de protecţie adatelor. Comitetul european pentru protecţia datelor instituit prin prezentul regulament ("comitetul") artrebui să poată emite orientări în acest context.

(73)Dreptul Uniunii sau dreptul intern poate impune restricţii în privinţa unor principii specifice, înprivinţa dreptului de informare, a dreptului de acces la datele cu caracter personal şi de rectificare sauştergere a acestora, în privinţa dreptului la portabilitatea datelor, a dreptului la opoziţie, a deciziilorbazate pe crearea de profiluri, precum şi în privinţa comunicării unei încălcări a securităţii datelor cucaracter personal persoanei vizate şi a anumitor obligaţii conexe ale operatorilor, în măsura în careacest lucru este necesar şi proporţional într-o societate democratică pentru a se garanta siguranţapublică, inclusiv protecţia vieţii oamenilor, în special ca răspuns la dezastre naturale sau provocate deom, prevenirea, investigarea şi urmărirea penală a infracţiunilor sau executarea pedepselor, inclusivprotejarea împotriva ameninţărilor la adresa siguranţei publice sau împotriva încălcării eticii în cazulprofesiilor reglementate şi prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii saual unui stat membru, menţinerea de registre publice din motive de interes public general, prelucrareaulterioară a datelor cu caracter personal arhivate pentru a transmite informaţii specifice legate decomportamentul politic în perioada regimurilor fostelor state totalitare, protecţia persoanei vizate sau adrepturilor şi libertăţilor unor terţi, inclusiv protecţia socială, sănătatea publică şi scopurile umanitare.Aceste restricţii ar trebui să fie conforme cu cerinţele prevăzute de cartă şi de Convenţia europeanăpentru apărarea drepturilor omului şi a libertăţilor fundamentale.

(74)Ar trebui să se stabilească responsabilitatea şi răspunderea operatorului pentru orice prelucrare adatelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul artrebui să fie obligat să implementeze măsuri adecvate şi eficace şi să fie în măsură să demonstrezeconformitatea activităţilor de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Acestemăsuri ar trebui să ţină seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării,precum şi de riscul pentru drepturile şi libertăţile persoanelor fizice.

(75)Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitatede materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care arputea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrareapoate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromitereareputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional,inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economicăsau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şiexercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate suntdate care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice,apartenenţa sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viaţasexuală sau privind condamnările penale şi infracţiunile sau măsurile de securitate conexe; suntevaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privindrandamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau intereselepersonale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a seutiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, înspecial ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afecteazăun număr larg de persoane vizate.

(76)Probabilitatea de a se materializa şi gravitatea riscului pentru drepturile şi libertăţile persoaneivizate ar trebui să fie determinate în funcţie de natura, domeniul de aplicare, contextul şi scopurileprelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective princare se stabileşte dacă operaţiunile de prelucrare a datelor prezintă un risc sau un risc ridicat.

(77)Orientări pentru implementarea unor măsuri adecvate şi pentru demonstrarea conformităţii decătre operator sau persoana împuternicită de operator, mai ales în ceea ce priveşte identificarea risculuilegat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilităţii de a sematerializa şi al gravităţii, precum şi identificarea bunelor practici pentru atenuarea riscului ar putea fioferite în special prin coduri de conduită aprobate, certificări aprobate, orientări ale comitetului sau prinindicaţii furnizate de un responsabil cu protecţia datelor. Comitetul poate, de asemenea, să emităorientări cu privire la operaţiunile de prelucrare care sunt considerate puţin susceptibile de a genera unrisc ridicat pentru drepturile şi libertăţile persoanelor fizice şi să indice măsurile care se pot dovedisuficiente în asemenea cazuri pentru a aborda un astfel de risc.

(78)Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cucaracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a seasigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstrezeconformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună înaplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperiişi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea laminimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curândposibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitareapersoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente desiguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii,servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucreazădate cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestorservicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentulelaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual aldezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşiîndeplinească obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cumomentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi încontextul licitaţiilor publice.

(79)Protecţia drepturilor şi libertăţilor persoanelor vizate, precum şi responsabilitatea şi răspundereaoperatorilor şi a persoanelor împuternicite de operator, inclusiv în ceea ce priveşte monitorizarea decătre autorităţile de supraveghere şi măsurile adoptate de acestea, necesită o atribuire clară aresponsabilităţilor în temeiul prezentului regulament, inclusiv în cazul în care un operator stabileştescopurile şi mijloacele prelucrării împreună cu alţi operatori sau în cazul în care o operaţiune deprelucrare este efectuată în numele unui operator.

(80)Atunci când un operator sau o persoană împuternicită de operator care nu este stabilită în Uniuneprelucrează date cu caracter personal ale unor persoane vizate care se află pe teritoriul Uniunii, iaractivităţile sale de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoanevizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată, saucu monitorizarea comportamentului unor persoane vizate dacă acesta se manifestă în cadrul Uniunii,operatorul sau persoana împuternicită de operator ar trebui să desemneze un reprezentant, cu excepţiacazului în care prelucrarea are caracter ocazional, nu include prelucrarea pe scară largă a unor categoriispeciale de date cu caracter personal şi nici prelucrarea de date referitoare la condamnări penale şi lainfracţiuni, şi este puţin susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelorfizice, având în vedere natura, contextul, domeniul de aplicare şi scopurile prelucrării, precum şi acazului în care operatorul este o autoritate publică sau un organism public. Reprezentantul ar trebui săacţioneze în numele operatorului sau al persoanei împuternicite de operator, putând fi contactat deorice autoritate de supraveghere. Reprezentantul ar trebui desemnat în mod explicit, printr-un mandatscris al operatorului sau al persoanei împuternicite de operator, să acţioneze în numele acestuia(acesteia) în ceea ce priveşte obligaţiile lor în temeiul prezentului regulament. Desemnarea unui astfelde reprezentant nu aduce atingere responsabilităţii sau răspunderii operatorului sau a persoaneiîmputernicite de operator în temeiul prezentului regulament. Un astfel de reprezentant ar trebui să îşiîndeplinească sarcinile în conformitate cu mandatul primit de la operator sau de la persoanaîmputernicită de operator, inclusiv să coopereze cu autorităţile de supraveghere competente în ceea cepriveşte orice acţiune întreprinsă pentru a asigura respectarea prezentului regulament. Reprezentantuldesemnat ar trebui să fie supus unor proceduri de asigurare a respectării legii în cazul nerespectăriiprezentului regulament de către operator sau de către persoana împuternicită de operator.

(81)Pentru a asigura respectarea cerinţelor impuse de prezentul regulament în ceea ce priveşteprelucrarea care trebuie efectuată în numele operatorului de către persoana împuternicită de operator,atunci când atribuie activităţi de prelucrare unei persoane împuternicite de operator, acesta din urmă artrebui să utilizeze numai persoane împuternicite care oferă garanţii suficiente, în special în ceea cepriveşte cunoştinţele de specialitate, fiabilitatea şi resursele, pentru a implementa măsuri tehnice şiorganizatorice care îndeplinesc cerinţele impuse de prezentul regulament, inclusiv pentru securitateaprelucrării. Aderarea de către persoana împuternicită de operator la un cod de conduită aprobat sau laun mecanism de certificare aprobat poate fi utilizată drept element care să demonstreze respectareaobligaţiilor de către operator. Efectuarea prelucrării de către o persoană împuternicită de un operator artrebui să fie reglementată printr-un contract sau un alt tip de act juridic, în temeiul dreptului Uniuniisau al dreptului intern, care creează obligaţii pentru persoana împuternicită de operator în raport cuoperatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopurile prelucrării, tipul de date cucaracter personal şi categoriile de persoane vizate, şi ar trebui să ţină seama de sarcinile şiresponsabilităţile specifice ale persoanei împuternicite de operator în contextul prelucrării care trebuieefectuată, precum şi de riscul pentru drepturile şi libertăţile persoanei vizate. Operatorul şi persoanaîmputernicită de operator pot alege să utilizeze un contract individual sau clauze contractuale standardcare sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere în conformitate cumecanismul de asigurare a coerenţei şi apoi adoptate de Comisie. După finalizarea prelucrării în numeleoperatorului, persoana împuternicită de operator ar trebui să returneze sau să şteargă, în funcţie deopţiunea operatorului, datele cu caracter personal, cu excepţia cazului în care există o cerinţă destocare a datelor cu caracter personal în temeiul dreptului Uniunii sau al dreptului intern care instituieobligaţii pentru persoana împuternicită de operator.

(82)În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau persoanaîmputernicită de operator ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate înresponsabilitatea sa. Fiecare operator şi fiecare persoană împuternicită de operator ar trebui să aibăobligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere,aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective.

(83)În vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă prezentul regulament,operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării şisă implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective artrebui să asigure un nivel corespunzător de securitate, inclusiv confidenţialitatea, luând în considerarestadiul actual al dezvoltării şi costurile implementării în raport cu riscurile şi cu natura datelor cucaracter personal a căror protecţie trebuie asigurată. La evaluarea riscului pentru securitatea datelor cucaracter personal, ar trebui să se acorde atenţie riscurilor pe care le prezintă prelucrarea datelor, cumar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cucaracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care potduce în special la prejudicii fizice, materiale sau morale.

(84)Pentru a favoriza respectarea dispoziţiilor prezentului regulament în cazurile în care operaţiunile deprelucrare sunt susceptibile să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice,operatorul ar trebui să fie responsabil de efectuarea unei evaluări a impactului asupra protecţieidatelor, care să estimeze, în special, originea, natura, specificitatea şi gravitatea acestui risc. Rezultatulevaluării ar trebui luat în considerare la stabilirea măsurilor adecvate care trebuie luate pentru ademonstra că prelucrarea datelor cu caracter personal respectă prezentul regulament. În cazul în careo evaluare a impactului asupra protecţiei datelor arată că operaţiunile de prelucrare implică un riscridicat, pe care operatorul nu îl poate atenua prin măsuri adecvate sub aspectul tehnologiei disponibileşi al costurilor implementării, ar trebui să aibă loc o consultare a autorităţii de supraveghere înainte deprelucrare.

(85)Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cucaracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cumar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor,discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată apseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personalprotejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socialăadus persoanei fizice în cauză. Prin urmare, de îndată ce a luat cunoştinţă de producerea unei încălcăria securităţii datelor cu caracter personal, operatorul ar trebui să notifice această încălcare autorităţii desupraveghere, fără întârziere nejustificată şi, dacă este posibil, în cel mult 72 de ore după ce a luat lacunoştinţă de existenţa acesteia, cu excepţia cazului în care operatorul este în măsură să demonstreze,în conformitate cu principiul responsabilităţii, că încălcarea securităţii datelor cu caracter personal nueste susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. Atunci cândnotificarea nu se poate realiza în termen de 72 de ore, aceasta ar trebui să cuprindă motiveleîntârzierii, iar informaţiile pot fi furnizate treptat, fără altă întârziere.

(86)Operatorul ar trebui să comunice persoanei vizate o încălcare a securităţii datelor cu caracterpersonal, fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicatpentru drepturile şi libertăţile persoanei fizice, pentru a-i permite să ia măsurile de precauţie necesare.Comunicarea ar trebui să descrie natura încălcării securităţii datelor cu caracter personal şi să cuprindărecomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative.Comunicările către persoanele vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil şiîn strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceastasau de alte autorităţi competente, cum ar fi autorităţile de aplicare a legii. De exemplu, necesitatea dea atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudinecătre persoanele vizate, în timp ce necesitatea de a implementa măsuri corespunzătoare împotrivaîncălcării în continuare a securităţii datelor cu caracter personal sau împotriva unor încălcări similare alesecurităţii datelor cu caracter personal ar putea justifica un termen mai îndelungat pentru comunicare.

(87)Ar trebui să se stabilească dacă au fost implementate toate măsurile tehnologice de protecţie şiorganizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a produs o încălcare a securităţiidatelor cu caracter personal şi de a se informa cu promptitudine autoritatea de supraveghere şipersoana vizată. Faptul că notificarea a fost efectuată fără întârziere nejustificată ar trebui stabilitluându-se în considerare, în special, natura şi gravitatea încălcării securităţii datelor cu caracterpersonal, precum şi consecinţele şi efectele negative ale acesteia asupra persoanei vizate. Aceastănotificare poate conduce la o intervenţie a autorităţii de supraveghere, în conformitate cu sarcinile şicompetenţele specificate în prezentul regulament.

(88)La stabilirea de norme detaliate privind formatul şi procedurile aplicabile notificării referitoare laîncălcările securităţii datelor cu caracter personal, ar trebui să se acorde atenţia cuvenităcircumstanţelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecţia datelor cu caracterpersonal a fost sau nu a fost asigurată prin măsuri tehnice de protecţie corespunzătoare, care sălimiteze efectiv probabilitatea fraudării identităţii sau a altor forme de utilizare abuzivă. În plus, astfelde norme şi proceduri ar trebui să ţină cont de interesele legitime ale autorităţilor de aplicare a legii încazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanţelor în carea avut loc o încălcare a datelor cu caracter personal.

(89)Directiva 95/46/CE a prevăzut o obligaţie generală de a notifica prelucrarea datelor cu caracterpersonal autorităţilor de supraveghere. Cu toate că obligaţia respectivă generează sarcini administrativeşi financiare, aceasta nu a contribuit întotdeauna la îmbunătăţirea protecţiei datelor cu caracterpersonal. Prin urmare, astfel de obligaţii de notificare generală nediferenţiată ar trebui să fie abrogateşi înlocuite cu proceduri şi mecanisme eficace care să pună accentul, în schimb, pe acele tipuri deoperaţiuni de prelucrare susceptibile să genereze un risc ridicat pentru drepturile şi libertăţilepersoanelor fizice prin însăşi natura lor, prin domeniul lor de aplicare, prin contextul şi prin scopurilelor. Astfel de tipuri de operaţiuni de prelucrare pot fi cele care presupun, în special, utilizarea unor noitehnologii sau care reprezintă un nou tip de operaţiuni, pentru care nicio evaluare a impactului asupraprotecţiei datelor nu a fost efectuată anterior de către operator ori care devin necesare dată fiindperioada de timp care s-a scurs de la prelucrarea iniţială.

(90)În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a impactuluiasupra protecţiei datelor, în scopul evaluării gradului specific de probabilitate a materializării risculuiridicat şi gravitatea acestuia, având în vedere natura, domeniul de aplicare, contextul şi scopurileprelucrării, precum şi sursele riscului. Respectiva evaluare a impactului ar trebui să includă, în special,măsurile, garanţiile şi mecanismele avute în vedere pentru atenuarea riscului respectiv, pentruasigurarea protecţiei datelor cu caracter personal şi pentru demonstrarea conformităţii cu prezentulregulament.

(91)Aceasta ar trebui să se aplice, în special, operaţiunilor de prelucrare la scară largă, care au dreptobiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, naţional sausupranaţional, care ar putea afecta un număr mare de persoane vizate şi care sunt susceptibile de agenera un risc ridicat, de exemplu, din cauza sensibilităţii lor, în cazul în care, în conformitate cu nivelulatins al cunoştinţelor tehnologice, se foloseşte la scară largă o tehnologie nouă, precum şi altoroperaţiuni de prelucrare care generează un risc ridicat pentru drepturile şi libertăţile persoanelor vizate,în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şiexercita drepturile. Ar trebui efectuată o evaluare a impactului asupra protecţiei datelor şi în situaţiile încare datele cu caracter personal sunt prelucrate în scopul luării de decizii care vizează anumitepersoane fizice în urma unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare lapersoane fizice, pe baza creării de profiluri pentru datele respective, sau în urma prelucrării unorcategorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privindcondamnările penale şi infracţiunile sau măsurile de securitate conexe. Este la fel de necesară oevaluare a impactului asupra protecţiei datelor pentru monitorizarea la scară largă a zonelor accesibilepublicului, mai ales în cazul utilizării dispozitivelor optoelectronice sau pentru orice alte operaţiuni încazul în care autoritatea de supraveghere competentă consideră că prelucrarea este susceptibilă de agenera un risc ridicat pentru drepturile şi libertăţile persoanelor vizate, în special deoarece acesteaîmpiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract, saudeoarece acestea sunt efectuate în mod sistematic la scară largă. Prelucrarea datelor cu caracterpersonal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cucaracter personal de la pacienţi sau clienţi de către un anumit medic, un alt profesionist în domeniulsănătăţii sau un avocat. În aceste cazuri, o evaluare a impactului asupra protecţiei datelor nu ar trebuisă fie obligatorie.

(92)În unele circumstanţe ar putea fi rezonabil şi util din punct de vedere economic ca o evaluare aimpactului asupra protecţiei datelor să aibă o perspectivă mai extinsă decât cea a unui singur proiect,de exemplu în cazul în care autorităţi sau organisme publice intenţionează să instituie o aplicaţie sau oplatformă de prelucrare comună sau în cazul în care mai mulţi operatori preconizează să introducă oaplicaţie comună sau un mediu de prelucrare comun în cadrul unui sector sau segment industrial saupentru o activitate orizontală utilizată la scară largă.

(93)În contextul adoptării legislaţiei naţionale pe care se bazează îndeplinirea sarcinilor autorităţiipublice sau ale organismului public şi care reglementează operaţiunea sau seria de operaţiuni deprelucrare în cauză, statele membre pot considera că este necesară efectuarea unei astfel de evaluăriînaintea desfăşurării activităţilor de prelucrare.

(94)În cazul în care o evaluare a impactului asupra protecţiei datelor arată că prelucrarea ar genera, înabsenţa garanţiilor, măsurilor de securitate şi mecanismelor de atenuare a riscului, un risc ridicatpentru drepturile şi libertăţile persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuatprin mijloace rezonabile sub aspectul tehnologiilor disponibile şi al costurilor implementării, autoritateade supraveghere ar trebui să fie consultată înainte de începerea activităţilor de prelucrare. Un astfel derisc ridicat este susceptibil să fie generat de anumite tipuri de prelucrare, precum şi de amploarea şifrecvenţa prelucrării, care pot duce şi la producerea unor prejudicii sau pot atinge drepturile şilibertăţile persoanelor fizice. Autoritatea de supraveghere ar trebui să răspundă cererii de consultareîntr-un anumit termen. Cu toate acestea, lipsa unei reacţii din partea autorităţii de supraveghere întermenul respectiv ar trebui să nu aducă atingere niciunei intervenţii a autorităţii de supraveghere înconformitate cu sarcinile şi competenţele sale prevăzute în prezentul regulament, inclusiv competenţade a interzice operaţiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluăria impactului asupra protecţiei datelor efectuate cu privire la prelucrarea în cauză poate fi transmisautorităţii de supraveghere, în special măsurile avute în vedere pentru a atenua riscul pentru drepturileşi libertăţile persoanelor fizice.

(95)Persoana împuternicită de operator ar trebui să acorde asistenţă operatorului, dacă este necesar şila cerere, la asigurarea respectării obligaţiilor care decurg din realizarea de evaluări ale impactuluiasupra protecţiei datelor şi din consultarea prealabilă a autorităţii de supraveghere.

(96)În timpul elaborării unei măsuri legislative sau de reglementare care prevede prelucrarea unordate cu caracter personal ar trebui, de asemenea, să aibă loc o consultare a autorităţii desupraveghere, pentru a garanta conformitatea prelucrării avute în vedere cu prezentul regulament şi, înspecial, pentru a atenua riscul la care este expusă persoana vizată.

(97)În cazul în care prelucrarea este efectuată de o autoritate publică, cu excepţia instanţelor sau aautorităţilor judiciare independente atunci când acţionează în calitatea lor judiciară, în cazul în care, însectorul privat, prelucrarea este efectuată de un operator a cărui activitate principală constă înoperaţiuni de prelucrare care necesită o monitorizare regulată şi sistematică a persoanelor vizate pescară largă, sau în cazul în care activitatea principală a operatorului sau a persoanei împuternicite deoperator constă în prelucrarea pe scară largă de categorii speciale de date cu caracter personal şi dedate privind condamnările penale şi infracţiunile, o persoană care deţine cunoştinţe de specialitate înmaterie de legislaţie şi practici privind protecţia datelor ar trebui să acorde asistenţă operatorului saupersoanei împuternicite de operator pentru monitorizarea conformităţii, la nivel intern, cu prezentulregulament. În sectorul privat, activităţile principale ale unui operator se referă la activităţile sale debază, şi nu la prelucrarea datelor cu caracter personal drept activităţi auxiliare. Nivelul necesar alcunoştinţelor de specialitate ar trebui să fie stabilit în special în funcţie de operaţiunile de prelucrare adatelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate deoperator sau de persoana împuternicită de operator. Aceşti responsabili cu protecţia datelor, indiferentdacă sunt sau nu angajaţi ai operatorului, ar trebui să fie în măsură să îşi îndeplinească atribuţiile şisarcinile în mod independent.

(98)Asociaţiile sau alte organisme care reprezintă categorii de operatori sau de persoane împuternicitede operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele prezentului regulament,astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerarecaracteristicile specifice ale prelucrării efectuate în anumite sectoare şi necesităţile specifice alemicroîntreprinderilor şi ale întreprinderilor mici şi mijlocii. În special, astfel de coduri de conduită arputea să ajusteze obligaţiile operatorilor şi ale persoanelor împuternicite de operatori, ţinând seama deriscul aferent prelucrării care este susceptibil de a fi generat pentru drepturile şi libertăţile persoanelorfizice.

(99)Atunci când elaborează un cod de conduită sau când modifică sau extind un astfel de cod,asociaţiile şi alte organisme care reprezintă categorii de operatori sau persoane împuternicite deoperatori ar trebui să consulte părţile implicate relevante, inclusiv persoanele vizate, dacă este fezabil,şi să ia în considerare contribuţiile transmise şi opiniile exprimate în cadrul unor astfel de consultări.

AI NEVOIE DE AJUTOR PENTRU A INTELEGE REGULAMENTUL GDPR?
HAI SA DISCUTAM: +40 732 634 123

(100) Pentru a se îmbunătăţi transparenţa şi conformitatea cu prezentul regulament, ar trebui să se(100)Pentru a se îmbunătăţi transparenţa şi conformitatea cu prezentul regulament, ar trebui să seîncurajeze instituirea de mecanisme de certificare, precum şi de sigilii şi mărci în materie de protecţie adatelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecţie a datelor aferentproduselor şi serviciilor relevante.

(101) Fluxurile de date cu caracter personal către şi dinspre ţări situate în afara Uniunii şi organizaţiiinternaţionale sunt necesare pentru dezvoltarea comerţului internaţional şi a cooperării internaţionale.Creşterea acestor fluxuri a generat noi provocări şi preocupări cu privire la protecţia datelor cu caracterpersonal. Cu toate acestea, în cazul în care se transferă date cu caracter personal din Uniune cătreoperatori, persoane împuternicite de operatori sau alţi destinatari din ţări terţe sau organizaţiiinternaţionale, nivelul de protecţie a persoanelor fizice asigurat în Uniune prin prezentul regulament nuar trebui să fie diminuat, inclusiv în cazurile de transferuri ulterioare de date cu caracter personaldinspre ţara terţă sau organizaţia internaţională către operatori, persoane împuternicite de operatoridin aceeaşi sau dintr-o altă ţară terţă sau organizaţie internaţională. În orice caz, transferurile către ţăriterţe şi organizaţii internaţionale pot fi desfăşurate numai în conformitate deplină cu prezentulregulament. Un transfer ar putea avea loc numai dacă, sub rezerva respectării celorlalte dispoziţii aleprezentului regulament, operatorul sau persoana împuternicită de operator îndeplineşte condiţiileprevăzute de dispoziţiile prezentului regulament privind transferul de date cu caracter personal cătreţări terţe sau organizaţii internaţionale.

(102) Prezentul regulament nu aduce atingere acordurilor internaţionale încheiate între Uniune şi ţăriterţe în vederea reglementării transferului de date cu caracter personal, inclusiv garanţii adecvatepentru persoanele vizate. Statele membre pot încheia acorduri internaţionale care implică transferul dedate cu caracter personal către ţări terţe sau organizaţii internaţionale, în măsura în care astfel deacorduri nu afectează prezentul regulament şi nici alte dispoziţii din dreptul Uniunii şi includ un nivelcorespunzător de protecţie a drepturilor fundamentale ale persoanelor vizate.

(103) Comisia poate decide, cu efect în întreaga Uniune, că o ţară terţă, un teritoriu sau un anumitsector dintr-o ţară terţă sau o organizaţie internaţională oferă un nivel adecvat de protecţie a datelor,asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sauorganizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În acestecazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţionalărespectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare. De asemenea, Comisiapoate să decidă, după trimiterea unei notificări şi a unei justificări complete ţării terţe sau organizaţieiinternaţionale, să anuleze o astfel de decizie.

(104) În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special protecţiadrepturilor omului, Comisia ar trebui, în evaluarea sa referitoare la ţara terţă sau la un teritoriu sau laun sector specificat dintr-o ţară terţă, să ia în considerare modul în care aceasta respectă statul dedrept, accesul la justiţie, precum şi normele şi standardele internaţionale în materie de drepturi aleomului şi legislaţia sa generală şi sectorială, inclusiv legislaţia privind securitatea publică, apărarea şisecuritatea naţională, precum şi ordinea publică şi dreptul penal. Adoptarea unei decizii privindcaracterul adecvat al nivelului de protecţie pentru un teritoriu sau un sector specificat dintr-o ţară terţăar trebui să ţină seama de criterii clare şi obiective, cum ar fi activităţile specifice de prelucrare şidomeniul de aplicare al standardelor legale aplicabile şi legislaţia în vigoare în ţara terţă respectivă.Ţara terţă ar trebui să ofere garanţii care să asigure un nivel adecvat de protecţie, echivalent în esenţăcu cel asigurat în cadrul Uniunii, în special atunci când datele cu caracter personal sunt prelucrate înunul sau mai multe sectoare specifice. În special, ţara terţă ar trebui să asigure o supraveghereefectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cuautorităţile statelor membre de protecţie a datelor, iar persoanele vizate ar trebui să beneficieze dedrepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

(105) Pe lângă angajamentele internaţionale asumate de ţara terţă sau de organizaţia internaţională,Comisia ar trebui să ţină seama de obligaţiile care decurg din participarea ţării terţe sau a organizaţieiinternaţionale la sistemele multilaterale sau regionale, în special în ceea ce priveşte protecţia datelor cucaracter personal, precum şi de punerea în aplicare a unor astfel de obligaţii. În special, ar trebui să fieluată în considerare aderarea ţării terţe la Convenţia Consiliului Europei din 28 ianuarie 1981pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracterpersonal şi protocolul adiţional la aceasta. Comisia ar trebui să consulte comitetul atunci cândevaluează nivelul de protecţie din ţările terţe sau din organizaţiile internaţionale.

(106) Comisia ar trebui să monitorizeze funcţionarea deciziilor privind nivelul de protecţie dintr-o ţarăterţă sau un teritoriu sau un anumit sector dintr-o ţară terţă sau dintr-o organizaţie internaţională şi sămonitorizeze funcţionarea deciziilor adoptate în temeiul articolului 25 alineatul (6) sau al articolului 26alineatul (4) din Directiva 95/46/CE. În deciziile sale privind caracterul adecvat al nivelului deprotecţie, Comisia ar trebui să prevadă un mecanism de revizuire periodică a modului lor defuncţionare. Această revizuire periodică ar trebui să fie efectuată în consultare cu ţara terţă sauorganizaţia internaţională în cauză şi ar trebui să ia în considerare toate evoluţiile relevante din ţaraterţă sau organizaţia internaţională. În scopul monitorizării şi al efectuării revizuirilor periodice, Comisiaar trebui să ia în considerare opiniile şi constatările Parlamentului European şi ale Consiliului, precum şiale altor organisme şi surse relevante. Comisia ar trebui să evalueze, într-un termen rezonabil,funcţionarea deciziilor din urmă şi să raporteze toate constatările relevante comitetului, în sensulRegulamentului (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (1), după cum s-astabilit în temeiul prezentului regulament, Parlamentului European şi Consiliului.(1)Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de către statele membreal exercitării competenţelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

(107) Comisia poate să recunoască faptul că o ţară terţă,un teritoriu sau un sector specificat dintr-oţară terţă sau o organizaţie internaţională nu mai asigură un nivel adecvat de protecţie a datelor. Înconsecinţă, transferul de date cu caracter personal către ţara terţă sau organizaţia internaţionalărespectivă ar trebui să fie interzis, cu excepţia cazului în care sunt îndeplinite cerinţele prevăzute înprezentul regulament privind transferurile în baza unor garanţii adecvate, inclusiv regulile corporatisteobligatorii şi derogările de la situaţiile specifice. În acest caz, ar trebui să se prevadă dispoziţii pentruconsultări între Comisie şi astfel de ţări terţe sau organizaţii internaţionale. Comisia ar trebui ca, în timputil, să informeze ţara terţă sau organizaţia internaţională cu privire la aceste motive şi să iniţiezeconsultări cu aceasta pentru remedierea situaţiei.

(108) În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul saupersoana împuternicită de operator ar trebui să adopte măsuri pentru a compensa lipsa protecţieidatelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel degaranţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard deprotecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de oautoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere.Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şidrepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitateaunor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul deacces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, înUniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generaleprivind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentulconceperii şi principiul protecţiei implicite a datelor. Transferurile pot fi efectuate şi de către autorităţilesau organismele publice cu autorităţi sau organisme publice în ţări terţe sau cu organizaţiiinternaţionale cu atribuţii şi funcţii corespunzătoare, inclusiv pe baza dispoziţiilor care prevăd drepturiopozabile şi efective pentru persoanele vizate, care trebuie introduse în acordurile administrative, cumar fi un memorandum de înţelegere. Autorizaţia din partea autorităţii de supraveghere competente artrebui obţinută atunci când garanţiile sunt oferite în cadrul unor acorduri administrative fără caracterjuridic obligatoriu.

(109) Posibilitatea ca operatorul sau persoana împuternicită de operator să utilizeze clauze standard înmaterie de protecţie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebuisă împiedice operatorii sau persoanele împuternicite de aceştia să includă clauzele standard în materiede protecţie a datelor într-un contract mai amplu, precum un contract între persoana împuternicită deoperator şi o altă persoană împuternicită de operator, şi nici să adauge alte clauze sau garanţiisuplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standardadoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciază drepturile sau libertăţilefundamentale ale persoanelor vizate. Operatorii şi persoanele împuternicite de operatori ar trebui să fieîncurajaţi să ofere garanţii suplimentare prin intermediul unor angajamente contractuale care săcompleteze clauzele standard în materie de protecţie.

(110) Un grup de întreprinderi sau un grup de întreprinderi implicat într-o activitate economică comunăar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile saleinternaţionale dinspre Uniune către organizaţii din cadrul aceluiaşi grup de întreprinderi sau grup deîntreprinderi implicate într-o activitate economică comună, cu condiţia ca astfel de reguli corporatiste săincludă toate principiile esenţiale şi drepturile opozabile în scopul asigurării unor garanţii adecvatepentru transferurile sau categoriile de transferuri de date cu caracter personal.

(111) Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanţe în carepersoana vizată şi-a dat consimţământul explicit, în care transferul este ocazional şi necesar în legăturăcu un contract sau cu o acţiune în justiţie, indiferent dacă este în contextul unei proceduri judiciare sauîn contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor înaintateorganismelor de reglementare. De asemenea, ar trebui să se prevadă posibilitatea de a se efectuatransferuri în cazul în care motive importante de interes public stabilite de dreptul Uniunii sau dedreptul intern impun acest lucru sau în cazul în care transferul se efectuează dintr-un registru instituitprin lege şi destinat să fie consultat de către public sau de către persoane care au un interes legitim. Înacest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor cu caracter personal sauansamblul categoriilor de date conţinute în registru, iar atunci când registrul este destinat să fieconsultat de persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cerereapersoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele şidrepturile fundamentale ale persoanei vizate.

(112) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate şi necesare dinconsiderente importante de interes public, de exemplu în cazul schimbului internaţional de date întreautorităţile din domeniul concurenţei, administraţiile fiscale sau vamale, între autorităţile desupraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătatepublică, de exemplu în cazul depistării punctelor de contact pentru bolile contagioase sau pentrureducerea şi/sau eliminarea dopajului în sport. Un transfer de date cu caracter personal ar trebui, deasemenea, să fie considerat legal în cazul în care este necesar în scopul protejării unui interes care esteesenţial în interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritateafizică sau pentru viaţa acesteia, în cazul în care persona vizată nu are capacitatea să îşi deaconsimţământul. În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptulUniunii sau dreptul intern poate, din considerente importante de interes public, stabili în mod expreslimite asupra transferului unor categorii specifice de date către o ţară terţă sau o organizaţieinternaţională. Statele membre ar trebui să notifice Comisiei aceste dispoziţii. Orice transfer către oorganizaţie umanitară internaţională al datelor cu caracter personal ale unei persoane vizate care seaflă în incapacitate fizică sau juridică de a îşi da consimţământul, în vederea îndeplinirii unei sarcini caredecurge din Convenţiile de la Geneva sau în vederea conformării cu dreptul internaţional umanitaraplicabil în conflictele armate, ar putea fi considerat necesar pentru un motiv important de interespublic sau pentru că este în interesul vital al persoanei vizate.

(113) Transferurile care pot fi considerate ca nefiind repetitive şi care se referă doar la un numărlimitat de persoane vizate, ar putea, de asemenea, să fie efectuate în scopul realizării intereselorlegitime urmărite de operator, atunci când asupra respectivelor interese nu prevalează interesele saudrepturile şi libertăţile persoanei vizate şi atunci când operatorul a evaluat toate circumstanţeleaferente transferului de date. Operatorul ar trebui să acorde o atenţie deosebită naturii datelor cucaracter personal, scopului şi duratei operaţiunii sau operaţiunilor propuse de prelucrare, precum şisituaţiei din ţara de origine, din ţara terţă şi din ţara de destinaţie finală şi ar trebui să ofere garanţiiadecvate pentru protecţia drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea cepriveşte prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui să fie posibile numaiîn cazurile reziduale în care nu se poate aplica niciunul dintre celelalte motive de transfer. În ceea cepriveşte scopurile de cercetare ştiinţifică sau istorică sau scopurile statistice, ar trebui să se ia înconsiderare aşteptările legitime ale societăţii cu privire la creşterea nivelului de cunoştinţe. Operatorular trebui să informeze autoritatea de supraveghere şi persoana vizată cu privire la transfer.

(114) În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecţie adatelor dintr-o ţară terţă, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluţiicare să ofere persoanelor vizate drepturi opozabile şi efective în ceea ce priveşte prelucrarea datelor lorîn Uniune odată ce aceste date au fost transferate, astfel încât persoanele vizate să beneficieze încontinuare de drepturi fundamentale şi garanţii.

(115) Unele ţări terţe au adoptat legi, reglementări şi alte acte juridice care au drept obiectiv săreglementeze în mod direct activităţile de prelucrare a datelor ale persoanelor fizice şi juridice aflatesub jurisdicţia statelor membre. Aceasta poate include hotărâri ale instanţelor judecătoreşti sau deciziiale autorităţilor administrative din ţări terţe care solicită unui operator sau unei persoane împuternicitede operator să transfere sau să divulge date cu caracter personal şi care nu se bazează pe un acordinternaţional, cum ar fi un tratat de asistenţă juridică reciprocă, în vigoare între ţara terţă solicitantă şiUniune sau un stat membru. Aplicarea extrateritorială a acestor legi, reglementări şi alte acte juridicepoate încălca dreptul internaţional şi poate împiedica asigurarea protecţiei persoanelor fizice asiguratăîn Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndepliniriicondiţiilor prevăzute de prezentul regulament pentru un transfer către ţări terţe. Acesta ar putea ficazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes publicrecunoscut în dreptul Uniunii sau în dreptul intern care se aplică operatorului.

(116) Fluxul transfrontalier de date cu caracter personal în afara Uniunii poate expune unui risc sporitcapacitatea persoanelor fizice de a-şi exercita drepturile în materie de protecţie a datelor, în specialpentru a-şi asigura protecţia împotriva utilizării sau a divulgării ilegale a acestor informaţii. În acelaşitimp, autorităţile de supraveghere pot constata că se află în imposibilitatea de a trata plângeri sau de aefectua investigaţii referitoare la activităţile desfăşurate în afara frontierelor lor. Eforturile acestora de aconlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficienţa competenţelor deprevenire sau remediere, de caracterul eterogen al regimurilor juridice şi de existenţa unor obstacolede ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, este necesar să sepromoveze o cooperare mai strânsă între autorităţile de supraveghere a protecţiei datelor pentru aputea face schimb de informaţii şi a desfăşura investigaţii împreună cu omologii lor internaţionali. Înscopul elaborării de mecanisme de cooperare internaţională pentru a facilita şi a oferi asistenţăinternaţională reciprocă în asigurarea aplicării legislaţiei din domeniul protecţiei datelor cu caracterpersonal, Comisia şi autorităţile de supraveghere ar trebui să facă schimb de informaţii şi să cooperezeîn cadrul activităţilor legate de exercitarea competenţelor lor cu autorităţile competente din ţări terţe,pe bază de reciprocitate şi în conformitate cu prezentul regulament.

(117) Instituirea în statele membre a unor autorităţi de supraveghere, împuternicite să îşi îndeplineascăsarcinile şi să îşi exercite competenţele în deplină independenţă, este un element esenţial al protecţieipersoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. Statele membre artrebui să poată institui mai multe autorităţi de supraveghere, pentru a reflecta structura lorconstituţională, organizatorică şi administrativă.

(118) Independenţa autorităţilor de supraveghere nu ar trebui să însemne că autorităţile desupraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare în ceea ce priveştecheltuielile acestora sau unui control jurisdicţional.

(119) În cazul în care un stat membru instituie mai multe autorităţi de supraveghere, acesta ar trebuisă stabilească prin lege mecanisme care să asigure participarea efectivă a autorităţilor de supraveghererespective la mecanismul pentru asigurarea coerenţei. Statul membru respectiv ar trebui, în special, sădesemneze autoritatea de supraveghere care îndeplineşte funcţia de punct unic de contact pentruparticiparea efectivă a acestor autorităţi la mecanism, în scopul asigurării unei cooperări rapide şiarmonioase cu alte autorităţi de supraveghere, cu comitetul şi cu Comisia.

(120) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare şi umane, despaţiile şi de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celorlegate de asistenţa reciprocă şi cooperarea cu alte autorităţi de supraveghere în întreaga Uniune.Fiecare autoritate de supraveghere ar trebui să aibă un buget public anual separat, care poate faceparte din bugetul general de stat sau naţional.

(121) Condiţiile generale pentru membrul sau membrii autorităţii de supraveghere ar trebui stabilite delege în fiecare stat membru şi ar trebui, în special, să prevadă că respectivii membri sunt numiţi printroprocedură transparentă fie de parlamentul, de guvernul ori şeful de stat al statului membru pe bazaunei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camerea parlamentului, fie de către un organism independent împuternicit prin dreptul intern. În vedereaasigurării independenţei autorităţii de supraveghere, membrul sau membrii acesteia ar trebui săacţioneze cu integritate, să nu întreprindă acţiuni incompatibile cu îndatoririle lor, iar, pe duratamandatului, ar trebui să nu desfăşoare activităţi incompatibile, remunerate sau nu. Autoritatea desupraveghere ar trebui să aibă personal propriu, ales de autoritatea de supraveghere sau de unorganism independent înfiinţat în temeiul dreptului intern, care ar trebui să fie subordonat exclusivmembrului sau membrilor autorităţii de supraveghere.

(122) Fiecare autoritate de supraveghere ar trebui să aibă, pe teritoriul statului membru de careaparţine, atribuţia de a exercita competenţele şi de a îndeplini sarcinile cu care este învestită înconformitate cu prezentul regulament.Aceasta ar trebui să includă în special prelucrarea în contextul activităţilor unui sediu al operatoruluisau al persoanei împuternicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cucaracter personal efectuată de autorităţile publice sau de organisme private care acţionează în interespublic, prelucrarea care afectează persoanele vizate de pe teritoriul său sau prelucrarea efectuată decătre un operator sau o persoană împuternicită de operator care nu îşi are sediul în Uniune în cazul încare aceasta priveşte persoane vizate care îşi au reşedinţa pe teritoriul său. Aceasta ar trebui să includătratarea plângerilor depuse de o persoană vizată, efectuarea de investigaţii privind aplicarea prezentuluiregulament şi promovarea informării publicului cu privire la riscurile, normele, garanţiile şi drepturile înmaterie de prelucrare a datelor cu caracter personal.

(123) Autorităţile de supraveghere ar trebui să monitorizeze aplicarea dispoziţiilor prevăzute deprezentul regulament şi să contribuie la aplicarea coerentă a acestuia în întreaga Uniune, în scopulasigurării protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal şial facilitării liberei circulaţii a datelor cu caracter personal în interiorul pieţei interne. În acest sens,autorităţile de supraveghere ar trebui să coopereze reciproc, precum şi cu Comisia, fără să fie necesarniciun acord între statele membre cu privire la acordarea de asistenţă reciprocă sau cu privire larespectiva cooperare.

(124) În cazul în care prelucrarea datelor cu caracter personal se desfăşoară în cadrul activităţilor unuisediu al unui operator sau al unei persoane împuternicite de operator din Uniune, iar operatorul saupersoana împuternicită de operator are sedii în mai multe state membre, sau în cazul în careprelucrarea care se desfăşoară în contextul activităţilor unui singur sediu al unui operator sau al uneipersoane împuternicite de operator din Uniune afectează sau este susceptibilă să afecteze semnificativpersoane vizate din mai multe state membre, autoritatea de supraveghere a sediului principal aloperatorului sau al persoanei împuternicite de operator ori a sediului unic al operatorului sau alpersoanei împuternicite de operator ar trebui să acţioneze în calitate de autoritate principală. Aceastaar trebui să coopereze cu celelalte autorităţi vizate, pentru că operatorul sau persoana împuternicită deoperator are un sediu pe teritoriul statului lor membru, pentru că persoanele vizate care îşi aureşedinţa pe teritoriul lor sunt afectate în mod semnificativ sau pentru că le-a fost înaintată o plângere.De asemenea, în cazul în care o persoană vizată care nu îşi are reşedinţa în statul membru respectiv adepus o plângere, autoritatea de supraveghere la care a fost depusă plângerea ar trebui, de asemenea,să fie o autoritate de supraveghere vizată. În cadrul sarcinilor sale de a emite orientări cu privire laorice chestiune referitoare la punerea în aplicare a prezentului regulament, comitetul ar trebui să poatăemite orientări privind, în special, criteriile care trebuie luate în considerare pentru a se stabili dacăprelucrarea în cauză afectează în mod semnificativ persoane vizate din mai multe state membre şiprivind conţinutul unei obiecţii relevante şi motivate.

(125) Autoritatea principală ar trebui să aibă competenţa de a adopta decizii obligatorii privind măsurilede aplicare a competenţelor care îi sunt conferite în conformitate cu prezentul regulament. În calitateasa de autoritate principală, autoritatea de supraveghere ar trebui să implice îndeaproape şi săcoordoneze activităţile autorităţilor de supraveghere vizate în procesul decizional. În cazurile în caredecizia este de respingere parţială sau totală a plângerii din partea persoanei vizate, o asemeneadecizie ar trebui adoptată de către autoritatea de supraveghere la care s-a depus plângerea.

(126) Decizia ar trebui convenită în comun de autoritatea de supraveghere principală şi de autorităţilede supraveghere vizate şi ar trebui să vizeze sediul principal sau sediul unic al operatorului sau alpersoanei împuternicite de operator şi să fie obligatorie pentru operator şi pentru persoanaîmputernicită de operator. Operatorul sau persoana împuternicită de operator ar trebui să ia măsurilenecesare pentru a asigura conformitatea cu prezentul regulament şi punerea în aplicare a decizieinotificate de autoritatea de supraveghere principală sediului principal al operatorului sau al persoaneiîmputernicite de operator în ceea ce priveşte activităţile de prelucrare în Uniune.

(127) Fiecare autoritate de supraveghere care nu acţionează ca autoritate de supraveghere principalăar trebui să aibă competenţa de a trata cazuri locale, în care operatorul sau persoana împuternicită deoperator are sedii în mai multe state membre, dar obiectul respectivei prelucrări priveşte doarprelucrarea efectuată într-un singur stat membru şi implicând doar persoane vizate din acel unic statmembru, de exemplu în cazul în care obiectul îl constituie prelucrarea datelor cu caracter personal aleangajaţilor în contextul specific legat de forţa de muncă dintr-un stat membru. În astfel de cazuri,autoritatea de supraveghere ar trebui să informeze fără întârziere autoritatea de supraveghereprincipală cu privire la această chestiune. După ce a fost informată, autoritatea de supraveghereprincipală ar trebui să decidă dacă va trata ea însăşi cazul în temeiul dispoziţiei privind cooperarea întreautoritatea de supraveghere principală şi alte autorităţi de supraveghere vizate ("mecanismul ghişeuluiunic"), sau dacă autoritatea de supraveghere care a informat-o ar trebui să se ocupe de caz la nivellocal. Atunci când decide dacă va trata cazul, autoritatea de supraveghere principală ar trebui să ia înconsiderare dacă există un sediu al operatorului sau al persoanei împuternicite de operator în statulmembru al autorităţii de supraveghere care a informat-o, în vederea garantării respectării efective aunei decizii în ceea ce priveşte operatorul sau persoana împuternicită de operator. În cazul în careautoritatea de supraveghere principală decide să trateze cazul, autoritatea de supraveghere care ainformat-o ar trebui să beneficieze de posibilitatea de a prezenta un proiect de decizie, de careautoritatea de supraveghere principală ar trebui să ţină seama în cea mai mare măsură atunci cândpregăteşte proiectul său de decizie în cadrul respectivului mecanism al ghişeului unic.

(128) Normele privind autoritatea de supraveghere principală şi mecanismul ghişeului unic nu ar trebuisă se aplice în cazul în care prelucrarea este efectuată de autorităţi publice sau organisme private îninteres public. În asemenea cazuri, singura autoritate de supraveghere competentă să îşi exercitecompetenţele care i-au fost atribuite în conformitate cu prezentul regulament ar trebui să fieautoritatea de supraveghere a statului membru în care autoritatea publică sau organismul privat îşi aresediul.

(129) Pentru a se asigura consecvenţa monitorizării şi a aplicării prezentului regulament în întreagaUniune, autorităţile de supraveghere ar trebui să aibă în fiecare stat membru aceleaşi sarcini şicompetenţe efective, inclusiv competenţe de investigare, competenţe corective şi sancţiuni, precum şicompetenţe de autorizare şi de consiliere, în special în cazul plângerilor depuse de persoane fizice,precum şi, fără a aduce atingere competenţelor autorităţilor de urmărire penală în temeiul dreptuluiintern, de a aduce în atenţia autorităţilor judiciare cazurile de încălcare a prezentului regulament şi de ase implica în proceduri judiciare. Aceste competenţe ar trebui să includă şi competenţa de a impune olimitare temporară sau definitivă, inclusiv o interdicţie, asupra prelucrării. Statele membre pot stabilialte sarcini legate de protecţia datelor cu caracter personal în temeiul prezentului regulament.Competenţele autorităţilor de supraveghere ar trebui exercitate în conformitate cu garanţii proceduraleadecvate prevăzute în dreptul Uniunii şi în dreptul intern, în mod imparţial, echitabil şi într-un termenrezonabil. În special, fiecare măsură ar trebui să fie adecvată, necesară şi proporţională în scopul de aasigura conformitatea cu dispoziţiile prezentului regulament, luând în considerare circumstanţelefiecărui caz în parte, să respecte dreptul oricărei persoane de a fi ascultată înainte de luarea oricăreimăsuri individuale care ar putea să îi aducă atingere şi să evite costurile inutile şi inconvenienteleexcesive pentru persoanele în cauză. Competenţele de investigare în ceea ce priveşte accesul în incintear trebui exercitate în conformitate cu cerinţele specifice din dreptul procedural naţional, cum ar fiobligaţia de a obţine în prealabil o autorizare judiciară. Fiecare măsură obligatorie din punct de vederejuridic luată de autoritatea de supraveghere ar trebui să fie prezentată în scris, să fie clară şi lipsită deambiguitate, să indice autoritatea de supraveghere care a emis măsura, data emiterii măsurii, să poartesemnătura şefului sau a unui membru al autorităţii de supraveghere autorizat de acesta, să furnizezemotivele pentru care s-a luat măsura şi să facă trimitere la dreptul la o cale de atac eficientă. Acestlucru nu ar trebui să excludă cerinţe suplimentare în conformitate cu dreptul procedural naţional.Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implică faptul că se poate danaştere unui control jurisdicţional în statul membru al autorităţii de supraveghere care a adoptatdecizia.

(130) În cazul în care autoritatea de supraveghere la care s-a depus plângerea nu este autoritatea desupraveghere principală, autoritatea de supraveghere principală ar trebui să coopereze îndeaproape cuautoritatea de supraveghere la care s-a depus plângerea, în conformitate cu dispoziţiile privindcooperarea şi consecvenţa prevăzute în prezentul regulament. În astfel de cazuri, autoritatea desupraveghere principală ar trebui, atunci când ia măsuri destinate să producă efecte juridice, inclusivimpunerea de amenzi administrative, să ţină seama cât mai mult posibil de opinia autorităţii desupraveghere la care a fost depusă plângerea şi care ar trebui să îşi menţină competenţa de adesfăşura orice investigaţie pe teritoriul propriului stat membru, în colaborare cu autoritatea desupraveghere principală.

(131) În cazurile în care o altă autoritate de supraveghere ar trebui să acţioneze în calitate deautoritate de supraveghere principală pentru activităţile de prelucrare ale operatorului sau alepersoanei împuternicite de operator, dar obiectul concret al unei plângeri sau posibila încălcare vizeazănumai activităţile de prelucrare ale operatorului sau ale persoanei împuternicite de operator în statulmembru în care a fost depusă plângerea sau a fost depistată posibila încălcare, iar chestiunea nuafectează în mod substanţial sau nu este susceptibilă să afecteze în mod substanţial persoane vizatedin alte state membre, autoritatea de supraveghere care a primit o plângere sau a depistat ori a fostinformată în alt mod asupra unor situaţii de posibile încălcări ale prezentului regulament ar trebui săîncerce o soluţionare pe cale amiabilă cu operatorul şi, în cazul în care aceasta eşuează, să îşi exerciteplenitudinea competenţelor. Aceasta ar trebui să includă activităţi specifice de prelucrare efectuate peteritoriul statului membru al autorităţii de supraveghere ori cu privire la persoane vizate de pe teritoriulacelui stat membru, activităţi de prelucrare care au loc în contextul unei oferte de bunuri sau serviciidestinate în mod special persoanelor vizate pe teritoriul statului membru al autorităţii de supravegheresau activităţi de prelucrare care trebuie evaluate ţinând seama de obligaţiile juridice relevante întemeiul dreptului intern.

(132) Activităţile de creştere a gradului de conştientizare organizate pentru public de autorităţile desupraveghere ar trebui să includă măsuri specifice care să vizeze operatorii şi persoanele împuternicitede operatori, inclusiv microîntreprinderile şi întreprinderile mici şi mijlocii, precum şi persoanele fizice,în special în context educaţional.

(133) Autorităţile de supraveghere ar trebui să îşi acorde reciproc asistenţă în îndeplinirea sarcinilorcare le revin, pentru a se asigura coerenţa aplicării prezentului regulament pe piaţa internă. Oautoritate de supraveghere care solicită asistenţă reciprocă poate adopta o măsură provizorie în cazulîn care nu primeşte un răspuns la o solicitare de asistenţă reciprocă în termen de o lună de la primireasolicitării de către cealaltă autoritate de supraveghere.

(134) Fiecare autoritate de supraveghere ar trebui să participe, după caz, la operaţiuni comune întreautorităţile de supraveghere. Autoritatea de supraveghere căreia i s-a adresat solicitarea ar trebui săaibă obligaţia de a răspunde cererii într-un anumit termen.

(135) Pentru a se asigura aplicarea coerentă a prezentului regulament în întreaga Uniune, ar trebui săse instituie un mecanism pentru asigurarea coerenţei în cadrul căruia autorităţile de supraveghere săcoopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate desupraveghere intenţionează să adopte o măsură prevăzută a produce efecte juridice în ceea ce priveşteoperaţiunile de prelucrare care afectează în mod substanţial un număr semnificativ de persoane vizatedin mai multe state membre. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care oautoritate de supraveghere vizată sau Comisia solicită ca aspectul respectiv să fie tratat în cadrulmecanismului pentru asigurarea coerenţei. Acest mecanism nu ar trebui să aducă atingere măsurilor pecare Comisia le poate adopta în exercitarea competenţelor care îi revin în temeiul tratatelor.

(136) În aplicarea mecanismului pentru asigurarea coerenţei, comitetul ar trebui, într-un anumittermen, să emită un aviz în cazul în care o majoritate a membrilor săi decide astfel sau în cazul în careorice autoritate de supraveghere vizată sau Comisia solicită acest lucru. Comitetul ar trebui, deasemenea, să fie împuternicit să adopte decizii obligatorii din punct de vedere juridic în cazul unor litigiiîntre autorităţile de supraveghere. În acest scop, acesta ar trebui să emită, în principiu cu o majoritatede două treimi din membrii săi, decizii obligatorii din punct de vedere juridic, în cazuri bine definite, încazul în care există opinii divergente între autorităţile de supraveghere, în special în cadrulmecanismului de cooperare între autoritatea de supraveghere principală şi autorităţile de supravegherevizate privind fondul cauzei, în special existenţa sau nu a unei încălcări a prezentului regulament.

(137) Este posibil să existe o necesitate urgentă de a se acţiona pentru asigurarea protecţiei drepturilorşi libertăţilor persoanelor vizate, în special în cazul în care există pericolul ca exercitarea unui drept alunei persoane vizate să fie împiedicată în mod considerabil. Prin urmare, o autoritate de supravegherear trebui să poată adopta măsuri provizorii pe teritoriul său, justificate în mod corespunzător, având operioadă de valabilitate determinată care nu ar trebui să depăşească trei luni.

(138) Aplicarea unui astfel de mecanism ar trebui să constituie o condiţie pentru legalitatea uneimăsuri destinate să producă efecte juridice, luate de o autoritate de supraveghere, în cazurile în careaplicarea acesteia este obligatorie. În alte cazuri cu relevanţă transfrontalieră, ar trebui pus în aplicaremecanismul de cooperare între autoritatea de supraveghere principală şi autorităţile de supravegherevizate, iar între autorităţile de supraveghere vizate s-ar putea acorda asistenţă reciprocă şi s-ar puteadesfăşura operaţiuni comune pe bază bilaterală sau multilaterală, fără declanşarea mecanismuluipentru asigurarea coerenţei.

(139) Cu scopul de a promova aplicarea coerentă a prezentului regulament, comitetul ar trebui instituitca organ independent al Uniunii. Pentru a-şi îndeplini obiectivele, comitetul ar trebui să aibăpersonalitate juridică. Comitetul ar trebui să fie reprezentat de preşedintele său. Acesta ar trebui săînlocuiască Grupul de lucru pentru protecţia persoanelor în ceea ce priveşte prelucrarea datelor cucaracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie alcătuit din şefii autorităţilorde supraveghere din fiecare stat membru şi din Autoritatea Europeană pentru Protecţia Datelor saureprezentanţii acestora. Comisia ar trebui să participe la activităţile comitetului fără a avea drept devot, iar Autoritatea Europeană pentru Protecţia Datelor ar trebui să aibă drepturi de vot speciale.Comitetul ar trebui să contribuie la aplicarea coerentă a prezentului regulament în întreaga Uniune,inclusiv prin oferirea de consiliere Comisiei, în special cu privire la nivelul de protecţie în ţările terţe şi încadrul organizaţiilor internaţionale, şi prin promovarea cooperării autorităţilor de supraveghere înîntreaga Uniune. Comitetul ar trebui să acţioneze în mod independent în îndeplinirea sarcinilor sale.

(140) Comitetul ar trebui să fie asistat de un secretariat asigurat de Autoritatea Europeană pentruProtecţia Datelor. Personalul Autorităţii Europene pentru Protecţia Datelor implicat în îndeplinireasarcinilor conferite comitetului în temeiul prezentului regulament ar trebui să îşi îndeplinească sarcinileexclusiv conform instrucţiunilor preşedintelui comitetului şi să raporteze acestuia.

(141) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o singură autoritate desupraveghere, în special în statul membru în care îşi are reşedinţa obişnuită, precum şi dreptul la o calede atac eficientă în conformitate cu articolul 47 din cartă, în cazul în care persoana vizată consideră cădrepturile sale în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea desupraveghere nu reacţionează la o plângere, respinge sau refuză parţial sau total o plângere sau nuacţionează atunci când o astfel de acţiune este necesară pentru asigurarea protecţiei drepturilorpersoanei vizate. Investigaţia în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, înmăsura în care este necesar, în funcţie de caz. Autoritatea de supraveghere ar trebui să informezepersoana vizată cu privire la evoluţia şi soluţionarea plângerii într-un termen rezonabil. Îneventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate desupraveghere, ar trebui să se furnizeze informaţii intermediare persoanei vizate. În vederea facilităriidepunerii plângerilor, fiecare autoritate de supraveghere ar trebui să ia măsuri precum punerea ladispoziţie a unui formular de depunere a plângerii, care să poată fi completat inclusiv în formatelectronic, fără a exclude alte mijloace de comunicare.

(142) În cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulamentsunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizaţie sau oasociaţie fără scop lucrativ care este înfiinţat(ă) în conformitate cu dreptul intern, ale cărui (cărei)obiective statutare sunt în interesul public şi care îşi desfăşoară activitatea în domeniul asigurăriiprotecţiei datelor cu caracter personal, să depună o plângere în numele său la o autoritate desupraveghere, să exercite dreptul la o cale de atac în numele persoanelor vizate sau, în cazul în care seprevede în dreptul intern, să exercite dreptul de a primi despăgubiri în numele persoanelor vizate. Unstat membru poate prevedea ca un astfel de organism, organizaţie sau asociaţie să aibă dreptul de adepune o plângere în statul membru respectiv, independent de mandatul acordat de o persoană vizată,şi să aibă dreptul la o cale de atac eficientă în cazul în care are motive să considere că drepturile uneipersoane vizate au fost încălcate ca rezultat al unei prelucrări a datelor cu caracter personal careîncalcă prezentul regulament. Organismul, organizaţia sau asociaţia în cauza nu poate pretindedespăgubiri în numele unei persoane vizate, independent de mandatul acordat de persoana vizată.

(143) Orice persoană fizică sau juridică are dreptul de a introduce o acţiune în anulare împotrivadeciziilor comitetului în faţa Curţii de Justiţie, în conformitate cu condiţiile prevăzute la articolul 263 dinTFUE. În calitate de destinatare ale acestor decizii, autorităţile de supraveghere vizate care doresc săle conteste trebuie să introducă o acţiune împotriva deciziilor respective în termen de două luni de ladata la care le-au fost notificate, în conformitate cu articolul 263 din TFUE. În cazul în care deciziilecomitetului vizează în mod direct şi individual un operator, o persoană împuternicită de operator saureclamantul, aceştia din urmă pot introduce o acţiune în anularea respectivelor decizii în termen dedouă luni de la publicarea acestora pe site-ul comitetului, în conformitate cu articolul 263 din TFUE.Fără a aduce atingere acestui drept în temeiul articolului 263 din TFUE, orice persoană fizică saujuridică ar trebui să aibă dreptul la o cale de atac judiciară eficientă în faţa instanţei naţionalecompetente împotriva unei decizii a unei autorităţi de supraveghere care produce efecte juridice privindrespectiva persoană. O astfel de decizie se referă în special la exercitarea competenţelor de investigare,corective şi de autorizare de către autoritatea de supraveghere sau la refuzul sau respingereaplângerilor. Cu toate acestea, dreptul la o cale de atac judiciară eficientă nu include măsuri aleautorităţilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizeleemise de autoritatea de supraveghere sau consiliere furnizată de aceasta. Acţiunile împotriva uneiautorităţi de supraveghere ar trebui să fie aduse în faţa instanţelor statului membru în care estestabilită autoritatea de supraveghere şi ar trebui să se desfăşoare în conformitate cu dreptul procesualal statului membru respectiv. Respectivele instanţe ar trebui să îşi exercite competenţa judiciarădeplină, care ar trebui să includă competenţa de a examina toate aspectele de fapt sau de drept careau relevanţă pentru litigiul cu care acestea sunt sesizate.În cazul în care o plângere a fost respinsă sau refuzată de o autoritate de supraveghere, reclamantulpoate introduce o acţiune la instanţele din acelaşi stat membru. În contextul căilor de atac judiciareprivind aplicarea prezentului regulament, instanţele naţionale care consideră necesară o decizie privindchestiunea respectivă pentru a le permite să ia o hotărâre pot sau, în cazul prevăzut la articolul 267 dinTFUE, trebuie să solicite Curţii de Justiţie să pronunţe o decizie preliminară privind interpretareadreptului Uniunii, inclusiv a prezentului regulament. În plus, în cazul în care o decizie a unei autorităţide supraveghere care pune în aplicare o decizie a comitetului este contestată în faţa unei instanţenaţionale şi este în discuţie validitatea deciziei comitetului, respectiva instanţă naţională nu arecompetenţa de a declara nulă decizia comitetului, ci trebuie să aducă chestiunea validităţii în faţa Curţiide Justiţie, în conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea deJustiţie, ori de câte ori instanţa naţională consideră decizia nulă. Cu toate acestea, o instanţă naţionalănu poate să transmită o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoanefizice sau juridice care a avut posibilitatea de a introduce o acţiune în anulare împotriva respectiveidecizii, în special dacă aceasta era vizată în mod direct şi individual de decizia în cauză, dar nu a făcutacest lucru în termenul prevăzut la articolul 263 din TFUE.

(144) Atunci când o instanţă sesizată cu o procedură împotriva unei decizii a unei autorităţi desupraveghere are motive să creadă că în faţa unei instanţe competente dintr-un alt stat membru aufost introduse proceduri cu privire la aceeaşi prelucrare, cum ar fi acelaşi obiect al prelucrării, de cătreacelaşi operator sau aceleaşi persoană împuternicită de operator, sau aceeaşi cauză, instanţarespectivă ar trebui să contacteze cea de a doua instanţă pentru a confirma existenţa unor astfel deproceduri conexe. În cazul în care aceste proceduri conexe se află pe rolul unei instanţe dintr-un altstat membru, orice instanţă, cu excepţia celei sesizate iniţial, poate să îşi suspende procedurile sau, lacererea uneia dintre părţi, îşi poate declina competenţa în favoarea instanţei sesizate iniţial, cu condiţiaca aceasta din urmă să aibă competenţa de a soluţiona procedurile în cauză şi ca dreptul care i seaplică să îi permită consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atuncicând sunt atât de strâns legate între ele încât este oportună instrumentarea şi judecarea lor în acelaşitimp pentru a se evita riscul pronunţării unor hotărâri ireconciliabile în cazul judecării lor în modseparat.

(145) În ceea ce priveşte acţiunile iniţiate împotriva unui operator sau unei persoane împuternicite deoperator, reclamantul ar trebui să aibă posibilitatea de a introduce acţiunea în faţa instanţelor dinstatele membre în care operatorul sau persoana împuternicită de operator are un sediu sau în carepersoana vizată îşi are reşedinţa, cu excepţia cazului în care operatorul este o autoritate publică dintrunstat membru ce acţionează în exercitarea competenţelor sale publice.

(146) Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentruorice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentulregulament. Operatorul sau persoana împuternicită de operator ar trebui să fie exoneraţi derăspundere dacă dovedesc că nu sunt în niciun fel răspunzători pentru prejudiciu. Conceptul deprejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenţei Curţii de Justiţie, într-un modcare să reflecte pe deplin obiectivele prezentului regulament. Această dispoziţie nu aduce atingereniciunei cereri de despăgubire care rezultă din încălcarea altor norme din dreptul Uniunii sau din dreptulintern. O prelucrare care încalcă prezentul regulament include şi prelucrarea care încalcă acteledelegate şi de punere în aplicare adoptate în conformitate cu prezentul regulament şi cu dreptul interncare specifică norme din prezentul regulament. Persoanele vizate ar trebui să primească despăgubiriintegrale şi eficace pentru prejudiciul pe care le-au suferit. În cazul în care operatorii sau persoaneleîmputernicite de operatori sunt implicate în aceeaşi prelucrare, fiecare operator sau fiecare persoanăîmputernicită de operator ar trebui să fie considerată răspunzătoare pentru întregul prejudiciu. Cu toateacestea, atunci când procedurile juridice care le vizează sunt conexate, în conformitate cu dreptulintern, despăgubirile pot fi împărţite în funcţie de răspunderea fiecărui operator sau a fiecărei persoaneîmputernicite de operator, cu condiţia să se asigure despăgubirea integrală şi efectivă a persoaneivizate care a suferit prejudiciul. Orice operator sau persoană împuternicită de operator care a plătitdespăgubiri integrale poate formula ulterior o acţiune în regres împotriva altor operatori sau persoaneîmputernicite de operatori implicate în aceeaşi prelucrare.

(147) În cazul în care prezentul regulament cuprinde norme specifice privind competenţa judiciară, înspecial în ceea ce priveşte căile de atac judiciare, inclusiv acţiunile în despăgubiri, împotriva unuioperator sau a unei persoane împuternicite de operator, normele generale privind competenţa judiciarăprecum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului (1) nuar trebui să aducă atingere aplicării unor astfel de norme specifice.(1)Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului din 12 decembrie2012 privind competenţa judiciară, recunoaşterea şi executarea hotărârilor în materie civilă şicomercială (JO L 351, 20.12.2012, p. 1).

(148) Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebuiimpuse sancţiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament, pelângă sau în locul măsurilor adecvate impuse de autoritatea de supraveghere în temeiul prezentuluiregulament. În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă arconstitui o sarcină disproporţionată pentru o persoană fizică, poate fi emis un avertisment în locul uneiamenzi. Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea şidurata încălcării, caracterul deliberat al încălcării, acţiunile întreprinse pentru a reduce prejudiciulcauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fostadusă la cunoştinţa autorităţii de supraveghere, conformitatea cu măsurile adoptate împotrivaoperatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită şi orice altfactor agravant sau atenuant. Impunerea de sancţiuni, inclusiv de amenzi administrative, ar trebui săfacă obiectul unor garanţii procedurale adecvate, în conformitate cu principiile generale ale dreptuluiUniunii şi cu carta, inclusiv o protecţie judiciară eficientă şi un proces echitabil.

(149) Statele membre ar trebui să poată stabili normele privind sancţiunile penale pentru încălcărileprezentului regulament, inclusiv pentru încălcarea normelor de drept intern adoptate în temeiul şi înlimitele prezentului regulament. Respectivele sancţiuni penale pot, de asemenea, permite privarea deprofiturile obţinute prin încălcarea prezentului regulament. Cu toate acestea, impunerea de sancţiunipenale pentru încălcări ale unor asemenea norme de drept intern şi de sancţiuni administrative nu artrebui să ducă la încălcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea deJustiţie.

(150) Pentru consolidarea şi armonizarea sancţiunilor administrative în cazul încălcării prezentuluiregulament, fiecare autoritate de supraveghere ar trebui să aibă competenţa de a impune amenziadministrative. Prezentul regulament ar trebui să indice încălcările, şi limita maximă şi criteriile pentrustabilirea amenzilor administrative aferente, care ar trebui să fie stabilite de autoritatea desupraveghere competentă în fiecare caz în parte, ţinând seama de toate circumstanţele relevante alesituaţiei specifice, luându-se în considerare în mod corespunzător, în special, natura, gravitatea şidurata încălcării, precum şi consecinţele acesteia şi măsurile luate pentru a se asigura respectareaobligaţiilor în temeiul prezentului regulament şi pentru a se preveni sau atenua consecinţele încălcării.În cazul în care amenzile administrative sunt impuse unei întreprinderi, o întreprindere ar trebuiînţeleasă ca fiind o întreprindere în conformitate cu articolele 101 şi 102 din TFUE în aceste scopuri. Încazul în care se impun amenzi administrative unor persoane care nu sunt întreprinderi, autoritatea desupraveghere ar trebui să ţină seama de nivelul general al veniturilor din statul membru respectiv,precum şi de situaţia economică a persoanei atunci când estimează cuantumul adecvat al amenzii.Mecanismul pentru asigurarea coerenţei poate fi, de asemenea, utilizat pentru a promova aplicareaconsecventă a amenzilor administrative. Competenţa de a stabili dacă şi în ce măsură autorităţilepublice ar trebui să facă obiectul unor amenzi administrative ar trebui să revină statelor membre.Impunerea unei amenzi administrative sau transmiterea unei avertizări nu afectează aplicarea altorcompetenţe ale autorităţilor de supraveghere sau a altor sancţiuni în temeiul prezentului regulament.

ITI OFERIM CONSULTANTA GDPR DE CALITATE
HAI SA DISCUTAM: +40 732 634 123

(151) Sistemele juridice ale Danemarcei şi Estoniei nu permit amenzi administrative astfel cum suntprevăzute în prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel încât,în Danemarca, amenda să fie impusă de instanţele naţionale competente ca sancţiune penală, iar înEstonia amenda să fie impusă de autoritatea de supraveghere în cadrul unei proceduri privind delictele,cu condiţia ca o astfel de aplicare a normelor în statele membre respective să aibă un efect echivalentcu cel al amenzilor administrative impuse de autorităţile de supraveghere. Prin urmare, instanţelenaţionale competente ar trebui să ţină seama de recomandarea autorităţii de supraveghere care ainiţiat amenda. În orice caz, amenzile impuse ar trebui să fie eficace, proporţionale şi disuasive.

(152) În cazul în care prezentul regulament nu armonizează sancţiunile administrative sau în altecazuri, acolo unde este necesar, de exemplu în cazul unor încălcări grave ale prezentului regulament,statele membre ar trebui să pună în aplicare un sistem care să prevadă sancţiuni eficace, proporţionaleşi disuasive. Natura unor astfel de sancţiuni, penale sau administrative, ar trebui stabilită în dreptulintern.

(153) Dreptul statelor membre ar trebui să stabilească un echilibru între normele care reglementeazălibertatea de exprimare şi de informare, inclusiv exprimarea jurnalistică, academică, artistică şi/sauliterară, şi dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament.Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice sau în scopul exprimăriiacademice, artistice sau literare ar trebui să facă obiectul unor derogări sau al unor excepţii de laanumite dispoziţii ale prezentului regulament în cazul în care este necesară stabilirea unui echilibruîntre dreptul la protecţia datelor cu caracter personal şi dreptul la libertatea de exprimare şi deinformare, astfel cum este prevăzut în articolul 11 din cartă. Acest lucru ar trebui să se aplice în specialprelucrării datelor cu caracter personal în domeniul audiovizualului, precum şi în arhivele de ştiri şi înbibliotecile ziarelor. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadăexcepţiile şi derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale.Statele membre ar trebui să adopte astfel de excepţii şi derogări în ceea ce priveşte principiile generale,drepturile persoanelor vizate, operatorul şi persoana împuternicită de operator, transferul de date cucaracter personal către ţări terţe sau organizaţii internaţionale, autorităţile de supraveghereindependente, cooperarea şi coerenţa, precum şi în ceea ce priveşte situaţii specifice de prelucrare adatelor. În cazul în care aceste excepţii sau derogări diferă de la un stat membru la altul, ar trebui săse aplice dreptul statului membru sub incidenţa căruia intră operatorul. Pentru a ţine seama deimportanţa dreptului la libertatea de exprimare în fiecare societate democratică, este necesar canoţiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg.

(154) Prezentul regulament permite luarea în considerare a principiului accesului public la documenteoficiale în aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fiîn interes public. Datele cu caracter personal din documentele deţinute de o autoritate publică sau deun organism public ar trebui să poată fi divulgate de autoritatea respectivă sau de organismul respectivîn cazul în care dreptul Uniunii sau dreptul intern sub incidenţa căruia intră autoritatea publică sauorganismul public prevede acest lucru. Dreptul Uniunii şi dreptul intern ar trebui să asigure un echilibruîntre accesul public la documentele oficiale şi reutilizarea informaţiilor din sectorul public, pe de o parte,şi dreptul la protecţia datelor cu caracter personal, pe de altă parte, şi ar putea prin urmare să prevadăechilibrul necesar cu dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament.Trimiterea la autorităţile şi organismele publice ar trebui, în acest context, să includă toate autorităţilesau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva2003/98/CE a Parlamentului European şi a Consiliului (1) lasă intact şi nu aduce atingere în niciun felnivelului de protecţie a persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal înconformitate cu dreptul Uniunii şi cu cel intern şi, în special, nu modifică drepturile şi obligaţiileprevăzute de prezentul regulament. În special, directiva sus-menţionată nu se aplică documentelor lacare accesul este exclus sau restrâns în temeiul regimurilor de acces din motive legate de protecţiadatelor cu caracter personal şi nici părţilor din documente accesibile în temeiul respectivelor regimuricare conţin date cu caracter personal a căror reutilizare a fost stabilită prin lege ca fiind incompatibilăcu dreptul privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracterpersonal.(1)Directiva 2003/98/CE a Parlamentului European şi a Consiliului din 17 noiembrie 2003 privindreutilizarea informaţiilor din sectorul public (JO L 345, 31.12.2003, p. 90).

(155) Dreptul intern sau acordurile colective, inclusiv "acordurile de muncă", pot prevedea normespecifice care să reglementeze prelucrarea datelor cu caracter personal ale angajaţilor în contextulocupării unui loc de muncă, în special condiţiile în care datele cu caracter personal în contextul ocupăriiunui loc de muncă pot fi prelucrate pe baza consimţământului angajatului, în scopul recrutării, alrespectării clauzelor contractului de muncă, inclusiv descărcarea de obligaţiile stabilite prin lege sauprin acorduri colective, al gestionării, planificării şi organizării muncii, al egalităţii şi diversităţii la loculde muncă, al asigurării sănătăţii şi securităţii la locul de muncă, precum şi în scopul exercitării şibeneficierii, în mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc demuncă, precum şi în scopul încetării raporturilor de muncă.

(156) Prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri decercetare ştiinţifică sau istorică ori în scopuri statistice ar trebui să facă obiectul unor garanţii adecvatepentru drepturile şi libertăţile persoanei vizate în temeiul prezentului regulament. Respectivele garanţiiar trebui să asigure faptul că au fost instituite măsuri tehnice şi organizatorice necesare pentru a seasigura, în special, principiul reducerii la minimum a datelor. Prelucrarea ulterioară a datelor cu caracterpersonal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori înscopuri statistice se efectuează atunci când operatorul a evaluat fezabilitatea pentru îndeplinireaacestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permitidentificarea persoanelor vizate, cu condiţia să existe garanţii adecvate (cum ar fi pseudonimizareadatelor cu caracter personal). Statele membre ar trebui să prevadă garanţii adecvate pentruprelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetareştiinţifică sau istorică ori în scopuri statistice. Statele membre ar trebui să fie autorizate să ofere, înanumite condiţii şi sub rezerva unor garanţii adecvate pentru persoanele vizate, precizări şi derogări înceea ce priveşte cererile de informaţii şi dreptul la rectificare, dreptul la ştergere, dreptul de a fi uitat,dreptul la restricţionarea prelucrării,dreptul la portabilitatea datelor, precum şi dreptul la opoziţie încazul prelucrării datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri decercetare ştiinţifică sau istorică ori în scopuri statistice. Condiţiile şi garanţiile în cauză pot generaproceduri specifice astfel încât persoanele vizate să îşi exercite respectivele drepturi dacă acest lucrueste adecvat în contextul scopurilor vizate de prelucrarea specifică, precum şi măsuri tehnice şiorganizaţionale vizând reducerea la minimum a prelucrării datelor cu caracter personal, în conformitatecu principiile proporţionalităţii şi necesităţii. Prelucrarea datelor cu caracter personal în scopuri ştiinţificear trebui să fie, de asemenea, conformă cu alte acte legislative relevante, cum ar fi cele privind studiileclinice.

(157) Prin combinarea informaţiilor din registre, cercetătorii pot obţine noi cunoştinţe de mare valoareîn ceea ce priveşte bolile cu largă răspândire, cum ar fi bolile cardiovasculare, cancerul şi depresia. Pebaza registrelor, rezultatele cercetărilor pot fi întărite, întrucât acestea se bazează pe o populaţie maimare. În domeniul ştiinţelor sociale, cercetarea pe baza registrelor le permite cercetătorilor să obţinăinformaţii esenţiale despre corelarea pe termen lung a unei serii de condiţii sociale, precum şomajul saueducaţia, cu alte condiţii de viaţă. Rezultatele cercetărilor obţinute pe baza registrelor furnizeazăcunoştinţe solide, de înaltă calitate, care pot constitui baza pentru elaborarea şi punerea în aplicare aunor politici bazate pe cunoaştere şi care pot îmbunătăţi calitatea vieţii pentru un număr de persoane,eficienţa serviciilor sociale. Pentru a facilita cercetarea ştiinţifică, datele cu caracter personal pot fiprelucrate în scopuri de cercetare ştiinţifică, sub rezerva condiţiilor şi a garanţiilor corespunzătoarestabilite în dreptul Uniunii sau în dreptul intern.

(158) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare, prezentulregulament ar trebui să se aplice şi prelucrării respective, ţinând seama de faptul că prezentulregulament nu ar trebui să se aplice persoanelor decedate. Autorităţile publice sau organismele publicesau private care deţin evidenţe de interes public ar trebui, în temeiul dreptului Uniunii sau al dreptuluinaţional, să aibă o obligaţie legală de a dobândi, a păstra, a evalua, a pregăti, a descrie, a comunica, apromova, a disemina şi a asigura accesul la evidenţe de valoare durabilă de interes public general.Statele membre ar trebui, de asemenea, să poată să prevadă prelucrarea ulterioară a datelor cucaracter personal în scopuri de arhivare, de exemplu cu scopul de a furniza informaţii specificereferitoare la comportamentul politic în perioada fostelor regimuri de stat totalitare, la genociduri, lacrime împotriva umanităţii, în special holocaustul, sau la crime de război.

(159) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică,prezentul regulament ar trebui să se aplice şi prelucrării respective. În sensul prezentului regulament,prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifică ar trebui să fie interpretată însens larg, incluzând de exemplu dezvoltarea tehnologică şi activităţile demonstrative, cercetareafundamentală, cercetarea aplicată şi cercetarea finanţată din surse private. Ar trebui, în plus, luat înconsiderare obiectivul Uniunii de creare a unui Spaţiu european de cercetare, astfel cum este menţionatla articolul 179 alineatul (1) din TFUE. Scopurile de cercetare ştiinţifică ar trebui să includă, deasemenea, studii efectuate în interes public în domeniul sănătăţii publice. Pentru a îndeplinicaracteristicile specifice ale prelucrării datelor cu caracter personal în scopuri de cercetare ştiinţifică, artrebui să se aplice condiţii specifice, în special în ceea ce priveşte publicarea sau divulgarea într-un altmod a datelor cu caracter personal în contextul scopurilor de cercetare ştiinţifică. În cazul în carerezultatul cercetării ştiinţifice, în special în contextul sănătăţii, constituie un motiv pentru măsurisuplimentare în interesul persoanei vizate, normele generale ale prezentului regulament ar trebui să seaplice având în vedere aceste măsuri.

(160) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare istorică,prezentul regulament ar trebui să se aplice şi prelucrării respective. Acest lucru ar trebui să includă, deasemenea, cercetarea istorică şi cercetarea în scopuri genealogice, ţinând seama de faptul că prezentulregulament nu ar trebui să se aplice persoanelor decedate.

(161) În scopul acordării consimţământului de a participa la activităţi de cercetare ştiinţifică în cadrultestelor clinice, ar trebui să se aplice dispoziţiile relevante ale Regulamentului (UE) nr. 536/2014 alParlamentului European şi al Consiliului (1).(1)Regulamentul (UE) nr. 536/2014 al Parlamentului European şi al Consiliului din 16 aprilie 2014privind studiile clinice intervenţionale cu medicamente de uz uman şi de abrogare a Directivei2001/20/CE (JO L 158, 27.5.2014, p. 1).

(162) În cazul în care datele cu caracter personal sunt prelucrate în scopuri statistice, prezentulregulament ar trebui să se aplice prelucrării respective. Dreptul Uniunii sau dreptul intern ar trebui, înlimitele prezentului regulament, să determine conţinutul statistic, controlul accesului, specificaţiilepentru prelucrarea datelor cu caracter personal în scopuri statistice şi măsurile adecvate pentru aproteja drepturile şi libertăţile persoanelor vizate şi pentru a asigura confidenţialitatea datelor statistice.Aceste rezultate statistice pot fi utilizate ulterior în diferite scopuri, inclusiv în scopuri de cercetareştiinţifică. Scopuri statistice înseamnă orice operaţiune de colectare şi prelucrare de date cu caracterpersonal necesară pentru anchetele statistice sau pentru producerea de rezultate statistice. Scopurilestatistice presupun că rezultatul prelucrării în scopuri statistice nu constituie date cu caracter personal,ci date agregate şi că acest rezultat sau datele cu caracter personal nu sunt utilizate în sprijinul unormăsuri sau decizii privind o anumită persoană fizică.

(163) Informaţiile confidenţiale pe care autorităţile statistice de la nivelul Uniunii şi de la nivel naţionalle colectează în vederea elaborării de statistici europene şi naţionale oficiale ar trebui să fie protejate.Statisticile europene ar trebui concepute, elaborate şi difuzate în conformitate cu principiile statisticeprevăzute la articolul 338 alineatul (2) din TFUE, în timp ce statisticile naţionale ar trebui, deasemenea, să fie în conformitate cu dreptul intern. Regulamentul (CE) nr. 223/2009 al ParlamentuluiEuropean şi al Consiliului (2) prevede specificaţii suplimentare privind confidenţialitatea datelor statisticepentru statisticile europene.(2)Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 alParlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale BirouluiStatistic al Comunităţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticilecomunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentruprogramele statistice ale Comunităţilor Europene (JO L 87, 31.3.2009, p. 164).

(164) În ceea ce priveşte competenţele autorităţilor de supraveghere de a obţine de la operator sau dela persoana împuternicită de operator accesul la datele cu caracter personal şi accesul în clădirile lor,statele membre pot adopta, pe cale legislativă şi în limitele stabilite de prezentul regulament, normespecifice pentru protejarea secretului profesional sau a altor obligaţii echivalente, în măsura în careacest lucru este necesar pentru a asigura un echilibru între dreptul la protecţia datelor cu caracterpersonal şi obligaţia de păstrare a secretului profesional. Aceasta nu aduce atingere obligaţiilorexistente ale statelor membre de a adopta norme privind secretul profesional în situaţiile cerute dedreptul Uniunii.

(165) Prezentul regulament respectă şi nu aduce atingere statutului de care beneficiază, în temeiuldreptului constituţional existent, bisericile şi asociaţiile sau comunităţile religioase din statele membre,astfel cum este recunoscut în articolul 17 din TFUE.

(166) În vederea îndeplinirii obiectivelor prezentului regulament, şi anume protejarea drepturilor şilibertăţilor fundamentale ale persoanelor fizice şi, în special, a dreptului acestora la protecţia datelor cucaracter personal, şi pentru a se garanta libera circulaţie a datelor cu caracter personal pe teritoriulUniunii, competenţa de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui să fiedelegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce priveşte criteriile şi cerinţeleprivind mecanismele de certificare, informaţiile care trebuie prezentate prin pictograme standardizate şiprocedurile pentru furnizarea unor astfel de pictograme. Este deosebit de important ca, în cadrulactivităţii sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experţi.Atunci când pregăteşte şi elaborează acte delegate, Comisia ar trebui să asigure transmitereasimultană, la timp şi în mod corespunzător a documentelor relevante către Parlamentul European şicătre Consiliu.

(167) În vederea asigurării unor condiţii uniforme de punere în aplicare a prezentului regulament,Comisia ar trebui învestită cu competenţe de executare în situaţiile stabilite de prezentul regulament.Competenţele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr.182/2011. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentrumicroîntreprinderi şi pentru întreprinderile mici şi mijlocii.

(168) Procedura de examinare ar trebui utilizată pentru adoptarea de acte de punere în aplicareprivind: clauzele contractuale standard dintre operatori şi persoanele împuternicite de operatori,precum şi dintre persoanele împuternicite de operatori; codurile de conduită; standardele tehnice şimecanismele de certificare; nivelul adecvat de protecţie oferit de o ţară terţă, de un teritoriu sau de unanumit sector de prelucrare din ţara terţă respectivă, sau de o organizaţie internaţională; clauzelestandard de protecţie a datelor; formatele şi procedurile pentru schimbul electronic de informaţii întreoperatori, persoanele împuternicite de operatori şi autorităţile de supraveghere pentru regulilecorporatiste obligatorii; asistenţa reciprocă; precum şi modalităţile de realizare a schimbului electronicde informaţii între autorităţile de supraveghere, precum şi între autorităţile de supraveghere şicomitetul.

(169) Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când doveziledisponibile arată că o ţară terţă, un teritoriu sau un anumit sector de prelucrare din ţara terţărespectivă, sau o organizaţie internaţională nu asigură un nivel de protecţie adecvat, precum şi dinmotive imperative de urgenţă.

(170) Deoarece obiectivul prezentului regulament, şi anume asigurarea unui nivel echivalent deprotecţie a persoanelor fizice şi libera circulaţie a datelor cu caracter personal în întreaga Uniune, nupoate fi realizat în mod satisfăcător de către statele membre dar, având în vedere amploarea sauefectele acţiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri înconformitate cu principiul subsidiarităţii, astfel cum este definit la articolul 5 din Tratatul privindUniunea Europeană ("Tratatul UE"). În conformitate cu principiul proporţionalităţii, astfel cum estedefinit la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizareaobiectivelor menţionate.

(171) Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Prelucrările în derularela data aplicării prezentului regulament ar trebui să fie aduse în conformitate cu prezentul regulamentîn termen de doi ani de la data intrării în vigoare a prezentului regulament. În cazul în care prelucrărilese bazează pe consimţământ în temeiul Directivei 95/46/CE, nu este necesar ca persoana vizată să îşidea încă o dată consimţământul în cazul în care modul în care consimţământul a fost dat este înconformitate cu condiţiile din prezentul regulament, astfel încât operatorului să i se permită să continueo astfel de prelucrare după data aplicării prezentului regulament. Deciziile adoptate ale Comisiei şiautorizaţiile autorităţilor de supraveghere emise pe baza Directivei 95/46/CE rămân în vigoare pânăcând vor fi modificate, înlocuite sau abrogate.

(172) Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 28alineatul (2) din Regulamentul (CE) nr. 45/2001 şi a emis un aviz la 7 martie 2012 (1).(1)JO C 192, 30.6.2012, p. 7.

(173) Prezentul regulament ar trebui să se aplice tuturor aspectelor referitoare la protecţia drepturilorşi libertăţilor fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unorobligaţii specifice cu acelaşi obiectiv ca cel stabilit în Directiva 2002/58/CE a Parlamentului Europeanşi a Consiliului (2), inclusiv obligaţiile privind operatorul şi drepturile persoanelor fizice. Pentru a seclarifica relaţia dintre prezentul regulament şi Directiva 2002/58/CE, respectiva directivă ar trebui săfie modificată în consecinţă. După adoptarea prezentului regulament, Directiva 2002/58/CE ar trebuisă fie revizuită în special pentru a se asigura coerenţa cu prezentul regulament,(2)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privindprelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directivaasupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37).

AVETI NEVOIE DE SPRIJIN CU REGULAMENTUL GDPR?

TCAG.RO va ofera servicii si solutii complete de consultanta GDPR, servicii GDPR, implementare GDPR, audit GDPR si DPO externalizat.

Total Consulting Agency utilizeaza fisiere de tip cookie pentru a personaliza si imbunatati experienta ta pe website-ul nostru. Te informam ca ne-am actualizat politicile pentru a integra in acestea si in activitatea curenta a Total Consulting Agency cele mai recente modificari propuse de Regulamentul (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date. Inainte de a continua navigarea pe website-ul nostru te rugam sa aloci timpul necesar pentru a citi si intelege continutul Politicii de Cookie si Politica de Confidentialitate. Prin continuarea navigarii pe website-ul nostru confirmi acceptarea utilizarii fisierelor de tip cookie conform Politicii de Cookie. Nu uita totusi că poți modifica în orice moment setarile acestor fisiere cookie urmand instructiunile din Politica de Cookie.
AM INTELES SI SUNT DE ACORD