RAPORT referitor la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)
21.11.2013 - (COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD)) - ***I
Comisia pentru libertăți civile, justiție și afaceri interne
Raportor: Jan Philipp Albrecht
- PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
- EXPUNERE DE MOTIVE
- AVIZ al Comisiei pentru ocuparea forței de muncă și afaceri sociale
- AVIZ al Comisiei pentru industrie, cercetare și energie
- AVIZ al Comisiei pentru piața internă și protecția consumatorilor
- AVIZ al Comisiei pentru afaceri juridice
- PROCEDURĂ
PROIECT DE REZOLUȚIE LEGISLATIVĂ A PARLAMENTULUI EUROPEAN
referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
(Procedura legislativă ordinară: prima lectură)
Parlamentul European,
– având în vedere propunerea Comisiei prezentată Parlamentului și Consiliului (COM(2012)0011),
– având în vedere articolul 294 alineatul (2), articolul 16 alineatul (2) și articolul 114 alineatul (1) din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7-0025/2012),
– având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,
– având în vedere avizele motivate prezentate de către Camera Reprezentanților din Belgia, Bundesratul Germaniei, Senatul Franței, Camera deputaților din Italia și Parlamentul Suediei în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,
– având în vedere avizul Comitetului Economic și Social European din 23 mai 2012[1],
– după consultarea Comitetului Regiunilor,
– având în vedere avizul Autorității Europene pentru Protecția Datelor din 7 martie 2012,
– având în vedere avizul Agenției pentru Drepturi Fundamentale a Uniunii Europene din 1 octombrie 2012,
– având în vedere articolul 55 din Regulamentul său de procedură,
– având în vedere raportul Comisiei pentru libertăți civile, justiție și afaceri interne și avizele Comisiei pentru ocuparea forței de muncă și afaceri sociale, Comisiei pentru industrie, cercetare și energie, Comisiei pentru piața internă și protecția consumatorilor și Comisiei pentru afaceri juridice (A7-0402/2013),
1. adoptă poziția în primă lectură prezentată în continuare;
2. solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;
3. încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.
Amendamentul 1 Propunere de regulament Considerentul 14 | |
|
Textul propus de Comisie |
Amendamentul |
|
(14) Prezentul regulament nu se referă nici la chestiuni de protecție a drepturilor și libertăților fundamentale, nici la libera circulație a datelor referitoare la activități care nu intră în domeniul de aplicare a dreptului Uniunii, nici la prelucrarea datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii, care fac obiectul Regulamentului (CE) nr. 45/200144, și nici la prelucrarea datelor cu caracter personal de către statele membre atunci când desfășoară activități legate de politica externă și de securitate comună a Uniunii. |
(14) Prezentul regulament nu se referă nici la chestiuni de protecție a drepturilor și libertăților fundamentale și nici la libera circulație a datelor referitoare la activități care nu intră în domeniul de aplicare a dreptului Uniunii. Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului1 ar trebui adaptat la prezentul regulament și aplicat în conformitate cu prezentul regulament. |
|
____________ |
______________ |
|
44 JO L 8, 12.1.2001, p. 1. |
1 Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p.1). |
Amendamentul 2 Propunere de regulament Considerentul 15 | |
|
Textul propus de Comisie |
Amendamentul |
|
(15) Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale sau casnice, cum ar fi corespondența și repertoriul de adrese, fără niciun scop lucrativ și, prin urmare, fără nicio legătură cu o activitate profesională sau comercială. Exceptarea ar trebui, de asemenea, să nu se aplice operatorilor sau persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau casnice. |
(15) Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale, familiale sau casnice, cum ar fi corespondența și repertoriul de adrese sau vânzarea directă și fără nicio legătură cu o activitate profesională sau comercială. Cu toate acestea, prezentul regulament ar trebui să se aplice operatorilor și persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice. |
Amendamentul 3 Propunere de regulament Considerentul 18 | |
|
Textul propus de Comisie |
Amendamentul |
|
(18) Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale, în aplicarea dispozițiilor prevăzute de acesta. |
(18) Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale, în aplicarea dispozițiilor prevăzute de acesta. Datele cu caracter personal din documentele deținute de către o autoritate publică sau un organism public pot fi divulgate de respectiva autoritate sau de respectivul organism în conformitate cu dreptul Uniunii sau legislația statelor membre privind accesul public la documentele oficiale, care conciliază dreptul la protecția datelor cu caracter personal cu dreptul publicului de acces la documentele oficiale și servește în mod echitabil diversele interese în joc. |
Amendamentul 4 Propunere de regulament Considerentul 20 | |
|
Textul propus de Comisie |
Amendamentul |
|
(20) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care își au reședința în Uniune de către un operator care nu este stabilit în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate sau cu monitorizarea comportamentului acestor persoane vizate. |
(20) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care își au reședința în Uniune de către un operator care nu este stabilit în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii, indiferent dacă sunt sau nu cu plată, unor astfel de persoane vizate sau cu monitorizarea acestor persoane vizate. Pentru a determina dacă un astfel de operator oferă bunuri sau servicii unor astfel de persoane vizate în Uniune, ar trebui să se stabilească dacă reiese că operatorul intenționează să furnizeze servicii persoanelor vizate care își au reședința în unul sau mai multe state membre din Uniune. |
Amendamentul 5 Propunere de regulament Considerentul 21 | |
|
Textul propus de Comisie |
Amendamentul |
|
(21) Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar trebui să se analizeze dacă persoanele fizice sunt urmărite pe internet cu tehnici de prelucrare a datelor care constau în aplicarea unui „profil” unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia. |
(21) Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare” a persoanelor vizate, ar trebui să se analizeze dacă persoanele fizice sunt urmărite, indiferent de sursa datelor, sau dacă alte date referitoare la aceste persoane sunt colectate, inclusiv din registre și anunțuri publice din Uniune care sunt accesibile din afara Uniunii, inclusiv cu intenția de a utiliza sau în vederea unei eventuale utilizări ulterioare a unor tehnici de prelucrare a datelor care constau în aplicarea unui „profil”, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia. |
Amendamentul 6 Propunere de regulament Considerentul 23 | |
|
Textul propus de Comisie |
Amendamentul |
|
(23) Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă. |
(23) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană în scopul identificării sau scoaterii în evidență a persoanei fizice respective, în mod direct sau indirect. Pentru a determina ce mijloace este posibil, în mod rezonabil, să fie utilizate pentru identificarea persoanei, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor nu ar trebui astfel să se aplice datelor anonime, care reprezintă informații care nu se referă la o persoană fizică identificată sau identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de date anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau pentru cercetare. |
Amendamentul 7 Propunere de regulament Considerentul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele. |
(24) Prezentul regulament ar trebui să se aplice operațiunile de prelucrare care implică identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie sau etichetele de identificare prin frecvențe radio, cu excepția cazului în care acești identificatori nu se referă la o persoană fizică identificată sau identificabilă. |
Amendamentul 8 Propunere de regulament Considerentul 25 | |
|
Textul propus de Comisie |
Amendamentul |
|
(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. |
(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc care este rezultatul alegerii făcute de aceasta, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal. Actul neechivoc ar putea include bifarea unei căsuțe atunci când persoana vizitează un site internet sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, simpla utilizare a unui serviciu sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. |
Amendamentul 9 Propunere de regulament Considerentul 29 | |
|
Textul propus de Comisie |
Amendamentul |
|
(29) Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului. |
(29) Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Atunci când prelucrarea datelor se bazează pe exprimarea consimțământului de către persoana vizată cu privire la oferirea de bunuri sau servicii în mod direct unui minor, consimțământul ar trebui să fie acordat de părintele sau tutorele acestuia în cazul minorilor cu vârsta sub 13 ani. Atunci când publicul vizat este constituit din copii, ar trebui utilizat un limbaj adecvat vârstei. Alte motive pentru legalitatea prelucrării, precum motive de interes public ar trebui să rămână aplicabile, ca, de exemplu, prelucrarea în contextul serviciilor de prevenire sau consiliere oferite direct copiilor. |
Amendamentul 10 Propunere de regulament Considerentul 31 | |
|
Textul propus de Comisie |
Amendamentul |
|
(31) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei în cauză sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament. |
(31) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei în cauză sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament. În cazul unui minor sau al unei persoane lipsite de capacitate juridică, legislația aplicabilă a Uniunii sau a statutului membru ar trebui să determine condițiile în care consimțământul este exprimat sau autorizat de persoana respectivă. |
Amendamentul 11 Propunere de regulament Considerentul 32 | |
|
Textul propus de Comisie |
Amendamentul |
|
(32) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. |
(32) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În vederea respectării principiului de reducere la minimum a datelor, sarcina probei nu ar trebui să presupună identificarea pozitivă a persoanelor vizate, decât dacă acest lucru este necesar. La fel ca dispozițiile de drept civil (Directiva 93/13/CEE1), politicile privind protecția datelor ar trebui să fie cât mai clare și mai transparente posibil. Acestea nu ar trebui să conțină clauze ascunse sau dezavantajoase. Nu poate fi acordat consimțământul pentru prelucrarea datelor cu caracter personal ale unor terțe persoane. |
|
|
1 Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29). |
Amendamentul 12 Propunere de regulament Considerentul 33 | |
|
Textul propus de Comisie |
Amendamentul |
|
(33) Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată. |
(33) Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată. Aceasta se aplică, în special, în cazul în care operatorul este o autoritate publică care poate impune o obligație în virtutea competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber. Utilizarea unor opțiuni automate pe care persoana vizată trebuie să le modifice pentru a se opune prelucrării datelor, cum ar fi căsuțele pre-marcate, nu exprimă liberul consimțământ. Consimțământul pentru prelucrarea unor date cu caracter personal suplimentare, care nu sunt necesare pentru furnizarea unui serviciu, nu ar trebui solicitate pentru utilizarea serviciului respectiv. Atunci când consimțământul este retras se poate permite terminarea sau neexecutarea unui serviciu care depinde de datele respective. Atunci când atingerea scopului urmărit este neclară, operatorul ar trebui să ofere periodic persoanei vizate informații cu privire la prelucrare și cererea de reafirmare a consimțământului. |
Amendamentul 13 Propunere de regulament Considerentul 34 | |
|
Textul propus de Comisie |
Amendamentul |
|
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
eliminat |
Amendamentul 14 Propunere de regulament Considerentul 36 | |
|
Textul propus de Comisie |
Amendamentul |
|
(36) În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice, prelucrarea ar trebui să aibă un temei juridic în dreptul Uniunii sau în legislația unui stat membru care îndeplinește cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene, pentru orice limitare a drepturilor și libertăților. De asemenea, este de competența dreptului Uniunii sau a legislației naționale să determine dacă operatorul care îndeplinește o sarcină de interes public sau în exercitarea autorității publice ar trebui să fie o administrație publică sau altă persoană fizică sau juridică de drept public sau privat, cum ar fi o asociație profesională. |
(36) În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice, prelucrarea ar trebui să aibă un temei juridic în dreptul Uniunii sau în legislația unui stat membru care îndeplinește cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene, pentru orice limitare a drepturilor și libertăților. Acest lucru ar trebui să se aplice, de asemenea, acordurilor colective care pot fi recunoscute în temeiul legislației naționale ca având validitate generală. De asemenea, este de competența dreptului Uniunii sau a legislației naționale să determine dacă operatorul care îndeplinește o sarcină de interes public sau în exercitarea autorității publice ar trebui să fie o administrație publică sau altă persoană fizică sau juridică de drept public sau privat, cum ar fi o asociație profesională. |
Amendamentul 15 Propunere de regulament Considerentul 38 | |
|
Textul propus de Comisie |
Amendamentul |
|
(38) Interesele legitime ale unui operator pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
(38) Interesele legitime ale operatorului sau, în cazul divulgării, ale părții terțe ale cărei date sunt divulgate, pot constitui un temei juridic pentru prelucrare, cu condiția să răspundă așteptărilor rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul și să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Ar trebui considerat că prelucrarea de date pseudonime îndeplinește așteptările rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Interesele sau drepturile și libertățile fundamentale ale persoanei vizate pot prevala în special în raport cu interesul operatorului de date atunci când datele sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare suplimentară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
Amendamentul 16 Propunere de regulament Considerentul 39 | |
|
Textul propus de Comisie |
Amendamentul |
|
(39) Prelucrarea datelor în măsura strict necesară în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme sau accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz de urgență informatică (CERT), echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică (CSIRT), furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice. |
(39) Prelucrarea datelor în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față evenimentelor accidentale sau acțiunilor rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme, de către autoritățile publice, echipele de intervenție în caz de urgență informatică (CERT), echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică (CSIRT), furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie, în anumite cazuri specifice, un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice. Acest principiu se aplică de asemenea prelucrării de date cu caracter personal în vederea restricționării accesului abuziv la rețele sau sisteme informatice disponibile în mod public, sau a utilizării abuzive a acestora, cum ar fi introducerea pe o listă neagră a unor identificatori electronici. |
Amendamentul 17 Propunere de regulament Considerentul 39 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(39a) Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prevenirea sau limitarea daunelor pentru operatorul de date ar trebui considerate ca fiind realizate în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același principiu se aplică, de asemenea, obținerii drepturilor în instanță în legătură cu o persoană vizată, precum recuperarea unei datorii sau obținerea unor despăgubiri sau reparații. |
Amendamentul 18 Propunere de regulament Considerentul 39 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(39b) Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prelucrare datelor cu caracter personal în scopuri de marketing direct pentru propriile produse și servicii sau pentru produse și servicii similare sau în scopuri marketing direct prin poștă ar trebui considerată ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul, dacă informațiile cu privire la dreptul de a se opune sunt în mod evident vizibile și este oferită sursa datelor cu caracter personal. Prelucrarea datelor de contact comerciale ar trebui considerată în general ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același lucru se aplică și prelucrării de date făcute în mod evident publice de persoana vizată. |
Amendamentul 19 Propunere de regulament Considerentul 40 | |
|
Textul propus de Comisie |
Amendamentul |
|
(40) Prelucrarea datelor cu caracter personal în alte scopuri ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile în care datele au fost inițial colectate, în special în cazul în care prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică. În cazul în care celălalt scop nu este compatibil cu scopul inițial în care datele sunt colectate, operatorul ar trebuie să obțină consimțământul persoanei vizate cu privire la acest alt scop sau ar trebui să întemeieze prelucrarea legală pe un alt motiv legitim, în special în cazul în care acest fapt este prevăzut de dreptul Uniunii sau de legislația statului membru care se aplică operatorului. În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri ar trebui să fie garantată. |
eliminat |
Amendamentul 20 Propunere de regulament Considerentul 41 | |
|
Textul propus de Comisie |
Amendamentul |
|
(41) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, necesită o protecție specifică. Astfel de date nu ar trebui să fie prelucrate, cu excepția cazului în care persoana vizată își dă consimțământul explicit. Cu toate acestea, derogări de la interdicția respectivă ar trebui prevăzute în mod explicit în ceea ce privește nevoile specifice, în special atunci când prelucrarea este efectuată în cadrul activităților legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale. |
eliminat |
Amendamentul 21 Propunere de regulament Considerentul 42 | |
|
Textul propus de Comisie |
Amendamentul |
|
(42) Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate sau în scopuri de cercetare istorică, statistică și științifică. |
(42) Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate, în scopuri de cercetare istorică, statistică și științifică, sau pentru servicii de arhivare.
|
Amendamentul 22 Propunere de regulament Considerentul 45 | |
|
Textul propus de Comisie |
Amendamentul |
|
(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. |
(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. Dacă persoana vizată poate furniza aceste date, operatorii nu ar trebui să fie în măsură să invoce lipsa informațiilor pentru a refuza o cerere de acces. |
Amendamentul 23 Propunere de regulament Considerentul 47 | |
|
Textul propus de Comisie |
Amendamentul |
|
(47) Ar trebui prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturile sale stipulate de prezentul regulament, inclusiv mecanismele de a solicita, în mod gratuit, în special, accesul la date, rectificarea și ștergerea acestora, precum și exercitarea dreptului la opoziție. Operatorul ar trebui să fie aibă obligația de a răspunde cererilor persoanelor vizate într-un termen fix și, în cazul în care nu se conformează cererii persoanei vizate, să motiveze acest refuz. |
(47) Ar trebui prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturile sale stipulate de prezentul regulament, inclusiv mecanismele de a obține, în mod gratuit, în special, accesul la date, rectificarea și ștergerea acestora, precum și exercitarea dreptului la opoziție. Operatorul ar trebui să fie aibă obligația de a răspunde cererilor persoanelor vizate într-un termen rezonabil și, în cazul în care nu se conformează cererii persoanei vizate, să motiveze acest refuz. |
Amendamentul 24 Propunere de regulament Considerentul 48 | |
|
Textul propus de Comisie |
Amendamentul |
|
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata stocării datelor, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. |
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata probabilă a stocării datelor în fiecare scop, dacă datele urmează să fie transferate unor părți terțe sau unor țări terțe, existența măsurilor pentru a se opune și a dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. Aceste informații ar trebui furnizate, ceea ce poate să însemne de asemenea că vor fi rapid disponibile, persoanei vizate după oferirea unor informații simplificate sub forma unor pictograme standardizate. Acest lucru ar trebui să însemne, de asemenea, că datele cu caracter personal sunt prelucrate într-un mod care permite efectiv persoanei vizate să își exerseze drepturile. |
Amendamentul 25 Propunere de regulament Considerentul 50 | |
|
Textul propus de Comisie |
Amendamentul |
|
(50) Cu toate acestea, nu este necesară impunerea obligației respective în cazul în care persoana vizată dispune deja de aceste informații sau în cazul în care înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedește imposibilă sau implică eforturi disproporționate. Acesta din urmă ar putea fi cazul în special atunci când prelucrarea se efectuează în scopuri de cercetare istorică, statistică sau științifică; în această privință, pot fi luate în considerare numărul persoanelor vizate, vechimea datelor și măsurile compensatorii adoptate. |
(50) Cu toate acestea, nu este necesară impunerea obligației respective în cazul în care persoana vizată cunoaște deja aceste informații sau în cazul în care înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedește imposibilă sau implică eforturi disproporționate. |
Amendamentul 26 Propunere de regulament Considerentul 51 | |
|
Textul propus de Comisie |
Amendamentul |
|
(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, pentru ce perioadă, identitatea destinatarilor datelor, care este logica de prelucrare a datelor și care ar putea fi, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele cu caracter personal, pentru aproximativ ce perioadă, identitatea destinatarilor datelor cu caracter personal, care este logica generală de prelucrare a datelor cu caracter personal și care ar putea fi consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale, precum în legătură cu drepturile de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
Amendamentul 27 Propunere de regulament Considerentul 53 | |
|
Textul propus de Comisie |
Amendamentul |
|
(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. |
(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul la ștergere”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. De asemenea, dreptul la ștergere nu ar trebui să se aplice atunci când păstrarea datelor cu caracter personal este necesară pentru executarea unui contract încheiat cu persoana vizată sau atunci când există o obligație legală de a păstra aceste date. |
Amendamentul 28 Propunere de regulament Considerentul 54 | |
|
Textul propus de Comisie |
Amendamentul |
|
(54) Pentru a se consolida „dreptul de a fi uitat” în mediul on-line, dreptul de ștergere ar trebui, de asemenea, să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligația de a informa terții care prelucrează astfel de date că o persoană vizată le solicită să șteargă orice linkuri către datele cu caracter personal respective sau copii sau reproduceri ale acestora. În scopul asigurării acestor informații, operatorul ar trebui să ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil. În legătură cu publicarea datelor cu caracter personal de către un terț, operatorul ar trebui să fie considerat responsabil de publicare, în cazul în care acesta a autorizat publicarea de către terț. |
(54) Pentru a se consolida „dreptul de ștergere” în mediul on-line, dreptul de ștergere ar trebui, de asemenea, să fie extins astfel încât un operator care a făcut publice date cu caracter personal fără a avea un temei juridic ar trebui să ia toate măsurile necesare pentru ștergerea datelor, inclusive de către terți, fără a aduce însă atingere dreptului persoanei vizate de a solicita despăgubiri. |
Amendamentul 29 Propunere de regulament Considerentul 54 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(54a) Datele contestate de persoana vizată și a căror exactitate sau lipsă de exactitate nu poate fi determinată ar trebui să fie blocate până la clarificarea chestiunii. |
Amendamentul 30 Propunere de regulament Considerentul 55 | |
|
Textul propus de Comisie |
Amendamentul |
|
(55) Pentru a se consolida în continuare controlul asupra propriilor date și dreptul lor de acces, persoanele vizate ar trebui să aibă dreptul, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice într-un format structurat și utilizat în mod curent, de a obține, de asemenea, o copie a datelor care le privesc într-un format electronic utilizat în mod curent. Persoana vizată ar trebui, de asemenea, să fie autorizată să transmită datele respective, pe care le-a furnizat, dintr-o aplicație automată, cum ar fi o rețea socială, către alta. Aceasta ar trebui să se aplice în cazul în care persoana vizată a furnizat datele sistemului de prelucrare automată, pe baza consimțământului său sau în cadrul executării unui contract. |
(55) Pentru a se consolida în continuare controlul asupra propriilor date și dreptul lor de acces, persoanele vizate ar trebui să aibă dreptul, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice într-un format structurat și utilizat în mod curent, de a obține, de asemenea, o copie a datelor care le privesc într-un format electronic utilizat în mod curent. Persoana vizată ar trebui, de asemenea, să fie autorizată să transmită datele respective, pe care le-a furnizat, dintr-o aplicație automată, cum ar fi o rețea socială, către alta. Operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor. Aceasta ar trebui să se aplice în cazul în care persoana vizată a furnizat datele sistemului de prelucrare automată, pe baza consimțământului său sau în cadrul executării unui contract. Furnizorii de servicii ale societății informaționale nu ar trebui să condiționeze furnizarea serviciilor lor de transferul acestor date. |
Amendamentul 31 Propunere de regulament Considerentul 56 | |
|
Textul propus de Comisie |
Amendamentul |
|
(56) În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal în scopul asigurării protecției intereselor vitale ale persoanei vizate sau din motive de interes public, de exercitare a autorității publice sau de urmărire a intereselor legitime ale unui operator, orice persoană vizată ar trebui, cu toate acestea, să aibă dreptul de a se opune prelucrării oricăror date care o privesc. Sarcina probei ar trebui să revină operatorului pentru a demonstra că interesele sale legitime pot prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. |
(56) În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal în scopul asigurării protecției intereselor vitale ale persoanei vizate sau din motive de interes public, de exercitare a autorității publice sau de urmărire a intereselor legitime ale unui operator, orice persoană vizată ar trebui, cu toate acestea, să aibă dreptul de a se opune prelucrării oricăror date care o privesc, într-un mod care să poată fi invocate cu ușurință și în mod efectiv. Sarcina probei ar trebui să revină operatorului pentru a demonstra că interesele sale legitime pot prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. |
Amendamentul 32 Propunere de regulament Considerentul 57 | |
|
Textul propus de Comisie |
Amendamentul |
|
(57) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă gratuit dreptul la opoziție cu privire la o astfel de prelucrare, care să poată fi invocat cu ușurință și în mod efectiv. |
(57) În cazul în care persoana vizată are dreptul la opoziție cu privire la prelucrare, operatorul ar trebui să îl propună persoanei vizate într-un mod și sub o formă inteligibile, folosind un limbaj clar și simplu și care trebui să se distingă clar acest drept de alte informații. |
Amendamentul 33 Propunere de regulament Considerentul 58 | |
|
Textul propus de Comisie |
Amendamentul |
|
(58) Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează pe crearea de profiluri prin mijloace de prelucrare automată a datelor. Cu toate acestea, o astfel de măsură ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține intervenție umană, iar o astfel de măsură nu ar trebui să se refere la un minor. |
(58) Fără a aduce atingere legalității prelucrării datelor, orice persoană fizică ar trebui să aibă dreptul de a se opune creării de profiluri. Crearea de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are în mod similar un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține apreciere umană, iar o astfel de măsură nu ar trebui să se refere la un minor. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține aprecierea umană, iar o astfel de măsură nu ar trebui să se refere la un minor. Aceste măsuri nu ar trebui să ducă la discriminarea persoanelor pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen. |
Amendamentul 34 Propunere de regulament Considerentul 58 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(58a) Crearea de profiluri bazate exclusive pe prelucrarea de date pseudonime ar trebui considerat că nu afectează semnificativ interesele, drepturile sau libertățile persoanei vizate. Atunci când crearea de profiluri, fie că se bazează pe o sursă unică de date pseudonime sau pe agregarea de date pseudonime provenite din surse diferite, permite operatorului să atribuie date pseudonime unei anume persoane vizate, datele prelucrate nu ar trebui să mai fie considerate ca fiind pseudonime. |
Amendamentul 35 Propunere de regulament Considerentul 59 | |
|
Textul propus de Comisie |
Amendamentul |
|
(59) Dreptul Uniunii sau legislația unui stat membru pot impune restricții ale principiilor specifice, ale drepturilor de informare, acces, rectificare și ștergere sau ale dreptului la portabilitatea datelor, ale dreptului la opoziție, ale măsurilor bazate pe crearea de profiluri, precum și ale comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și ale anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea penală a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate, alte interese publice ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, sau protecția persoanei vizate sau a drepturilor și libertăților unor terți. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. |
(59) Dreptul Uniunii sau legislația unui stat membru pot impune restricții ale principiilor specifice, ale drepturilor de informare, rectificare și ștergere sau ale dreptului de acces și de obținere a datelor, ale dreptului la opoziție, al creării de profiluri, precum și ale comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și ale anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea penală a infracțiunilor sau a încălcării eticii în cazul profesiilor reglementate, alte interese publice specifice și bine definite ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, sau protecția persoanei vizate sau a drepturilor și libertăților unor terți. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de Carta drepturilor fundamentale a Uniunii Europene și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. |
Amendamentul 36 Propunere de regulament Considerentul 60 | |
|
Textul propus de Comisie |
Amendamentul |
|
(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. |
(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său, în special în ceea ce privește documentarea, securitatea datelor, evaluările de impact, responsabilul cu protecția datelor și supravegherea de către autoritățile pentru protecția datelor. În special, operatorul ar trebui să asigure și să poată demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. Aceasta ar trebui verificată de auditori interni sau externi independenți. |
Amendamentul 37 Propunere de regulament Considerentul 61 | |
|
Textul propus de Comisie |
Amendamentul |
|
(61) Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, atât în momentul conceperii prelucrării, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. În scopul asigurării și al demonstrării conformității cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri corespunzătoare, care să respecte, în special, principiul luării în considerare a protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. |
(61) Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, atât în momentul conceperii prelucrării, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. În scopul asigurării și al demonstrării conformității cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri corespunzătoare, care să respecte, în special, principiul luării în considerare a protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. Principiul protecției datelor încă din faza de concepție necesită integrarea protecției datelor în întregul ciclu de viață al tehnologiei, de la prima fază de concepție până la distribuirea, utilizarea și eliminarea sa finală. Aceasta ar trebui să includă și responsabilitatea pentru produsele și serviciile utilizate de operator sau de persoana împuternicită de către operator. Principiul protecției implicite a datelor presupune că parametrii de confidențialitate ai serviciilor și produselor ar trebui să respecte implicit principiile generale de protecție a datelor, precum minimizarea datelor și limitarea scopului. |
Amendamentul 38 Propunere de regulament Considerentul 62 | |
|
Textul propus de Comisie |
Amendamentul |
|
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. |
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. Acordul dintre operatorii asociați ar trebui să reflecte rolurile lor efective și relațiile lor. În cadrul prelucrării de date cu caracter personal în temeiul prezentului regulament, ar trebui să i se permită unui operator să transmită datele unui operator asociat sau unei persoane împuternicite de către operator în vederea prelucrării datelor de către aceștia în numele lui. |
Amendamentul 39 Propunere de regulament Considerentul 63 | |
|
Textul propus de Comisie |
Amendamentul |
|
(63) Atunci când un operator care nu este stabilit în Uniune prelucrează date cu caracter personal ale unor persoane vizate care își au reședința în Uniune, iar activitățile de prelucrare ale operatorului au legătură cu oferirea de bunuri și servicii unor astfel de persoane vizate sau cu monitorizarea comportamentului acestora, operatorul ar trebui să desemneze un reprezentant, cu excepția cazului în care operatorul este stabilit într-o țară terță care asigură un nivel adecvat de protecție sau în care operatorul este o întreprindere mică sau mijlocie sau o autoritate publică sau un organism public sau în care operatorul oferă doar ocazional bunuri sau servicii unor astfel de persoane vizate. Reprezentantul ar trebui să acționeze în numele operatorului, putând fi contactat de orice autoritate de supraveghere. |
(63) Atunci când un operator care nu este stabilit în Uniune prelucrează date cu caracter personal ale unor persoane vizate care își au reședința în Uniune, operatorul ar trebui să desemneze un reprezentant, cu excepția cazului în care operatorul este stabilit într-o țară terță care asigură un nivel adecvat de protecție sau prelucrarea vizează mai puțin de 5 000 de persoane în cursul unei perioade de 12 luni consecutive și nu privește categorii speciale de date cu caracter personal sau operatorul este o autoritate publică sau un organism public sau în care operatorul oferă doar ocazional bunuri sau servicii unor astfel de persoane vizate Reprezentantul ar trebui să acționeze în numele operatorului, putând fi contactat de orice autoritate de supraveghere. |
Amendamentul 40 Propunere de regulament Considerentul 64 | |
|
Textul propus de Comisie |
Amendamentul |
|
(64) Pentru a se stabili dacă un operator oferă doar ocazional bunuri și servicii persoanelor vizate care își au reședința în Uniune, ar trebui să se analizeze dacă din ansamblul activităților desfășurate de către operator rezultă că oferirea de bunuri și servicii unor astfel de persoane vizate este auxiliară activităților principale respective. |
(64) Pentru a se stabili dacă un operator oferă doar ocazional bunuri și servicii persoanelor vizate din Uniune, ar trebui să se analizeze dacă din ansamblul activităților desfășurate de către operator rezultă că oferirea de bunuri și servicii unor astfel de persoane vizate este auxiliară activităților principale respective. |
Amendamentul 41 Propunere de regulament Considerentul 65 | |
|
Textul propus de Comisie |
Amendamentul |
|
(65) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să documenteze fiecare operațiune de prelucrare. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare respective. |
(65) Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să actualizeze documentația necesară pentru a respecta cerințele prevăzute de prezentul regulament. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul de a evalua respectarea prezentului regulament. Cu toate acestea, ar trebui să se acorde o atenție și o importanță egală bunelor practici și respectării obligațiilor, pe lângă cerința referitoare la o documentație completă. |
Amendamentul 42 Propunere de regulament Considerentul 66 | |
|
Textul propus de Comisie |
Amendamentul |
|
(66) În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, Comisia ar trebui să promoveze neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, cooperarea cu țările terțe. |
(66) În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, ar trebui promovate neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, ar trebui încurajată cooperarea cu țările terțe. |
Amendamentul 43 Propunere de regulament Considerentul 67 | |
|
Textul propus de Comisie |
Amendamentul |
|
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în termen de 24 de ore. În cazul în care termenul de 24 de ore nu este respectat, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și în termen de maxim 72 de ore. Dacă este cazul, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
Amendamentul 44 Propunere de regulament Considerentul 71 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(71a) Evaluările de impact reprezintă elementul central al oricărui cadru sustenabil de protecție a datelor, garantând faptul că întreprinderile înțeleg de la început toate consecințele posibile ale operațiunilor lor de prelucrare a datelor. Dacă evaluările impactului sunt riguroase, posibilitatea apariției unei încălcări a securității datelor sau a unor operațiuni de invadare a vieții private poate fi limitată în mod fundamental. Prin urmare, evaluările impactului asupra protecției datelor ar trebui să ia în considerare gestionarea întregului ciclu de viață a datelor cu caracter personal, de la colectare la prelucrare și ștergere și să descrie în detaliu operațiunile de prelucrare avute în vedere, riscurile prezentate pentru drepturile și libertățile persoanelor vizate, măsurile avute în vedere pentru abordarea riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure respectarea dispozițiilor prezentului regulament. |
Amendamentul 45 Propunere de regulament Considerentul 71 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(71b) Operatorii ar trebui să se concentreze pe protecția datelor cu caracter personal pe durata întregului ciclu de viață al datelor, de la culegere la prelucrare și eliminare, investind de la început într-un cadru de gestionare sustenabilă a datelor și instituind un mecanism cuprinzător de asigurare a conformității. |
Amendamentul 46 Propunere de regulament Considerentul 73 | |
|
Textul propus de Comisie |
Amendamentul |
|
(73) Evaluările impactului asupra protecției datelor ar trebui efectuate de către o autoritate publică sau un organism public în cazul în care o astfel de evaluare nu a fost deja realizată în contextul adoptării legislației naționale pe care se bazează îndeplinirea sarcinilor autorității publice sau ale organismului public și care reglementează anumite operațiuni sau serii de operațiuni de prelucrare în cauză. |
eliminat |
Amendamentul 47 Propunere de regulament Considerentul 74 | |
|
Textul propus de Comisie |
Amendamentul |
|
(74) În cazul în care o evaluare a impactului asupra protecției datelor arată că operațiunile de prelucrare implică un nivel ridicat al riscurilor specifice pentru drepturile și libertățile persoanelor vizate, cum ar fi privarea persoanelor fizice de un drept, sau prin utilizarea noilor tehnologii specifice, autoritatea de supraveghere ar trebui să fie consultată, înainte de începerea operațiunilor, cu privire la o prelucrare riscantă care ar putea să nu fie conformă cu prezentul regulament și pentru a face propuneri în vederea remedierii unei astfel de situații. Această consultare ar trebui, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare. |
(74) În cazul în care o evaluare a impactului asupra protecției datelor arată că operațiunile de prelucrare implică un nivel ridicat al riscurilor specifice pentru drepturile și libertățile persoanelor vizate, cum ar fi privarea persoanelor fizice de un drept, sau prin utilizarea noilor tehnologii specifice, responsabilul cu protecția datelor sau autoritatea de supraveghere ar trebui să fie consultată, înainte de începerea operațiunilor, cu privire la o prelucrare riscantă care ar putea să nu fie conformă cu prezentul regulament și pentru a face propuneri în vederea remedierii unei astfel de situații. O consultare a autorității de supraveghere ar trebui, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare. |
Amendamentul 48 Propunere de regulament Considerentul 74 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(74a) Evaluările de impact pot fi utile numai dacă operatorii își respectă angajamentele prevăzute inițial în acestea. Prin urmare, operatorii de date ar trebui să efectueze periodic evaluări ale conformității care să demonstreze că actualele mecanisme de prelucrare a datelor respectă garanțiile din evaluarea impactului asupra protecției datelor. Acestea ar trebui să demonstreze și capacitatea operatorului de date de a respecta alegerile libere ale persoanelor vizate. În plus, în cazul în care la evaluarea conformității se constată nereguli, acestea ar trebui evidențiate și ar trebui să se prezinte recomandări cu privire la modul în care se poate realiza o conformitate deplină. |
Amendamentul 49 Propunere de regulament Considerentul 75 | |
|
Textul propus de Comisie |
Amendamentul |
|
(75) În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea este efectuată de o întreprindere de mari dimensiuni sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Acești responsabilii cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent. |
(75) În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea privește mai mult de 5000 de persoane vizate în cursul a 12 luni sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare a unor date confidențiale sau operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Atunci când se stabilește dacă se prelucrează date referitoare la un număr mare de persoane vizate, nu ar trebui luate în considerare datele arhivate care sunt protejate pentru a nu face obiectul unor operațiuni normale de acces și de prelucrare și care nu mai pot fi modificate. Acești responsabili cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului și fie că îndeplinesc sau nu această sarcină cu normă întreagă, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent și beneficiază de o protecție specială împotriva concedierii. Responsabilitatea finală ar trebui să îi revină conducerii unei organizații. Responsabilul cu protecția datelor ar trebui să fie consultat în special înaintea conceperii, achiziționării, dezvoltării și instalării de sisteme pentru prelucrarea automată a datelor cu caracter personal, pentru a se garanta respectarea principiilor luării în considerare a vieții private începând cu momentul conceperii și al respectării implicite a vieții private. |
Amendamentul 50 Propunere de regulament Considerentul 75 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(75a) Responsabilul cu protecția datelor ar trebui să aibă cel puțin următoarele calificări: cunoștințe temeinice privind conținutul și punerea în aplicare a legislației privind protecția datelor, inclusiv privind măsurile și procedurile tehnice și organizatorice; cunoștințe solide privind cerințele tehnice referitoare la protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cunoștințe specifice sectorului în conformitate cu dimensiunea operatorului sau a persoanei împuternicite de operator și cu gradul de sensibilitate a datelor care trebuie prelucrate; capacitatea de a efectua inspecții, consultări, documentări și analize ale fișierelor-jurnal; și capacitatea de a lucra cu reprezentanți ai lucrătorilor. Operatorul ar trebui să permită responsabilului cu protecția datelor să participe la măsuri de formare avansată pentru a-și menține nivelul de cunoștințe specializate necesare pentru îndeplinirea sarcinilor sale. Desemnarea funcției de responsabil cu protecția datelor nu presupune în mod obligatoriu ocuparea cu normă întreagă a lucrătorului respective. |
Amendamentul 51 Propunere de regulament Considerentul 76 | |
|
Textul propus de Comisie |
Amendamentul |
|
(76) Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare. |
(76) Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate, după consultarea reprezentanților angajaților, să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare. Aceste coduri ar trebui să simplifice respectarea prezentului regulament de către întreprinderi. |
Amendamentul 52 Propunere de regulament Considerentul 77 | |
|
Textul propus de Comisie |
Amendamentul |
|
(77) Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci în materie de protecție a datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor aferent produselor și serviciilor relevante. |
(77) Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci standardizate în materie de protecție a datelor, care să permită persoanelor vizate să evalueze în mod rapid, fiabil și verificabil nivelul de protecție a datelor aferent produselor și serviciilor relevante. Un „sigiliu european privind protecția datelorˮ ar trebui să fie stabilit la nivel european pentru a crea un climat de încredere în rândul persoanelor vizate, certitudine juridică pentru operatori și, în același timp, pentru a exporta standardele europene în domeniul protecției datelor, permițând întreprinderilor din afara Europei să pătrundă mai ușor pe piețele europene prin obținerea certificării. |
Amendamentul 53 Propunere de regulament Considerentul 79 | |
|
Textul propus de Comisie |
Amendamentul |
|
(79) Prezentul regulament nu aduce atingere acordurilor internaționale încheiate între Uniune și țări terțe în vederea reglementării transferului de date cu caracter personal, inclusiv garanții corespunzătoare pentru persoanele vizate. |
(79) Prezentul regulament nu aduce atingere acordurilor internaționale încheiate între Uniune și țări terțe în vederea reglementării transferului de date cu caracter personal, inclusiv garanțiilor corespunzătoare pentru persoanele vizate, care asigură un nivel adecvat de protecție a drepturilor fundamentale ale cetățenilor. |
Amendamentul 54 Propunere de regulament Considerentul 80 | |
|
Textul propus de Comisie |
Amendamentul |
|
(80) Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară. |
(80) Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. De asemenea, Comisia poate să decidă, după trimiterea unei notificări și a unei justificări complete țării terțe, să anuleze o astfel de decizie. |
Amendamentul 55 Propunere de regulament Considerentul 82 | |
|
Textul propus de Comisie |
Amendamentul |
|
(82) Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie interzis. În acest caz, ar trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau organizații internaționale. |
(82) Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. Orice dispoziție legislativă care prevede accesul extrateritorial la datele cu caracter personal prelucrate pe teritoriul Uniunii, fără să existe o autorizare în conformitate cu dreptul Uniunii sau al unui stat membru, ar trebui să fie considerată drept o indicație a absenței unui nivel adecvat de protecție. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie interzis. În acest caz, ar trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau organizații internaționale. |
Amendamentul 56 Propunere de regulament Considerentul 83 | |
|
Textul propus de Comisie |
Amendamentul |
|
(83) În absența unei decizii privind caracterul adecvat al protecției, operatorul sau persoana împuternicită de către operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții corespunzătoare pentru persoana vizată. Astfel de garanții corespunzătoare pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecție a datelor adoptate de către Comisie, a clauzelor standard în materie de protecție a datelor adoptate de către o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere sau a altor măsuri adecvate și proporționale care sunt justificate având în vedere toate circumstanțele aferente unei operațiuni de transfer de date sau unui set de operațiuni de transfer de date și în cazurile autorizate de o autoritate de supraveghere. |
(83) În absența unei decizii privind caracterul adecvat al protecției, operatorul sau persoana împuternicită de către operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții corespunzătoare pentru persoana vizată. Astfel de garanții corespunzătoare pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecție a datelor adoptate de către Comisie, a clauzelor standard în materie de protecție a datelor adoptate de către o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanții corespunzătoare ar trebui să sprijine respectarea adecvată a drepturilor persoanei vizate în cadrul prelucrării în interiorul UE, în special a dreptului la limitarea scopului, a dreptului de acces, rectificare și ștergere, precum și a dreptului la compensații. Respectivele garanții ar trebui să asigure în special respectarea principiilor de prelucrare a datelor cu caracter personal, să protejeze drepturile persoanelor vizate și să ofere căi de atac efective, să asigure respectarea principiilor de protecție a datelor începând cu momentul conceperii, precum și de protecție implicită a datelor, să garanteze existența unui responsabil cu protecția datelor. |
Amendamentul 57 Propunere de regulament Considerentul 84 | |
|
Textul propus de Comisie |
Amendamentul |
|
(84) Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze, atât timp acestea cât nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către Comisie sau de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. |
(84) Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. Clauzele standard în materie de protecție a datelor adoptate de către Comisie ar putea acoperi situații diferite, și anume transferul de la operatori stabiliți pe teritoriul Uniunii Europene către operatori stabiliți în afara Uniunii Europene și de la operatori stabiliți pe teritoriul Uniunii Europene către persoane împuternicite de către operatori, inclusiv subcontractanți, stabiliți în afara Uniunii Europene. Operatorii și persoanele împuternicite de către operatori ar trebui să fie încurajați să ofere garanții și mai solide prin intermediul unor angajamente contractuale suplimentare care să completeze clauzele standard în materie de protecție. |
Amendamentul 58 Propunere de regulament Considerentul 85 | |
|
Textul propus de Comisie |
Amendamentul |
|
(85) Un grup corporatist ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaționale dinspre Uniune către organizații din cadrul aceluiași grup de întreprinderi, atâta timp cât astfel de reguli corporatiste includ principii esențiale și drepturi exercitabile în scopul asigurării unor garanții corespunzătoare pentru transferurile sau categoriile de transferuri de date cu caracter personal. |
(85) Un grup corporatist ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaționale dinspre Uniune către organizații din cadrul aceluiași grup de întreprinderi, atâta timp cât astfel de reguli corporatiste includ toate principiile esențiale și drepturi exercitabile în scopul asigurării unor garanții corespunzătoare pentru transferurile sau categoriile de transferuri de date cu caracter personal. |
Amendamentul 59 Propunere de regulament Considerentul 86 | |
|
Textul propus de Comisie |
Amendamentul |
|
(86) Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul, în care transferul este necesar în legătură cu un contract sau cu o acțiune în justiție, în care motive importante de interes public stabilite de dreptul Uniunii sau de legislația unui stat membru impun acest lucru sau în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor sau ansamblul categoriilor de date conținute în registru, iar atunci când registrul este destinat să fie consultat de către persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii. |
(86) Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul, în care transferul este necesar în legătură cu un contract sau cu o acțiune în justiție, în care motive importante de interes public stabilite de dreptul Uniunii sau de legislația unui stat membru impun acest lucru sau în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor sau ansamblul categoriilor de date conținute în registru, iar atunci când registrul este destinat să fie consultat de către persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele și drepturile fundamentale ale persoanei vizate. |
Amendamentul 60 Propunere de regulament Considerentul 87 | |
|
Textul propus de Comisie |
Amendamentul |
|
(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor. |
(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătate publică, sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor, inclusiv a prevenirii spălării banilor și combaterii finanțării terorismului. Transferul de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care acesta este necesar în scopul asigurării protecției unui interes esențial pentru viața persoanei vizate sau pentru viața unei alte persoane, dacă persoana vizată se află în incapacitatea de a-și da consimțământul. Transferul de date cu caracter personal pentru protecția unor astfel de motive importante de interes public ar trebui să fie utilizate doar ocazional. În fiecare caz ar trebui să se efectueze o evaluare atentă a tuturor circumstanțelor transferului. |
Amendamentul 61 Propunere de regulament Considerentul 88 | |
|
Textul propus de Comisie |
Amendamentul |
|
(88) Transferurile care nu pot fi considerate ca fiind frecvente sau masive, ar putea, de asemenea, să fie efectuate în scopul realizării intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, după ce aceștia au evaluat toate circumstanțele aferente transferului de date. Pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică, ar trebui să se ia în considerare așteptările legitime ale societății cu privire la creșterea nivelului de cunoștințe. |
Pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică, ar trebui să se ia în considerare așteptările legitime ale societății cu privire la creșterea nivelului de cunoștințe. |
Amendamentul 62 Propunere de regulament Considerentul 89 | |
|
Textul propus de Comisie |
Amendamentul |
|
(89) În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor într-o țară terță, operatorul sau persoana împuternicită de către operator ar trebui să utilizeze soluții care să ofere persoanelor vizate garanția că vor continua să beneficieze de drepturi fundamentale și garanții în ceea ce privește prelucrarea datelor lor în Uniune, odată ce aceste date au fost transferate. |
(89) În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor într-o țară terță, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluții care să ofere persoanelor vizate garanția obligatorie din punct de vedere juridic că vor continua să beneficieze de drepturi fundamentale și garanții în ceea ce privește prelucrarea datelor lor în Uniune, odată ce aceste date au fost transferate, în măsura în care prelucrarea nu are un caracter masiv, repetitiv și structural. Garanția ar trebui să includă despăgubiri financiare în cazul pierderii datelor sau al accesului sau prelucrării neautorizate a acestora, precum și obligația, indiferent de legislația națională, de a furniza informații detaliate și complete cu privire la toate accesele la date de către autoritățile publice din țara terță.
|
Amendamentul 63 Propunere de regulament Considerentul 90 | |
|
Textul propus de Comisie |
Amendamentul |
|
(90) Unele țări terțe au adoptat legi, regulamente și alte instrumente legislative care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor persoanelor fizice și juridice aflate sub jurisdicția statelor membre. Aplicarea extrateritorială a acestor legi, regulamente și alte instrumente legislative poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice garantată în Uniune prin prezentul regulament. . Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în legislația unui stat membru care se aplică operatorului. Condițiile în care există un motiv important de interes public ar trebui precizate pe larg de către Comisie într-un act delegat. |
(90) Unele țări terțe au adoptat legi, regulamente și alte instrumente legislative care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor persoanelor fizice și juridice aflate sub jurisdicția statelor membre. Aplicarea extrateritorială a acestor legi, regulamente și alte instrumente legislative poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice garantată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în legislația unui stat membru care se aplică operatorului. Condițiile în care există un motiv important de interes public ar trebui precizate pe larg de către Comisie într-un act delegat. În cazurile în care operatorii și persoanele împuternicite de către operatori se confruntă cu un conflict de competență între Uniune, pe de o parte, și o țară terță, pe de altă parte, în ceea ce privește cerințele de conformitate, Comisia ar trebui să se asigure că dreptul Uniunii prevalează în toate situațiile. Comisia ar trebui să ofere îndrumare și asistență operatorului și persoanei împuternicite de către operator și ar trebui să încerce să soluționeze conflictul de competență cu țara terță în cauză. |
Amendamentul 64 Propunere de regulament Considerentul 92 | |
|
Textul propus de Comisie |
Amendamentul |
|
(92) Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Statele membre pot institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. |
(92) Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Statele membre pot institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. O astfel de autoritate dispune de resurse financiare și de personal adecvate pentru a-și îndeplini pe deplin rolul, ținând seama de mărimea populației și de volumul de prelucrare a datelor cu caracter personal. |
Amendamentul 65 Propunere de regulament Considerentul 94 | |
|
Textul propus de Comisie |
Amendamentul |
|
(94) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, de localuri și de infrastructura necesară pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. |
(94) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, asigurându-se în special că personalul dispune de competențe tehnice și juridice adecvate, de localuri și de infrastructuri necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. |
Amendamentul 66 Propunere de regulament Considerentul 95 | |
|
Textul propus de Comisie |
Amendamentul |
|
(95) Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru și să includă dispoziții privind calificarea personală și funcția membrilor respectivi. |
(95) Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru, acordându-se atenția cuvenită minimizării posibilității de interferență politică, și să includă dispoziții privind calificarea personală, prevenirea conflictelor de interese și funcția membrilor respectivi. |
Amendamentul 67 Propunere de regulament Considerentul 97 | |
|
Textul propus de Comisie |
Amendamentul |
|
(97) În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile operatorului sau ale persoanei împuternicite de către operator în întreaga Uniune și de a adopta deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de către operatori. |
(97) În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să dețină rolul de ghișeu unic și autoritate principală responsabilă de supravegherea operatorului sau a persoanei împuternicite de către operator în întreaga Uniune și să adopte deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de operatori. |
Amendamentul 68 Propunere de regulament Considerentul 98 | |
|
Textul propus de Comisie |
Amendamentul |
|
(98) Autoritatea competentă, care furnizează un astfel de ghișeu unic, ar trebui să fie autoritatea de supraveghere a statului membru în care operatorul sau persoana împuternicită de către operator își are sediul principal. |
(98) Autoritatea principală, care furnizează un astfel de ghișeu unic, ar trebui să fie autoritatea de supraveghere a statului membru în care operatorul sau persoana împuternicită de către operator își are sediul principal sau reprezentantul său. Comitetul european pentru protecția datelor poate, în anumite cazuri, desemna autoritatea principală prin intermediul mecanismului pentru asigurarea coerenței, la cererea unei autorități competente. |
Amendamentul 69 Propunere de regulament Considerentul 98 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(98a) Persoanele vizate ale căror date cu caracter personal sunt prelucrate de un operator de date sau de o persoană împuternicită de către operator într-un alt stat membru ar trebui să aibă posibilitatea de a adresa o plângere autorității de supraveghere la alegerea lor. Autoritatea principală de protecție a datelor ar trebui să-și coordoneze activitatea cu cea a celorlalte autorități implicate. |
Amendamentul 70 Propunere de regulament Considerentul 101 | |
|
Textul propus de Comisie |
Amendamentul |
|
(101) Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate. |
(101) Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată sau asociație care acționează în interesul public și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată sau asociația cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate. |
Amendamentul 71 Propunere de regulament Considerentul 105 | |
|
Textul propus de Comisie |
Amendamentul |
|
(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. |
(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. În plus, persoanele vizate ar trebui să aibă dreptul de a solicita coerență în cazul în care consideră că o măsură luată de autoritatea de protecție a datelor a unui stat membru nu îndeplinește acest criteriu. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. |
Amendamentul 72 Propunere de regulament Considerentul 106 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(106a) Pentru a asigura punerea în aplicare coerentă a prezentului regulament, Comitetul european pentru protecția datelor poate adopta, în cazuri specifice, o măsură obligatorie pentru autoritatea de supraveghere competentă. |
Amendamentul 73 Propunere de regulament Considerentul 107 | |
|
Textul propus de Comisie |
Amendamentul |
|
(107) Pentru a se asigura conformitatea cu prezentul regulament, Comisia poate adopta un aviz privind aspectul respectiv sau o decizie, prin care să se solicite autorității de supraveghere suspendarea proiectului său de măsură. |
eliminat |
Amendamentul 74 Propunere de regulament Considerentul 110 | |
|
Textul propus de Comisie |
Amendamentul |
|
(110) La nivelul Uniunii, ar trebui să se înființeze Comitetul european pentru protecția datelor. Acesta ar trebui să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie format din șefii autorității de supraveghere a fiecărui stat membru și din șeful Autorității Europene pentru Protecția Datelor. Comisia ar trebui să participe la activitățile sale. Comitetul european pentru protecția datelor ar trebui să contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consultanță Comisiei și prin promovarea cooperării autorităților de supraveghere în întreaga Uniune. Comitetul european pentru protecția datelor ar trebui să acționeze în mod independent în exercitarea sarcinilor sale. |
(110) La nivelul Uniunii, ar trebui să se înființeze Comitetul european pentru protecția datelor. Acesta ar trebui să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie format din șefii autorității de supraveghere a fiecărui stat membru și din șeful Autorității Europene pentru Protecția Datelor. Comitetul european pentru protecția datelor ar trebui să contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consultanță instituțiilor Uniunii Europene și prin promovarea cooperării autorităților de supraveghere în întreaga Uniune, inclusiv a coordonării operațiunilor comune. Comitetul european pentru protecția datelor ar trebui să acționeze în mod independent în exercitarea sarcinilor sale. Comitetul european pentru protecția datelor ar trebui să consolideze dialogul cu părțile interesate, precum asociațiile persoanelor vizate, organizațiile consumatorilor, operatorii de date și alte părți interesate relevante și experți. |
Amendamentul 75 Propunere de regulament Considerentul 111 | |
|
Textul propus de Comisie |
Amendamentul |
|
(111) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. |
(111) Persoanele vizate ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac efectivă în conformitate cu articolul 47 din Carta drepturilor fundamentale, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. |
Amendamentul 76 Propunere de regulament Considerentul 112 | |
|
Textul propus de Comisie |
Amendamentul |
|
(112) Orice organism, organizație sau asociație care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora și este constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere sau să exercite dreptul la o cale de atac în numele persoanelor vizate sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal. |
(112) Orice organism, organizație sau asociație care acționează în interesul public și este constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în numele persoanelor vizate, cu acordul acestora, sau să exercite dreptul la o cale de atac dacă sunt împuternicite de către persoana vizată sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a prezentului regulament.
|
Amendamentul 77 Propunere de regulament Considerentul 114 | |
|
Textul propus de Comisie |
Amendamentul |
|
(114) Pentru a se consolida protecția judiciară a persoanelor vizate în situațiile în care autoritatea de supraveghere competentă este stabilită în alt stat membru decât cel în care persoana vizată își are reședința, persoana vizată poate solicita oricărui organism, oricărei organizații sau oricărei asociații care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora să introducă o acțiune în numele său împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. |
(114) Pentru a se consolida protecția judiciară a persoanelor vizate în situațiile în care autoritatea de supraveghere competentă este stabilită în alt stat membru decât cel în care persoana vizată își are reședința, persoana vizată poate împuternici orice organism, organizație sau asociație care acționează în interesul public să introducă o acțiune în numele său împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. |
Amendamentul 78 Propunere de regulament Considerentul 115 | |
|
Textul propus de Comisie |
Amendamentul |
|
(115) În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii. |
(115) În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Acest lucru nu se aplică persoanelor care nu au reședința pe teritoriul UE. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii. |
Amendamentul 79 Propunere de regulament Considerentul 116 | |
|
Textul propus de Comisie |
Amendamentul |
|
(116) În ceea ce privește acțiunile inițiate împotriva unui operator sau unei persoane împuternicite de către operator, reclamantul ar trebui să aibă posibilitatea de a introduce acțiunea în fața instanțelor din statele membre în care operatorul sau persoana împuternicită de către operator are un sediu sau în care persoana vizată își are reședința, cu excepția cazului în care operatorul este o autoritate publică care acționează în exercitarea competențelor sale publice. |
(116) În ceea ce privește acțiunile inițiate împotriva unui operator sau unei persoane împuternicite de către operator, reclamantul ar trebui să aibă posibilitatea de a introduce acțiunea în fața instanțelor din statele membre în care operatorul sau persoana împuternicită de către operator are un sediu sau, în cazul în care persoana vizată dispune de o reședință pe teritoriul UE, în statul membru în care își are reședința, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice. |
Amendamentul 80 Propunere de regulament Considerentul 118 | |
|
Textul propus de Comisie |
Amendamentul |
|
(118) Orice daună pe care o persoană o poate suferi din cauza unei prelucrări ilegale ar trebui să fie compensată de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. |
(118) Orice daună, patrimonială sau nepatrimonială, pe care o persoană o poate suferi ca urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere doar dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. |
Amendamentul 81 Propunere de regulament Considerentul 119 | |
|
Textul propus de Comisie |
Amendamentul |
|
(119) Ar trebui impuse sancțiuni oricărei persoane, de drept privat sau public, care nu respectă prezentul regulament. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor. |
(119) Ar trebui impuse sancțiuni oricărei persoane, de drept privat sau public, care nu respectă prezentul regulament. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor. Normele privind sancțiunile ar trebui să facă obiectul unor garanții procedurale adecvate în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale, inclusiv cele referitoare la dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem. |
Amendamentul 82 Propunere de regulament Considerentul 119 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(119a) La aplicarea sancțiunilor, statele membre ar trebui să dovedească respectarea deplină a garanțiilor procedurale adecvate, inclusiv dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem. |
Amendamentul 83 Propunere de regulament Considerentul 121 | |
|
Textul propus de Comisie |
Amendamentul |
|
(121) Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice, artistice sau literare ar trebui să îndeplinească criteriile pentru aplicarea unor derogări de la cerințele anumitor dispoziții din prezentul regulament, în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta drepturilor fundamentale a Uniunii Europene. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal din domeniul audiovizualului, precum și din arhivele de știri și din bibliotecile de ziare. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Astfel de excepții și derogări ar trebui să fie adoptate de statele membre în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, precum și cooperarea și coerența. Acest lucru nu trebuie totuși să determine statele membre să stabilească derogări de la celelalte dispoziții ale prezentului regulament. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg. Prin urmare, în scopul excepțiilor și derogărilor care urmează să fie stabilite în prezentul regulament, statele membre ar trebui să clasifice drept „jurnalistice” activitățile al căror scop este de a comunica publicului informații, opinii și idei, indiferent de suportul utilizat pentru transmiterea acestora. Aceste activități nu ar trebui să se limiteze la cele desfășurate de societăți de media și pot include activități cu sau fără scop lucrativ. |
(121) Ori de câte ori este necesar, excepțiile sau derogările de la cerințele anumitor dispoziții din prezentul regulament ar trebui să acordate în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta drepturilor fundamentale a Uniunii Europene. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Astfel de excepții și derogări ar trebui să fie adoptate de statele membre în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, cooperarea și coerența și situațiile specifice de prelucrare a datelor. Acest lucru nu trebuie totuși să determine statele membre să stabilească derogări de la celelalte dispoziții ale prezentului regulament. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate ă acopere în sens larg toate activitățile al căror scop este de a comunica publicului informații, opinii și idei, indiferent de suportul utilizat pentru transmiterea acestora, ținând seama, de asemenea, de dezvoltarea tehnologică. Aceste activități nu ar trebui să se limiteze la cele desfășurate de societăți de media și pot include activități cu sau fără scop lucrativ. |
Amendamentul 84 Propunere de regulament Considerentul 122 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(122a) Un profesionist care prelucrează date cu caracter personal ar trebui să primească, în măsura în care acest lucru este posibil, date anonimizate sau prezentate sub pseudonim, astfel încât identitatea să nu fie cunoscută decât de către medicul generalist sau specialist care a solicitat prelucrarea datelor. |
Amendamentul 85 Propunere de regulament Considerentul 123 | |
|
Textul propus de Comisie |
Amendamentul |
|
(123) Prelucrarea datelor cu caracter personal privind sănătatea poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă, adică toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor cu caracter personal privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părți terțe, cum ar fi angajatorii, societățile de asigurări și băncile. |
(123) Prelucrarea datelor cu caracter personal privind sănătatea poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului1, adică toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. |
|
|
1 Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă (JO L 354, 31.12.2008, p. 70) |
Amendamentul 86 Propunere de regulament Considerentul 123 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(123a) Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date, poate fi necesară în scopuri de cercetare istorică, statistică sau științifică. De aceea, prezentul regulament prevede o derogare de la această cerință în cazul în care cercetarea servește unui interes public ridicat |
Amendamentul 87 Propunere de regulament Considerentul 124 | |
|
Textul propus de Comisie |
Amendamentul |
|
(124) Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă. Prin urmare, pentru a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă, statele membre ar trebui să aibă posibilitatea, în limitele stabilite de prezentul regulament, de a adopta pe cale legislativă norme specifice de prelucrare a datelor cu caracter personal în sectorul ocupării forței de muncă. |
(124) Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă și al securității sociale. Statele membre ar trebui să aibă posibilitatea de a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă și al securității sociale, în conformitate cu normele și standardele minime stabilite prin prezentul regulament. În măsura în care în statul membru respectiv există un temei juridic pentru reglementarea aspectelor legate de ocuparea forței de muncă printr-un acord între reprezentanții angajaților și conducerea întreprinderii sau a întreprinderii care exercită controlul asupra unui grup de întreprinderi (acord colectiv) sau în conformitate cu Directiva 2009/38/CE a Parlamentului European și a Consiliului1, prelucrarea datelor cu caracter personal în contextul ocupării forței de muncă ar trebui să poată fi reglementată și printr-un astfel de acord. |
|
|
1Directiva 2009/38/CE a Parlamentului European și a Consiliului din 6 mai 2009 privind instituirea unui comitet european de întreprindere sau a unei proceduri de informare și consultare a lucrătorilor în întreprinderile și grupurile de întreprinderi de dimensiune comunitară (JO L 122, 16.5.2009, p. 28). |
Amendamentul 88 Propunere de regulament Considerentul 125 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(125a) Datele cu caracter personal pot fi, de asemenea, prelucrate ulterior de servicii de arhivare a căror sarcină principală sau obligatorie este colectarea, conservarea, oferirea de informații cu privire la acestea, exploatarea și diseminarea arhivelor în interes public. Legislația statelor membre ar trebui să reconcilieze dreptul la protecția datelor cu caracter personal cu normele privind arhivele și accesul public la informații administrative. Statele membre ar trebui să încurajeze elaborarea, în special de către Grupul European de arhive, a unor norme care să garanteze confidențialitatea datelor față de părți terțe, precum și autenticitatea, integritatea și păstrarea corectă a datelor. |
Amendamentul 89 Propunere de regulament Considerentul 126 | |
|
Textul propus de Comisie |
Amendamentul |
|
(126) În sensul prezentului regulament, cercetarea științifică ar trebui să includă cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată din surse private și ar trebui, în plus, să ia în considerare obiectivul Uniunii de creare a unui spațiu european de cercetare, astfel cum este menționat la articolul 179 alineatul (1) din Tratatul privind funcționarea Uniunii Europene. |
(126) În sensul prezentului regulament, cercetarea științifică ar trebui să includă cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată din surse private și ar trebui, în plus, să ia în considerare obiectivul Uniunii de creare a unui spațiu european de cercetare, astfel cum este menționat la articolul 179 alineatul (1) din Tratatul privind funcționarea Uniunii Europene. Prelucrarea datelor cu caracter personal în scopuri de cercetare istorică, statistică sau științifică nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazurilor în care există consimțământul persoanei vizate sau a celor întemeiate pe dreptul Uniunii sau legislația statelor membre. |
Amendamentul 90 Propunere de regulament Considerentul 128 | |
|
Textul propus de Comisie |
Amendamentul |
|
(128) Conform articolului 17 din Tratatul privind funcționarea Uniunii Europene, prezentul regulament respectă și nu aduce atingere statutului de care beneficiază, în temeiul dreptului național, bisericile și asociațiile sau comunitățile religioase din statele membre. Prin urmare, atunci când o biserică dintr-un stat membru aplică, la data intrării în vigoare a prezentului regulament, norme cuprinzătoare de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, aceste norme existente ar trebui să se aplice în continuare, în măsura în care se asigură conformitatea lor cu prezentul regulament. Ar trebui să se solicite acestor biserici și asociații religioase să prevadă instituirea unei autorități de supraveghere complet independente. |
(128) Conform articolului 17 din Tratatul privind funcționarea Uniunii Europene, prezentul regulament respectă și nu aduce atingere statutului de care beneficiază, în temeiul dreptului național, bisericile și asociațiile sau comunitățile religioase din statele membre. Prin urmare, atunci când o biserică dintr-un stat membru aplică, la data intrării în vigoare a prezentului regulament, norme adecvate de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, aceste norme existente ar trebui să se aplice în continuare, în măsura în care se asigură conformitatea lor cu prezentul regulament și sunt recunoscute ca fiind conforme. |
Amendamentul 91 Propunere de regulament Considerentul 129 | |
|
Textul propus de Comisie |
Amendamentul |
|
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; specificarea criteriilor și a condițiilor aplicabile cererilor în mod vădit excesive și taxelor pentru exercitarea drepturilor persoanelor vizate; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului și protecția datelor începând cu momentul conceperii și protecția implicită a datelor; persoana împuternicită de operator; criteriile și cerințele privind documentația și securitatea prelucrării; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; codurile de conduită; criteriile și cerințele privind mecanismele de certificare; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; sancțiunile administrative; prelucrarea în scopuri medicale; prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu. |
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; dreptul la ștergere; declararea că codurile de conduită sunt conforme cu regulamentul; criteriile și cerințele privind mecanismele de certificare; nivelul adecvat de protecție acordat de o țară terță sau de o organizație internațională; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; sancțiunile administrative; prelucrarea în scopuri medicale și prelucrarea în contextul ocupării forței de muncă. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți și, în special, cu Comitetul european pentru protecția datelor. Atunci când pregătește și elaborează acte delegate, Comisia ar trebui să asigure transmiterea simultană, la timp și adecvată a documentelor relevante către Parlamentul European și Consiliu.
|
Amendamentul 92 Propunere de regulament Considerentul 130 | |
|
Textul propus de Comisie |
Amendamentul |
|
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate pentru metodele specifice de obținere a consimțământului verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor lor; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces, inclusiv comunicarea datelor cu caracter personal persoanei vizate; formulare tip în materie de documentare, care să fie păstrate de operator și de persoana împuternicită de către operator; formularul tip pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru documentarea unei încălcări a securității datelor cu caracter personal; formele de autorizare prealabilă și informare a autorității de supraveghere. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului1. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
|
|
1Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii. |
Amendamentul 93 Propunere de regulament Considerentul 131 | |
|
Textul propus de Comisie |
Amendamentul |
|
(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea consimțământului unui minor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat fiind că aceste acte au un domeniu de aplicare general. |
(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip . formulare tip legate pentru metodele specific de obținere a consimțământului verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor lor; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces, inclusiv comunicarea datelor cu caracter personal persoanei vizate; formulare tip în materie de documentare care să fie păstrate de operator și de persoana împuternicită de către operator; formularul tip pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru documentarea unei încălcări a securității datelor cu caracter personal; forme de autorizare prealabilă și informare a autorității de supraveghere, dar fiind că aceste acte au un domeniu de aplicare general. |
Amendamentul 94 Propunere de regulament Considerentul 132 | |
|
Textul propus de Comisie |
Amendamentul |
|
(132) Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgență, în cazuri justificate în mod corespunzător referitoare la o țară terță, un teritoriu sau un sector de prelucrare din țara terță respectivă sau o organizație internațională care nu asigură un nivel de protecție adecvat și referitoare la aspectele comunicate de către autoritățile de supraveghere în cadrul mecanismului pentru asigurarea coerenței. |
eliminat |
Amendamentul95 Propunere de regulament Considerentul 134 | |
|
Textul propus de Comisie |
Amendamentul |
|
(134) Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Cu toate acestea, deciziile Comisiei care au fost adoptate și autorizațiile care au fost emise de autoritățile de supraveghere pe baza Directivei 95/46/CE ar trebui să rămână în vigoare. |
(134) Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Cu toate acestea, deciziile Comisiei care au fost adoptate și autorizațiile care au fost emise de autoritățile de supraveghere pe baza Directivei 95/46/CE ar trebui să rămână în vigoare. Deciziile adoptate de Comisie și autorizațiile acordate de autoritățile de supraveghere referitoare la transferul de date cu caracter personal către țări terțe în conformitate cu articolul 41 alineatul (8) ar trebui să rămână în vigoare pe o perioadă de tranziție de cinci ani după intrarea în vigoare a prezentului regulament, în cazul în care nu sunt modificate, înlocuite sau abrogate de către Comisie înainte de încheierea acestei perioade. |
Amendamentul 96 Propunere de regulament Articolul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
Domeniul material de aplicare |
Domeniul material de aplicare |
|
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor. |
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, indiferent de metoda de prelucrare, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor. |
|
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal: |
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal: |
|
(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii, în ceea ce privește, mai ales, securitatea națională; |
(a) în cadrul unei activități care nu intră sub incidența dreptului Uniunii; |
|
(b) de către instituțiile, organele, oficiile și agențiile Uniunii; |
|
|
(c) de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 din Tratatul privind Uniunea Europeană; |
(c) de către statele membre atunci când desfășoară activități care intră sub incidența titlului V capitolul 2 din Tratatul privind Uniunea Europeană; |
|
(d) de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice; |
(d) efectuate de către o persoană fizică în cadrul activităților sale exclusiv personale sau domestice. Această derogare se aplică și publicării de date cu caracter personal atunci când se poate estima în mod rezonabil că doar un număr limitat de persoane va avea acces la aceste date.
|
|
(e) de către autoritățile competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale. |
(e) de către autoritățile publice competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale. |
|
(3) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată. |
(3) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată. |
Amendamentul 97 Propunere de regulament Articolul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
Domeniul teritorial de aplicare |
Domeniul teritorial de aplicare |
|
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii. |
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. |
|
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care își au reședința în Uniune de către un operator care nu este stabilit în Uniune, atunci când activitățile de prelucrare sunt legate de: |
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate din Uniune de către un operator sau persoana împuternicită de către operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: |
|
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune sau |
(a) oferirea de bunuri sau servicii, indiferent dacă se solicită o plată de către persoana în cauză, unor astfel de persoane vizate în Uniune sau |
|
(b) urmărirea comportamentului acestora. |
(b) monitorizarea persoanelor vizate. |
|
(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public. |
(3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public. |
Amendamentul 98 Propunere de regulament Articolul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
Definiții |
Definiții |
|
În sensul prezentului regulament: |
În sensul prezentului regulament: |
|
(1) „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective; |
|
|
(2) „date cu caracter personal” înseamnă orice informație privind o persoană vizată; |
(2) „date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă („persoană vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator unic, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale, sociale sau de gen; |
|
|
(2a) „date protejate printr-un pseudonim” înseamnă date cu caracter personal care nu mai pot fi atribuite unei persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze că nu va avea loc o astfel de atribuire; |
|
|
(2b) „date criptate” înseamnă date cu caracter personal care, prin intermediul unor măsuri tehnologice de protecție, devin neinteligibile pentru persoanele care nu sunt autorizate să le acceseze; |
|
(3) „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, ștergerea sau distrugerea; |
(3) „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, ștergerea sau distrugerea; |
|
|
(3a) „crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea anumitor aspecte personale legate de o persoană fizică sau efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice respective la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia; |
|
(4) „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice; |
(4) „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice; |
|
(5) „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
(5) „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
|
(6) „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului; |
(6) „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului; |
|
(7) „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal; |
(7) „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal; |
|
|
(7a) „terț” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de acesta, sunt autorizate să prelucreze date; |
|
(8) „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate; |
(8) „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate; |
|
(9) „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod; |
(9) „încălcarea securității datelor cu caracter personal” înseamnă distrugerea în mod accidental sau ilegal, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate sub o altă formă; |
|
(10) „date genetice” înseamnă toate datele, indiferent de tipul acestora, referitoare la caracteristicile unei persoane, care sunt moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală; |
(10) „date genetice” înseamnă toate datele cu caracter personal referitoare la caracteristicile genetice ale unei persoane, care au fost moștenite sau dobândite astfel cum rezultă în urma unei analize a unei mostre de material biologic al persoanei în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații echivalente; |
|
(11) „date biometrice” înseamnă orice date referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice; |
(11) „date biometrice” înseamnă orice date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice; |
|
(12) „date privind sănătatea” înseamnă orice informații legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective; |
(12) „date privind sănătatea” înseamnă orice date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective; |
|
(13) „sediu principal” înseamnă, în ceea ce privește operatorul, locul de stabilire al acestuia pe teritoriul Uniunii, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul în care se desfășoară principalele activități de prelucrare în cadrul activităților unui sediu al unui operator din Uniune. În ceea ce privește persoana împuternicită de operator, „sediu principal” înseamnă locul administrației sale centrale din Uniune; |
(13) „sediu principal” înseamnă locul de stabilire al întreprinderii sau grupului de întreprinderi pe teritoriul Uniunii, indiferent dacă au calitatea de operator sau de persoană împuternicită de operator, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal. Următoarele criterii obiective pot fi luate în considerare, printre altele: locul sediului central al operatorului sau al persoanei împuternicite de operator; locul în care se află entitatea din cadrul grupului de întreprinderi care este cea mai în măsură, din perspectiva funcțiilor de conducere și a responsabilităților administrative, să se ocupe de normele stabilite în prezentul regulament și să le execute; locul în care sunt exercitate în mod efectiv reale activități de gestionare prin care se stabilește prelucrarea datelor în cadrul unor înțelegeri stabile; |
|
(14) „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care acționează și poate fi contactată în locul operatorului de către orice autoritate de supraveghere și alte organisme din Uniune, în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament; |
(14) „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care reprezintă operatorul în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament; |
|
(15) „întreprindere” înseamnă orice entitate care desfășoară o activitate economică, indiferent de forma juridică a acesteia, cuprinzând, în special, persoane fizice și juridice, parteneriate sau asociații care desfășoară în mod regulat o activitate economică; |
(15) „întreprindere” înseamnă orice entitate care desfășoară o activitate economică, indiferent de forma juridică a acesteia, cuprinzând, în special, persoane fizice și juridice, parteneriate sau asociații care desfășoară în mod regulat o activitate economică; |
|
(16) „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta; |
(16) „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta; |
|
(17) „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de către un operator sau o persoană împuternicită de operator stabilită pe teritoriul unui stat membru al Uniunii, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită în una sau mai multe țări terțe în cadrul unui grup de întreprinderi; |
(17) „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de către un operator sau o persoană împuternicită de operator stabilită pe teritoriul unui stat membru al Uniunii, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită în una sau mai multe țări terțe în cadrul unui grup de întreprinderi; |
|
(18) „minor” înseamnă orice persoană cu vârsta sub 18 ani; |
(18) „minor” înseamnă orice persoană cu vârsta sub 18 ani; |
|
(19) „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 46. |
(19) „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 46. |
Amendamentul 99 Propunere de regulament Articolul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
Principii legate de prelucrarea datelor cu caracter personal |
Principii legate de prelucrarea datelor cu caracter personal |
|
(1) Datele cu caracter personal trebuie: |
(1) Este necesar ca datele cu caracter personal: |
|
(a) să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată; |
(a) prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență); |
|
(b) să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; |
(b) colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri (limitarea scopului); |
|
(c) să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal; |
(c) să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal (reducerea la minimum a datelor); |
|
(d) să fie exacte și actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere; |
(d) să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (exactitate); |
|
(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică, în conformitate cu normele și condițiile prevăzute la articolul 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea; |
(e) să fie păstrate într-o formă care permite identificarea directă sau indirectă a persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică sau pentru a fi arhivate, în conformitate cu normele și condițiile prevăzute la articolul 83 și la articolul 83a, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea și dacă se iau măsuri tehnice și organizatorice adecvate în vederea limitării accesului la date exclusiv în aceste scopuri (limitarea la minimum a stocării); |
|
|
(ea) prelucrate într-o manieră care îi permite persoanei vizate să își exercite drepturile într-un mod eficient (eficacitate). |
|
|
(eb) prelucrate într-un mod care le protejează împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (integritate); |
|
(f) să fie prelucrate sub răspunderea operatorului, care asigură și demonstrează conformitatea fiecărei operațiuni de prelucrare cu dispozițiile prezentului regulament. |
(f) să fie prelucrate sub răspunderea operatorului, care asigură și poate demonstra conformitatea cu dispozițiile prezentului regulament (responsabilitatea). |
Amendamentul 100 Propunere de regulament Articolul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
Legalitatea prelucrării |
Legalitatea prelucrării |
|
(1) Prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții: |
(1) Prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții: |
|
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; |
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; |
|
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate; |
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate; |
|
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; |
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; |
|
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate; |
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate; |
|
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; |
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; |
|
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau, în cazul divulgării de un terț căruia îi sunt divulgate datele, și care satisface așteptările legitime ale persoanei vizate bazate pe relația sa cu operatorul, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
|
(2) Prelucrarea datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83. |
(2) Prelucrarea datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83. |
|
(3) Temeiul juridic pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în: |
(3) Temeiul juridic pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în: |
|
(a) dreptul Uniunii sau |
(a) dreptul Uniunii sau |
|
(b) legislația statului membru care se aplică operatorului. |
(b) legislația statului membru care se aplică operatorului. |
|
Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit. |
Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit. În limitele prezentului regulament, legislația statului membru poate prevede detaliile referitoare la legalitatea prelucrării, în special în ceea ce privește operatorii de date, scopul prelucrării și limitarea acestui scop, caracteristicile datelor și ale persoanelor vizate, măsurile și procedurile de prelucrare, destinatarii și durata stocării. |
|
(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (e). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract. |
|
|
(5) Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor. |
|
Amendamentul 101 Propunere de regulament Articolul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
Condiții privind consimțământul |
Condiții privind consimțământul |
|
(1) Operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate. |
(1) Când prelucrarea se bazează pe consimțământ, operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate. |
|
(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază de celălalt aspect. |
(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază clar de celălalt aspect. Dispozițiile privind consimțământul persoanei vizate care încalcă parțial prezentul regulament sunt complet nule. |
|
(3) Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. |
(3) Fără a aduce atingere altor temeiuri juridice pentru prelucrare, persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Retragerea consimțământului se face la fel de simplu ca și acordarea acestuia. Persoana vizată este informată de operator dacă retragerea consimțământului poate duce la întreruperea serviciilor furnizate sau a relației cu operatorul. |
|
(4) Consimțământul nu reprezintă un temei juridic pentru prelucrare atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului. |
(4) Consimțământul are un scop limitat și își pierde valabilitatea atunci când scopul încetează să existe sau de îndată ce prelucrarea datelor cu caracter personal nu mai este necesară pentru realizarea scopurilor pentru care datele au fost inițial colectate. Executarea unui contract sau prestarea unui serviciu nu sunt condiționate de consimțământul cu privire la prelucrarea sau utilizarea datelor care nu sunt necesare pentru executarea contractului sau pentru prestarea serviciului, în conformitate cu articolul 6 alineatul (1) litera (b). |
Amendamentul 102 Propunere de regulament Articolul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
Prelucrarea datelor cu caracter personal ale minorilor |
Prelucrarea datelor cu caracter personal ale minorilor |
|
(1) În sensul prezentului regulament, în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de tutorele minorului. Operatorul depune toate eforturile rezonabile pentru a obține consimțământul verificabil, ținând seama de tehnologiile disponibile. |
(1) În sensul prezentului regulament, în ceea ce privește oferirea de bunuri sau servicii în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de reprezentantul legal al minorului. Operatorul depune toate eforturile rezonabile pentru verifica consimțământul, ținând seama de tehnologiile disponibile, fără a genera prelucrarea inutilă a datelor cu caracter personal. |
|
|
(1a) Informațiile prezentate minorilor, părinților și reprezentanților legali pentru ca aceștia să-și exprime consimțământul, inclusiv referitoare la colectarea și utilizarea de date cu caracter personal ale operatorului, ar trebui prezentate într-un limbaj clar, adaptat publicului vizat. |
|
(2) Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un minor. |
(2) Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un minor. |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor referitoare la metodele de a obține consimțământul verificabil menționate la alineatul (1). În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
(3) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și cele mai bune practici referitoare la metodele de verificare a consimțământului menționate la alineatul (1), în conformitate cu articolul 66. |
|
(4) Comisia poate să stabilească formulare tip pentru metodele specifice de obținere a consimțământului verificabil menționat la alineatul (1). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 103 Propunere de regulament Articolul 9 | |
|
Textul propus de Comisie |
Amendamentul |
|
Prelucrarea categoriilor speciale de date cu caracter personal |
Categorii speciale de date |
|
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. |
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, orientarea sexuală sau identitatea de gen, apartenența și activitățile sindicale, precum și prelucrarea datelor genetice sau biometrice sau a datelor privind sănătatea, viața sexuală, sancțiunile administrative, hotărârile, infracțiunile penale sau infracțiunile presupuse, condamnările sau măsurile de securitate conexe. |
|
(2) Alineatul (1) nu se aplică atunci când: |
(2) Alineatul (1) nu se aplică în următoarele situații: |
|
(a) persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată sau |
(a) persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată sau |
|
|
(aa) prelucrarea este necesară pentru executarea unui contract din care face parte persoana vizată sau pentru luarea unor măsuri precontractuale la solicitarea persoanei vizate înainte de încheierea unui contract; |
|
(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate sau |
(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru sau de acorduri colective care prevăd garanții adecvate pentru protejarea drepturilor fundamentale ale persoanei vizate, cum ar fi dreptul la nediscriminare, sub rezerva condițiilor și garanțiilor prevăzute la articolul 82; sau |
|
(c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul sau |
(c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul sau |
|
(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate sau |
(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate; sau |
|
(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată sau |
(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată; sau |
|
(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau |
(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau |
|
(g) prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public, executate în baza dreptului Uniunii sau a legislației unui stat membru, care prevede măsurile corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate sau; |
(g) prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public ridicat, în baza dreptului Uniunii sau a legislației unui stat membru care este proporțională cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsurile corespunzătoare pentru protejarea drepturilor fundamentale și intereselor persoanei vizate sau |
|
(h) prelucrarea datelor privind sănătatea este necesară în scopuri legate de sănătate și sub rezerva condițiilor și a garanțiilor prevăzute la articolul 81 sau |
(h) prelucrarea datelor privind sănătatea este necesară în scopuri legate de sănătate și face obiectul condițiilor și garanțiilor prevăzute la articolul 81; sau |
|
(i) prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83 sau |
(i) prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83 sau |
|
|
(ia) prelucrarea este necesară serviciilor de arhivare, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83a sau |
|
(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate. Un registru complet al condamnărilor penale este ținut numai sub controlul autorității publice. |
(j) prelucrarea datelor referitoare la sancțiuni administrative, hotărâri, infracțiuni penale, condamnări sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate legate de drepturile fundamentale și interesele persoanei vizate. Orice registru al condamnărilor penale este ținut numai sub controlul autorității publice. |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor, condițiilor și garanțiilor corespunzătoare pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2). |
(3) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2), în conformitate cu articolul 66. |
Amendamentul 104 Propunere de regulament Articolul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
În cazul în care datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul nu are obligația de a obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții ale prezentului regulament. |
(1) În cazul în care datele prelucrate de către un operator nu îi permit acestuia sau persoanei împuternicite de către operator să identifice direct sau indirect o persoană fizică sau consistă doar din date pseudonime, operatorul nu prelucrează și nici nu obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții a prezentului regulament. |
|
|
(2) Atunci când operatorul de date nu este în măsură să respecte o anumită dispoziție a prezentului regulament din cauza alineatului (1), operatorul nu este obligat să respecte dispoziția respectivă. Atunci când, în consecință, operatorul de date nu este în măsură să se conformeze cererii persoanei vizate, operatorul informează persoana vizată în mod corespunzător. |
Amendamentul 105 Propunere de regulament Articolul 10 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 10a |
|
|
Principii generale privind drepturile persoanelor vizate |
|
|
(1) Temeiul protecției datelor îl constituie drepturile clare și fără ambiguități ale persoanei vizate, fapt respectat de operatorul de date. Dispozițiile prezentului regulament au scopul de a întări, clarifica, garanta și, după caz, codifica aceste drepturi. |
|
|
(2) Aceste drepturi includ, printre altele, furnizarea de informații clare și ușor de înțeles privind prelucrarea datelor sale cu caracter personal, dreptul de acces, de rectificare și de ștergere a datelor cu caracter personal, dreptul de a obține date, dreptul de a se opune creării de profiluri, dreptul de a depune o plângere în fața autorității competente de protecție a datelor, .dreptul de a introduce o acțiune în justiție, precum și dreptul la compensații și despăgubiri în urma unei operațiuni de prelucrare ilegale. Aceste drepturi se exercită în general gratuit. Operatorul de date răspunde cererilor persoanei vizate într-un termen rezonabil. |
Amendamentul 106 Propunere de regulament Articolul 11 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul aplică politici transparente și ușor de accesat în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate. |
(1) Operatorul aplică politici concise, transparente, clare și ușor de accesat în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate. |
|
(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, adaptat în funcție de persoana vizată, în special pentru orice informație adresată în mod expres unui minor. |
(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor. |
Amendamentul 107 Propunere de regulament Articolul 12 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică. |
(1) În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică, atunci când este posibil.. |
|
(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de o lună de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15 - 19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. |
(2) Operatorul informează persoana vizată fără întârziere nejustificată și, cel târziu, în termen de 40 de zile calendaristice de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15-19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris sau, dacă este posibil, operatorul de date poate furniza acces de la distanță la o platformă online sigură, care să ofere persoanei vizate posibilitatea de a-și consulta direct datele cu caracter personal. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, dacă este posibil, cu excepția cazului în care persoana vizată solicită un alt format. |
|
(3) În cazul în care operatorul refuză să ia măsuri la cererea persoanei vizate, acesta informează persoana vizată cu privire la motivele refuzului și la posibilitățile de a depune o plângere în fața autorității de supraveghere și de a introduce o cale de atac în justiție. |
(3) În cazul în care operatorul nu să ia măsuri la cererea persoanei vizate, acesta informează persoana vizată cu privire la motivele inacțiunii sale și la posibilitățile de a depune o plângere în fața autorității de supraveghere și de a introduce o cale de atac în justiție. |
|
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate să nu ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă rezonabilă care să țină cont de costurile administrative pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
|
(5) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și condițiilor privind cererile vădit excesive și taxele menționate la alineatul (4). |
|
|
(6) Comisia poate stabili formulare tip și proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 108 Propunere de regulament Articolul 13 | |
|
Textul propus de Comisie |
Amendamentul |
|
Drepturi referitoare la destinatari |
Obligația de notificare în caz de rectificare și ștergere |
|
Operatorul comunică fiecărui destinatar căruia i-au fost dezvăluite datele orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat. |
Operatorul comunică fiecărui destinatar căruia i-au fost transferate datele orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat. Operatorul informează persoana vizată despre respectivele părți terțe. Operatorul informează persoana vizată cu privire la acești destinatari dacă persoana vizată o cere. |
Amendamentul 109 Propunere de regulament Articolul 13 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 13a |
|
|
Politici de informare standardizate |
|
|
(1) În cazul în care sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul îi furnizează respectivei persoane următoarele date înainte de a obține informații în conformitate cu articolul 14: |
|
|
(a) dacă datele personale sunt colectate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării; |
|
|
(b) dacă datele cu caracter personal sunt stocate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării; |
|
|
(c) dacă datele cu caracter personal sunt prelucrate în alte scopuri decât scopul pentru care au fost colectate; |
|
|
(d) dacă date cu caracter personal sunt diseminate unor părți terțe comerciale; |
|
|
(e) dacă datele cu caracter personal sunt vândute sau închiriate; |
|
|
(f) dacă datele cu caracter personal sunt stocate în formă criptată. |
|
|
(2) Datele prevăzute la alineatul (1) sunt prezentate în conformitate cu anexa X într-un format aliniat sub formă de tabel, cu texte și simboluri, pe următoarele trei coloane: |
|
|
(a) prima coloană descrie formele grafice care simbolizează aceste date; |
|
|
(b) cea de a doua coloană conține informații esențiale care descriu aceste date; |
|
|
(c) cea de a treia coloană descrie formele grafice care indică dacă un element specific este respectat. |
|
|
(3) Informațiile menționate la alineatele (1) și (2) sunt prezentate într-un mod vizibil și ușor lizibil și apar într-o limbă ușor de înțeles de către consumatorii din statele membre cărora le sunt furnizate informațiile. În cazul în care datele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat. |
|
|
(4) Nu se furnizează date suplimentare. Se pot furniza explicații detaliate sau observații suplimentare în ceea ce privește datele prevăzute la alineatul (1) împreună cu celelalte cerințe privind informațiile conforme cu articolul 14. |
|
|
(5) Comisia este abilitată să adopte, după solicitarea unui aviz Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în vederea descrierii suplimentare a datelor menționate la alineatul 1 și a prezentării lor, astfel cum se menționează la alineatul (2) și în anexa 1. |
Amendamentul 110 Propunere de regulament Articolul 14 | |
|
Textul propus de Comisie |
Amendamentul |
|
Informații pentru persoana vizată |
Informații pentru persoana vizată |
|
(1) Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate cel puțin următoarele informații: |
(1) Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate cel puțin următoarele informații, după ce informațiile următoare, în conformitate cu articolul 13a, au fost furnizate: |
|
(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; |
(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; |
|
(b) scopurile în care sunt prelucrate datele cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și interesele legitime urmărite de operator în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (f); |
(b) scopurile specifice în care sunt prelucrate datele cu caracter personal, precum și informații specifice privind securitatea prelucrării datelor cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și, atunci când este cazul, informații cu privire la felul în care se aplică și se respectă cerințele de la articolul 6 alineatul (1) litera (f); |
|
(c) perioada în care vor fi stocate datele cu caracter personal; |
(c) perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; |
|
(d) existența dreptului de a solicita operatorului accesul la datele cu caracter personal referitoare la persoana vizată, precum și rectificarea sau ștergerea acestora, sau a dreptului de a se opune prelucrării acestor date cu caracter personal; |
(d) existența dreptului de a solicita operatorului accesul la datele cu caracter personal referitoare la persoana vizată, precum și rectificarea sau ștergerea acestora, sau a dreptului de a se opune prelucrării acestor date cu caracter personal sau de a obține date; |
|
(e) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere; |
(e) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere; |
|
(f) destinatarii sau categoriile de destinatari ai datelor cu caracter personal; |
(f) destinatarii sau categoriile de destinatari ai datelor cu caracter personal; |
|
(g) dacă este cazul, intenția operatorului de a efectua un transfer către o țară terță sau o organizație internațională și nivelul de protecție oferit de țara terță sau de organizația internațională respectivă, prin trimitere la o decizie a Comisiei privind caracterul adecvat al nivelului de protecție; |
(g) dacă este cazul, intenția operatorului de a efectua un transfer de date către o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat, în cazul transferurilor menționate la articolul 42, la articolul 43 sau la articolul 44 alineatul (1) litera (h), prin trimitere la garanțiile adecvate și la mijloacele de a obține o copie a acestora; |
|
|
(ga) după caz, informații cu privire la existența creării de profiluri, a unor măsuri bazate pe crearea de profiluri și cu privire la efectele preconizate de crearea de profiluri asupra persoanei vizate; |
|
|
(gb) informații pertinente despre logica ce stă la baza oricărei operațiuni de prelucrare automatizată; |
|
(h) orice altă informație necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate datele cu caracter personal. |
(h) orice altă informație care este necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate sau prelucrate datele cu caracter personal, în special existența anumitor activități și operațiuni de prelucrare în privința cărora evaluările de impact asupra datelor cu caracter personal au indicat existența unui risc ridicat; |
|
|
(ha) atunci când este cazul, informații care indică dacă datele cu caracter personal au fost furnizate autorităților publice în cursul ultimelor 12 luni consecutive. |
|
(2) În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau voluntar al furnizării datelor cu caracter personal, precum și la eventualele consecințe ale refuzului de a furniza aceste date. |
(2) În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, pe lângă informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau opțional al furnizării datelor cu caracter personal, precum și cu privire la eventualele consecințe ale nefurnizării acestor date. |
|
|
(2a) La luarea deciziei cu privire la informațiile suplimentare necesare pentru asigurarea unei prelucrări corecte în temeiul alineatului (1) litera (h), operatorii țin seama de liniile directoare aplicabile în temeiul articolului 38. |
|
(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele cu caracter personal. |
(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele specifice cu caracter personal. Dacă datele cu caracter personal provin din surse aflate la dispoziția publicului, poate fi oferită o indicație generală. |
|
(4) Operatorul furnizează informațiile menționate la alineatele (1), (2) și (3): |
(4) Operatorul furnizează informațiile menționate la alineatele (1), (2) și (3): |
|
(a) în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau |
(a) în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau fără întârzieri nejustificate atunci când prima opțiune nu este viabilă; sau |
|
|
(aa) la solicitarea unui organism, unei organizații sau asociații menționate la articolul 73; |
|
(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea acestora către un alt destinatar, și cel târziu în momentul în care datele sunt comunicate pentru prima dată. |
(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează transferul acestora către un alt destinatar, și cel târziu în momentul primului transfer sau, dacă datele sunt utilizate pentru a comunica cu persoana în cauză, cel târziu în momentul în care are loc prima comunicare cu persoana respectivă; sau |
|
|
(ba) numai la cerere atunci când datele sunt prelucrate de o întreprindere mică sau de o microîntreprindere care prelucrează date cu caracter personal doar ca o activitate auxiliară. |
|
(5) Dispozițiile alineatelor (1) - (4) nu se aplică atunci când: |
(5) Dispozițiile alineatelor (1) - (4) nu se aplică atunci când: |
|
(a) persoana vizată deține deja informațiile menționate la alineatele (1), (2) și (3) sau
|
(a) persoana vizată deține deja informațiile menționate la alineatele (1), (2) și (3) sau |
|
(b) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat sau |
(b) datele sunt prelucrate în scopuri istorice, statistice sau științifice care fac obiectul condițiilor și garanțiilor prevăzute la articolul 81 sau articolul 83, nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat iar operatorul a publicat informațiile astfel încât să fie preluate de oricine; sau |
|
(c) datele nu sunt colectate de la persoana vizată, iar înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau |
(c) datele nu sunt colectate de la persoana vizată, iar înregistrarea sau divulgarea datelor este prevăzută în mod expres de legea sub incidența căreia intră operatorul, care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, având în vedere riscurile prezentate de prelucrarea și de natura datelor cu caracter personal; sau |
|
(d) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații aduce atingere drepturilor și libertăților altor persoane, astfel cum sunt definite în dreptul Uniunii sau în legislația unui stat membru, în conformitate cu articolul 21. |
(d) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații aduce atingere drepturilor și libertăților altor persoane fizice, astfel cum sunt definite în dreptul Uniunii sau în legislația unui stat membru, în conformitate cu articolul 21. |
|
|
(da) datele sunt prelucrate în cadrul profesiei, sau sunt încredințate sau devin cunoscute unei persoane supuse obligației secretului profesional reglementat de legislația Uniunii sau de dreptul statului membru sau unei obligații legale de a păstra secretul, în cazul în care datele nu sunt colectate direct de la persoana vizată. |
|
(6) În cazul menționat la alineatul (5) litera (b), operatorul prevede măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate. |
(6) În cazul menționat la alineatul (5) litera (b), operatorul prevede măsuri corespunzătoare pentru protejarea drepturilor sau intereselor legitime ale persoanei vizate. |
|
(7) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
|
|
(8) Comisia poate stabili formulare tip pentru transmiterea informațiilor menționate la alineatele (1) - (3), ținând seama, dacă este cazul, de particularitățile și nevoile specifice ale diverselor sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 111 Propunere de regulament Articolul 15 | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul de acces al persoanei vizate |
Dreptul de acces și de obținere de date al persoanei vizate |
|
(1) Persoana vizată are dreptul de a obține din partea operatorului, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate. În cazul în care aceste date cu caracter personal sunt prelucrate, operatorul furnizează următoarele informații: |
(1) Sub rezerva articolului 12 alineatul (4), persoana vizată are dreptul de a obține din partea operatorului, într-un limbaj clar și simplu, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate. |
|
(a) scopurile prelucrării; |
(a) scopurile prelucrării pentru fiecare categorie de date cu caracter personal; |
|
(b) categoriile de date cu caracter personal vizate; |
(b) categoriile de date cu caracter personal vizate; |
|
(c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal urmează să le fie divulgate sau le-au fost divulgate, în special dacă destinatarii sunt din țări terțe; |
(c) destinatarii cărora datele cu caracter personal urmează să le fie divulgate sau le-au fost divulgate, inclusiv destinatarii din țări terțe; |
|
(d) perioada în care vor fi stocate datele cu caracter personal; |
(d) perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; |
|
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date; |
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date; |
|
(f) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere; |
(f) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere; |
|
(g) comunicarea datelor cu caracter personal care sunt în curs de prelucrare și a oricărei informații disponibile cu privire la originea datelor; |
|
|
(h) importanța și consecințele preconizate ale prelucrării, cel puțin în cazul măsurilor menționate la articolul 20. |
(h) importanța și consecințele preconizate ale prelucrării; |
|
|
(ha) informații pertinente despre logica care stă la baza oricărei operațiuni de prelucrare automatizată; |
|
|
(hb) fără a aduce atingere articolului 21, în cazul divulgării datelor cu caracter personal unei autorități publice ca urmare a unei cereri din partea unei autorități publice, confirmarea faptului că această cerere a fost făcută. |
|
(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. |
(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic structurat, cu excepția cazului în care persoana vizată solicită un alt format. Fără a aduce atingere articolului 10, operatorul ia toate măsurile necesare pentru a verifica dacă persoana care solicită accesul la date este persoana vizată. |
|
|
(2a) În cazul în care persoana vizată a furnizat date cu caracter personal, iar datele cu caracter personal sunt prelucrate electronic, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor cu caracter personal furnizate într-un format electronic interoperabil care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date, fără a fi împiedicată de operatorul de la care sunt retrase datele cu caracter personal. Atunci când este acest lucru este fezabil din punct de vedere tehnic și fizic posibil, datele se transferă direct de la operator la operator, la cererea persoanei vizate. |
|
|
(2b) Prezentul articol nu aduce atingere obligației de a șterge datele atunci când acestea nu mai sunt necesare, conform articolului 5 alineatul (1) litera (e). |
|
|
(2c) În temeiul alineatelor (1) și (2), nu există drept de acces atunci când sunt vizate date în sensul articolului 14 alineatul (5) litera (da), cu excepția cazului în care persoana vizată este abilitată să înlăture confidențialitatea în cauză și acționează în consecință. |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind comunicarea către persoana vizată a conținutului datelor cu caracter personal menționate la alineatul (1) litera (g). |
|
|
(4) Comisia poate specifica formele și procedurile standard pentru solicitarea și acordarea accesului la informațiile menționate la alineatul (1), inclusiv pentru verificarea identității persoanei vizate și comunicarea datelor cu caracter personal către persoana vizată, ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 112 Propunere de regulament Articolul 17 | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul de a fi uitat și de a fi șters |
Dreptul de a fi șters |
|
(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea difuzării acestor date, în special în ceea ce privește datele cu caracter personal care sunt puse la dispoziție de către persoana vizată atunci când era minor, în cazul în care se aplică unul dintre următoarele motive: |
(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea difuzării acestor date și de a obține din partea terților ștergerea oricăror legături către acestea sau copierea sau replicarea lor, în cazul în care se aplică unul dintre următoarele motive: |
|
(a) datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; |
(a) datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; |
|
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de stocare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea datelor; |
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de stocare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea datelor; |
|
(c) persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19; |
(c) persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19; |
|
|
(ca) o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie șterse; |
|
(d) prelucrarea datelor nu este conformă cu prezentul regulament din alte motive. |
(d) datele au fost prelucrate ilegal; |
|
|
1a. Aplicarea alineatului (1) depinde de capacitatea operatorului de date de a verifica dacă persoana care a solicitat ștergerea este persoana vizată. |
|
(2) În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal, acesta ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective. |
(2) În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal fără o justificare în temeiul articolului 6 alineatul (1), acesta ia toate măsurile rezonabile pentru ca datele să fie șterse, inclusiv de terți, fără a aduce atingere articolului 77. Operatorul informează persoana în cauză, dacă este posibil, cu privire la acțiunile întreprinse de părțile terțe relevante. |
|
(3) Operatorul efectuează ștergerea fără întârziere, cu excepția cazului în care păstrarea datelor cu caracter personal este necesară: |
(3) Operatorul și, după caz, terțul, efectuează ștergerea fără întârziere, cu excepția cazului în care păstrarea datelor cu caracter personal este necesară: |
|
(a) pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80; |
(a) pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80; |
|
(b) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81; |
(b) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81; |
|
(c) în scopuri istorice, statistice și științifice, în conformitate cu articolul 83; |
(c) în scopuri istorice, statistice și științifice, în conformitate cu articolul 83; |
|
(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte esența dreptului la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit; |
(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte dreptul la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit; |
|
(e) în cazurile prevăzute la alineatul (4). |
(e) în cazurile prevăzute la alineatul (4). |
|
(4) În loc să le șteargă, operatorul limitează prelucrarea datelor cu caracter personal în cazul în care: |
(4) În loc să le șteargă, operatorul limitează prelucrarea datelor cu caracter personal în așa fel încât datele să nu mai poată face obiectul accesului obișnuit și al operațiunilor de prelucrare și să nu mai poată fi modificate, în cazul în care: |
|
(a) persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor; |
(a) persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor; |
|
(b) operatorul nu mai are nevoie de datele cu caracter personal pentru a-și îndeplini atribuțiile, dar acestea trebuie să fie păstrate ca dovadă; |
(b) operatorul nu mai are nevoie de datele cu caracter personal pentru a-și îndeplini atribuțiile, dar acestea trebuie să fie păstrate ca dovadă; |
|
(c) prelucrarea acestora este ilegală, iar persoana vizată se opune ștergerii datelor, solicitând, în schimb, restricționarea utilizării lor; |
(c) prelucrarea acestora este ilegală, iar persoana vizată se opune ștergerii datelor, solicitând, în schimb, restricționarea utilizării lor; |
|
|
(ca) o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie restricționate; |
|
(d) persoana vizată solicită transferul datelor cu caracter personal în alt sistem de prelucrare automată a datelor, în conformitate cu articolul 18 alineatul (2). |
(d) persoana vizată solicită transferul datelor cu caracter personal în alt sistem de prelucrare automată a datelor, în conformitate cu articolul 15 alineatul (2a). |
|
|
(da) tipul specific de stocare nu permite ștergerea și a fost instalat înainte de intrarea în vigoare a prezentului regulament. |
|
(5) Datele cu caracter personal menționate la alineatul (4) pot fi prelucrate, cu excepția stocării, doar în scop probatoriu, fie cu consimțământul persoanei vizate, fie pentru protejarea drepturilor altor persoane fizice ori juridice fie pentru un obiectiv de interes public. |
(5) Datele cu caracter personal menționate la alineatul (4) pot fi prelucrate, cu excepția stocării, doar în scop probatoriu, fie cu consimțământul persoanei vizate, fie pentru protejarea drepturilor altor persoane fizice ori juridice fie pentru un obiectiv de interes public. |
|
(6) În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (4), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare. |
(6) În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (4), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare. |
|
(7) Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor. |
|
|
(8) În cazul în care se efectuează ștergerea, operatorul nu prelucrează în niciun alt fel datele personale. |
(8) În cazul în care se efectuează ștergerea, operatorul nu prelucrează în niciun alt fel datele personale. |
|
|
(8a) Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor. |
|
(9) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul de a detalia: |
(9) Comisia este mandatată să adopte, după solicitarea unui aviz al Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în scopul de a detalia: |
|
(a) criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor; |
(a) criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor; |
|
(b) condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2); |
(b) condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2); |
|
(c) criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4). |
(c) criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4). |
Amendamentul 113 Propunere de regulament Articolul 18 | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul la portabilitatea datelor |
eliminat |
|
(1) În cazul în care datele cu caracter personal sunt prelucrate electronic într-un format structurat care este utilizat în mod curent, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor care fac obiectul prelucrării electronice într-un format electronic structurat care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date. |
|
|
(2) În cazul în care persoana vizată a furnizat datele cu caracter personal și prelucrarea se bazează pe consimțământul acesteia sau pe un contract, persoana vizată are dreptul de a transmite aceste date cu caracter personal, precum și orice altă informație furnizată de persoana vizată și păstrată de un sistem automatizat de prelucrare, într-un alt sistem, într-un format electronic care este utilizat în mod curent, fără ca operatorul de la care sunt retrase datele cu caracter personal să poată împiedica acest lucru. |
|
|
(3) Comisia poate specifica formatul electronic prevăzut la alineatul (1), precum și normele tehnice, modalitățile și procedurile de transmitere a datelor cu caracter personal în conformitate cu alineatul (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 114 Propunere de regulament Articolul 19 | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul la opoziție |
Dreptul la opoziție |
|
(1) În orice moment, persoana vizată are dreptul de a se opune, pe motive legate de situația specială în care se află, prelucrării datelor cu caracter personal pe care se bazează pe articolul 6 alineatul (1) literele (d), (e) și (f), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. |
(1) În orice moment, persoana vizată are dreptul de a se opune prelucrării datelor cu caracter personal care se bazează pe articolul 6 alineatul (1) literele (d) și (e), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. |
|
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune gratuit prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații. |
(2) Atunci când prelucrarea datelor cu caracter personal se bazează pe articolul 6 alineatul (1) litera (f), persoana vizată are dreptul, în orice moment și fără o justificare suplimentară, de a se opune gratuit în general sau într-un scop specific prelucrării datelor sale cu caracter personal. |
|
|
(2a) Acest drept menționat la alineatul (2) este explicit oferit persoanei vizate, într-un mod și într-o formă inteligibile, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor, care să se poată distinge în mod clar de alte informații. |
|
|
(2b) În contextual utilizării serviciilor societății informaționale și fără a aduce atingere Directivei 2002/58/CE, dreptul la opoziție poate fi exercitat prin mijloace automate, folosind standarde tehnice care permit persoanei vizate să își exprime în mod clar dorințele. |
|
(3) În cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal. |
(3) În cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal în scopurile stabilite în opoziție. |
(Ultima frază de la aliniatul (2) din textul Comisiei a devenit aliniatul (2a) în amendamentul Parlamentului). | |
Amendamentul 115 Propunere de regulament Articolul 20 | |
|
Textul propus de Comisie |
Amendamentul |
|
Măsuri bazate pe crearea de profiluri |
Crearea de profiluri |
|
(1) Orice persoană fizică are dreptul de a nu fi supusă unei măsuri care produce efecte juridice privind această persoană fizică sau care o afectează în mod semnificativ și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană fizică sau să analizeze ori să prevadă, în special, performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acestuia. |
(1) Fără a aduce atingere dispozițiilor articolului 6, orice persoană fizică are dreptul de a se opune creării de profiluri, în conformitate cu articolul 19. Persoana vizată este informată cu privire la dreptul de a se opune creării de profiluri într-un mod foarte vizibil. |
|
(2) Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă unei măsuri de acest tip, astfel cum se prevede la alineatul (1), numai dacă prelucrarea datelor: |
(2) Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă creării de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate numai dacă prelucrarea datelor: |
|
(b) este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate sau |
(b) este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate; |
|
(c) se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare. |
(c) se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare. |
|
(3) Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9. |
(3) Se interzice crearea de profiluri care are drept efect discriminarea împotriva persoanelor fizice pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen sau care are drept rezultat măsuri ce au astfel de efecte. Operatorul asigură protecția eficace împotriva tuturor discriminărilor care pot decurge din crearea de profiluri. Crearea de profiluri nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9. |
|
(4) În cazurile menționate la alineatul (2), informațiile pe care operatorul trebuie să le furnizeze în temeiul articolului 14 includ informații despre existența prelucrării, pentru o măsură de tipul celei la care se face referire la alineatul (1), precum și despre efectele preconizate ale acestei prelucrări asupra persoanei vizate. |
|
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2). |
(5) Crearea de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate nu se bazează exclusiv ou în principal pe prelucrarea automatizată și include o apreciere umană, inclusiv explicația privind decizia luată în urma acestei aprecieri. Măsurile corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2) includ dreptul de a obține o apreciere umană și explicația privind decizia luată în urma acestei aprecieri. |
|
|
(5a) Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) cu scopul detalierii criteriilor și condițiilor aplicabile creării de profiluri în temeiul alineatului (2). |
Amendamentul 116 Propunere de regulament Articolul 21 | |
|
Textul propus de Comisie |
Amendamentul |
|
Restricții |
Restricții |
|
(1) Legislația Uniunii sau a statului membru poate restrânge printr-o măsură legislativă domeniul de aplicare a obligațiilor și a drepturilor prevăzute la articolul 5 literele (a) - (e), la articolele 11 - 20 și la articolul 32, atunci când o astfel de restricție constituie o măsură necesară și proporțională într-o societate democratică pentru a: |
(1) Legislația Uniunii sau a statului membru poate restrânge printr-o măsură legislativă domeniul de aplicare a obligațiilor și a drepturilor prevăzute la articolele 11-19 și la articolul 32, cu condiția ca această restricție să îndeplinească un obiectiv clar definit de interes public, să respecte esența dreptului la protecția datelor cu caracter personal, să fie proporțională cu scopul legitim urmărit și să respecte drepturile fundamentale și interesele persoanei vizate și constituie o măsură necesară și proporțională într-o societate democratică pentru a: |
|
(a) garanta securitatea publică; |
(a) garanta securitatea publică; |
|
(b) asigura prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor; |
(b) asigura prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor; |
|
(c) proteja alte interese publice ale Uniunii Europene sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal, precum și stabilitatea și integritatea pieței; |
(c) domeniul fiscal; |
|
(d) asigura prevenirea, investigarea, detectarea și punerea sub urmărire a încălcării eticii în cazul profesiunilor reglementate; |
(d) asigura prevenirea, investigarea, detectarea și punerea sub urmărire a încălcării eticii în cazul profesiunilor reglementate; |
|
(e) asigura funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (a), (b),(c) și (d); |
(e) asigura funcția de monitorizare, inspectare sau reglementare în cadrul exercitării autorității publice competente în cazurile menționate la literele (a), (b),(c) și (d); |
|
(f) asigura protecția persoanei vizate sau a drepturilor și libertăților altora. |
(f) asigura protecția persoanei vizate sau a drepturilor și libertăților altora. |
|
(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice, cel puțin în ceea ce privește obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului. |
(2) În special, orice măsură legislativă menționată la alineatul (1) trebuie să fie necesară și proporțională într-o societate democratică și să conțină dispoziții specifice, cel puțin în ceea ce privește: |
|
|
(a) obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare; |
|
|
(b) stabilirea operatorului; |
|
|
(c) scopurile specifice și mijloacele de prelucrare; |
|
|
(d) garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegale; |
|
|
(e) dreptul persoanelor vizate de a fi informate despre restricții. |
|
|
(2a) Măsurile legislative menționate la alineatul (1) nu permit operatorilor privați să păstreze date în plus față de cele strict necesare pentru scopul inițial și nici nu impun obligații în acest sens. |
(Ultima parte a alineatului (2) din textul Comisiei a devenit literele (a) și (b) în amendamentul Parlamentului). | |
Amendamentul 117 Propunere de regulament Articolul 22 | |
|
Textul propus de Comisie |
Amendamentul |
|
Responsabilitatea operatorului |
Responsabilitatea și răspunderea operatorului |
|
(1) Operatorul adoptă politici și pune în aplicare măsuri adecvate pentru a garanta și a putea demonstra că prelucrarea datelor cu caracter personal se efectuează în conformitate cu prezentul regulament. |
(1) Operatorul adoptă politici corespunzătoare și pune în aplicare măsuri tehnice și organizatorice adecvate și demonstrabile pentru a garanta și a putea demonstra în mod transparent că prelucrarea datelor cu caracter personal se efectuează în conformitate cu prezentul regulament, ținând cont de cele mai noi tehnologii în materie, de natura procedurii de prelucrare a datelor cu caracter personal, de contextul, amploarea și scopurile prelucrării, de riscurile la adresa drepturilor și libertăților persoanelor vizate, precum și de tipul organizației, atât la momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise. |
|
|
(1a) Având în vedere stadiul actual al tehnicii și costurile punerii în aplicare, operatorul ia toate măsurile rezonabile pentru a aplica politici și proceduri de conformare care respectă în permanență opțiunile autonome ale persoanelor vizate. Aceste politici de conformare sunt revizuite cel puțin o dată la doi ani și actualizate ori de câte ori este necesar. |
|
(2) Măsurile prevăzute la alineatul (1) cuprind în special: |
|
|
(a) păstrarea documentației, în conformitate cu articolul 28; |
|
|
(b) punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 30; |
|
|
(c) efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 33; |
|
|
(d) respectarea cerințelor privind autorizarea prealabilă sau consultarea prealabilă a autorității de supraveghere, în conformitate cu articolul 34 alineatele (1) și (2); |
|
|
(e) desemnarea unui responsabil cu protecția datelor, în conformitate cu articolul 35 alineatul (1). |
|
|
(3) Operatorul pune în aplicare mecanisme pentru a asigura verificarea eficacității măsurilor menționate la alineatele (1) și (2). Dacă se dovedește a fi proporțională, această verificare va fi efectuată de auditori interni sau externi independenți. |
(3) Operatorul este în măsură să demonstreze caracterul adecvat și eficacitatea măsurilor menționate la alineatele (1) și (2). Toate rapoartele periodice generale ale activităților operatorului, precum rapoartele obligatorii ale societăților cotate la bursă, cuprind o descriere sintetică a politicilor și măsurilor menționate la alineatul (1). |
|
|
(3a) Operatorul are dreptul să transmită datele cu caracter personal în interiorul Uniunii în cadrul grupului de întreprinderi din care acesta face parte, atunci când această etapă a prelucrării este necesară în scopuri administrative interne și legitime între domenii de activitate conectate ale grupului de întreprinderi și atât timp cât un nivel corespunzător de protecție a datelor, precum și protecția intereselor persoanelor vizate sunt garantate de norme interne de protecție a datelor sau de coduri de conduită echivalente, astfel cum sunt menționate la articolul 38. |
|
(4) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor măsurilor corespunzătoare menționate la alineatul (1), altele decât cele menționate la alineatul (2), condițiile pentru verificare și mecanismele de audit menționate la alineatul (3) și criteriile de proporționalitate prevăzute la alineatul (3), și în scopul de a prevedea măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii. |
|
Amendamentul 118 Propunere de regulament Articolul 23 | |
|
Textul propus de Comisie |
Amendamentul |
|
Protecția datelor începând cu momentul conceperii și protecția implicită a datelor |
Protecția datelor începând cu momentul conceperii și protecția implicită a datelor |
|
(1) Având în vedere stadiul actual al tehnicii și costurile de implementare, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate. |
(1) Având în vedere stadiul actual al tehnicii, cunoștințele tehnice actuale, cele mai bune practici interne și riscurile reprezentate de prelucrarea datelor, operatorul și persoana împuternicită de acesta, dacă există, pun în aplicare, atât în momentul stabilirii scopurilor și mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare și proporționale, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate, îndeosebi în ceea ce privește principiile menționate la articolul 5. Protecția datelor încă din momentul conceperii ține seama în mod deosebit de gestionarea întregului ciclu de viață al datelor cu caracter personal, de la colectare la prelucrare și la eliminare, axându-se în mod sistematic pe garanții procedurale cuprinzătoare cu privire la acuratețea, confidențialitatea, integritatea, securitatea fizică și eliminarea datelor cu caracter personal. În cazul în care operatorul a realizat o evaluare a impactului asupra protecției datelor în temeiul articolului 33, se ține seama de rezultatele acesteia în elaborarea măsurilor și procedurilor. |
|
|
(1a) Pentru stimularea unei aplicări generalizate în diferite sectoare economice, protecția datelor încă din faza de concepție reprezintă o condiție prealabilă obligatorie pentru procedurile de achiziții publice, în conformitate cu Directiva 2004/18/CE a Parlamentului European și a Consiliului1, precum și cu Directiva 2004/17/CE a Parlamentului European și a Consiliului2 (Directiva privind utilitățile publice). |
|
(2) Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate sau păstrate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane. |
(2) Operatorul garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate, păstrate sau diseminate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane și că persoanele vizate pot să controleze gradul de difuzare a datelor lor cu caracter personal. |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor și mecanismelor de certificare menționate la alineatele (1) și (2), în special în ceea ce privește cerințele legate de protecția datelor începând cu momentul conceperii aplicabile în cazul tuturor sectoarelor, al produselor și al serviciilor. |
|
|
(4) Comisia poate stabili standarde tehnice pentru cerințele menționate la alineatele (1) și (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
|
|
1 Directiva 2004/18/CE a Parlamentului European și a Consiliului din 31 martie 2004 privind coordonarea procedurilor de atribuire a contractelor de achiziții publice de lucrări, de bunuri și de servicii (JO L 134, 30.4.2004, p. 114). 2 Directiva 2004/17/CE a Parlamentului European și a Consiliului din 31 martie 2004 de coordonare a procedurilor de atribuire a contractelor publice din sectoarele apei, energiei, transporturilor și serviciilor poștale (JO L 134, 30.4.2004, p. 1). |
Amendamentul 119 Propunere de regulament Articolul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
Operatori asociați |
Operatori asociați |
|
Atunci când un operator stabilește, împreună cu alți operatori, scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. |
Atunci când mai mulți operatori stabilesc în comun scopul și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați își îndeplinesc, în egală măsură, responsabilitățile în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. Acordul reflectă în mod corespunzător rolurile și relațiile efective ale operatorilor asociați față de persoanele vizate, iar esența acestuia este făcută cunoscută persoanelor vizate. În cazul unor neclarități privind responsabilitățile, operatorii sunt responsabili în mod solidar. |
Amendamentul 120 Propunere de regulament Articolul 25 | |
|
Textul propus de Comisie |
Amendamentul |
|
Reprezentanții operatorilor care nu își au sediul în Uniune |
Reprezentanții operatorilor care nu își au sediul în Uniune |
|
(1) În situația menționată la articolul 3 alineatul (2), operatorul desemnează un reprezentant în Uniune. |
(1) În situația menționată la articolul 3 alineatul (2), operatorul desemnează un reprezentant în Uniune. |
|
(2) Prezenta obligație nu se aplică: |
(2) Prezenta obligație nu se aplică: |
|
(a) unui operator cu sediul într-o țară terță, în cazul în care Comisia a decis că această țară terță asigură un nivel adecvat de protecție în conformitate cu articolul 41 sau |
(a) unui operator cu sediul într-o țară terță, în cazul în care Comisia a decis că această țară terță asigură un nivel adecvat de protecție în conformitate cu articolul 41; or |
|
(b) unei întreprinderi cu mai puțin de 250 de angajați sau |
(b) unui operator care prelucrează date cu caracter personal referitoare la un număr mai mic de 5 000 de persoane vizate pe parcursul a 12 luni consecutive și unui operator care nu prelucrează categorii speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), date de localizare sau date referitoare la minori sau angajați din sistemele de evidență a datelor de mari dimensiuni sau |
|
(c) unei autorități sau unui organism public sau |
(c) unei autorități sau unui organism public sau |
|
(d) unui operator care furnizează numai ocazional bunuri sau servicii persoanelor vizate care își au reședința pe teritoriul Uniunii. |
(d) unui operator care furnizează numai ocazional bunuri sau servicii persoanelor vizate pe teritoriul Uniunii, cu excepția cazului în care prelucrarea datelor cu caracter special privește categoriile speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), datele de localizare sau datele referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni. |
|
(3) Reprezentantul își are sediul în unul dintre statele membre în care își au reședința persoanele vizate ale căror date cu caracter personal sunt prelucrate în legătură cu furnizarea de bunuri și servicii sau a căror conduită este monitorizată. |
(3) Reprezentantul își are sediul în unul dintre statele membre în care se produc furnizarea de bunuri și servicii persoanelor vizate sau monitorizarea lor. |
|
(4) Desemnarea unui reprezentant de către operator nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși. |
(4) Desemnarea unui reprezentant de către operator nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși. |
Amendamentul 121 Propunere de regulament Articolul 26 | |
|
Textul propus de Comisie |
Amendamentul |
|
Persoana împuternicită de către operator |
Persoana împuternicită de către operator |
|
(1) În cazul în care o operațiune de prelucrare se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri. |
(1) În cazul în care prelucrarea se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri. |
|
(2) Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul și care prevede, în special, că persoana împuternicită de către operator: |
(2) Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul. Operatorul și persoana împuternicită de către operator au libertatea de a stabili rolurile și sarcinile cu privire la cerințele prezentului regulament și se asigură că persoana împuternicită de către operator: |
|
(a) acționează numai la instrucțiunile operatorului, în special în cazul în care transferul de date cu caracter personal utilizate este interzis; |
(a) prelucrează datele cu caracter personal numai la instrucțiunile operatorului, cu excepția cazului în care dreptul Uniunii sau legislația statului membru prevede altfel; |
|
(b) angajează numai personal care s-a angajat să respecte confidențialitatea sau care sunt obligați prin lege să respecte confidențialitatea; |
(b) angajează numai personal care s-a angajat să respecte confidențialitatea sau care sunt obligați prin lege să respecte confidențialitatea; |
|
(c) adoptă toate măsurile necesare în conformitate cu articolul 30; |
(c) adoptă toate măsurile necesare în conformitate cu articolul 30; |
|
(d) recrutează o altă persoană împuternicită de către operator numai cu autorizarea prealabilă a operatorului; |
(d) stabilește condițiile recrutării unei alte persoane împuternicite de către operator numai cu autorizarea prealabilă a operatorului, cu excepția unor dispoziții contrare; |
|
(e) în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, creează, în acord cu operatorul, condițiile tehnice și organizatorice necesare pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III; |
(e) în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, creează, în acord cu operatorul, condițiile tehnice și organizatorice corespunzătoare și relevante pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III; |
|
(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 30 și 34; |
(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 30 și 34, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator; |
|
(g) transmite operatorului toate rezultatele după terminarea procesului de prelucrare și nu prelucrează în nici un alt mod datele cu caracter personal; |
(g) transmite operatorului toate rezultatele după terminarea procesului de prelucrare, nu prelucrează în niciun alt mod datele cu caracter personal și elimină copiile existente, cu excepția cazului în care dreptului Uniunii sau legislația statelor membre prevede stocarea datelor; |
|
(h) pune la dispoziția operatorului și a autorității de supraveghere toate informațiile necesare pentru a se controla respectarea obligațiilor prevăzute la prezentul articol. |
(h) pune la dispoziția operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor prevăzute la prezentul articol și permite inspecții la fața locului. |
|
(3) Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligațiilor care îi revin persoanei împuternicite de către operator menționate la alineatul (2). |
(3) Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligațiilor care îi revin persoanei împuternicite de către operator menționate la alineatul (2). |
|
|
(3a) Garanțiile suficiente menționate la alineatul (1) pot fi demonstrate prin aderarea la codurile de conduită sau mecanismele de certificare în conformitate cu articolele 38 și 39 din prezentul regulament. |
|
(4) În cazul în care o persoană împuternicită de către operator prelucrează datele cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator, persoana împuternicită de către operator este considerată responsabilă de prelucrarea datelor în ceea ce privește prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 24. |
(4) În cazul în care o persoană împuternicită de către operator prelucrează date cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator sau devine parte determinantă în legătură cu scopul și mijloacele de prelucrare a datelor cu caracter personal, persoana împuternicită de către operator este considerată operator pentru prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 24. |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente responsabilităților, drepturilor și sarcinilor unei persoane împuternicite de către operator în conformitate cu alineatul (1), precum și condițiilor care permit facilitarea procesului de prelucrare a datelor cu caracter personal în cadrul unui grup de întreprinderi, în special pentru verificare și raportare. |
|
Amendamentul 122 Propunere de regulament Articolul 28 | |
|
Textul propus de Comisie |
Amendamentul |
|
Documentația |
Documentația |
|
(1) Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la toate operațiunile de prelucrare derulate sub responsabilitatea sa. |
(1) Fiecare operator și persoană împuternicită de operator păstrează documentația actualizată periodic, necesară pentru îndeplinirea cerințelor prevăzute în prezentul regulament. |
|
(2) Această documentație cuprinde cel puțin următoarele informații: |
(2) În plus, fiecare operator și persoană împuternicită de operator păstrează documentație referitoare la următoarele informații: |
|
(a) numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau ale oricărei persoane împuternicite de către operator, dacă este cazul; |
(a) numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau ale oricărei persoane împuternicite de către operator, dacă este cazul; |
|
(b) numele și datele de contact ale responsabilului cu protecția datelor, dacă este cazul; |
(b) numele și datele de contact ale responsabilului cu protecția datelor, dacă este cazul; |
|
(c) scopul prelucrării datelor, inclusiv interesele legitime urmărite de responsabilul cu prelucrarea, atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (f); |
|
|
(d) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care le privesc; |
|
|
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv operatorii cărora le sunt comunicate datele cu caracter personal în interesul legitim pe care îl urmăresc; |
(c) numele și datele de contact ale operatorilor cărora le sunt comunicate datele cu caracter personal, dacă există; |
|
(f) dacă este cazul, transferurile de date către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare; |
|
|
(g) o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date; |
|
|
(h) descrierea mecanismelor prevăzute la articolul 22 alineatul (3). |
|
|
(3) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia. |
|
|
(4) Obligațiile menționate la alineatele (1) și (2) nu se aplică următoarelor categorii de operatori și persoane împuternicite de către operatori: |
|
|
(a) persoanelor fizice care prelucrează date cu caracter personal fără vreun interes comercial; sau |
|
|
(b) întreprinderilor sau organizațiilor cu mai puțin de 250 de angajați care prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale. |
|
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului. |
|
|
(6) Comisia poate să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 123 Propunere de regulament Articolul 29 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). |
(1) Operatorul și, dacă este cazul, persoana împuternicită de către operator și reprezentantul operatorului cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). |
Amendamentul 124 Propunere de regulament Articolul 30 | |
|
Textul propus de Comisie |
Amendamentul |
|
Securitatea prelucrării |
Securitatea prelucrării |
|
(1) Operatorul și persoana împuternicită de către operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate, în concordanță cu riscurile pe care le presupune prelucrarea și cu caracterul datelor cu caracter personal care trebuie protejate, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare. |
(1) Operatorul și persoana împuternicită de operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate care să fie în concordanță cu riscurile pe care le presupune prelucrarea, ținând cont de rezultatele unei evaluări de impact privind protecția datelor în conformitate cu articolul 33, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare. |
|
|
(1a) Având în vedere stadiul actual al tehnologiei și costurile punerii în aplicare, această politică de securitate trebuie să includă: |
|
|
(a) capacitatea de a asigura faptul că integritatea datelor cu caracter personal este validată; |
|
|
(b) capacitatea de a asigura o confidențialitate, integritate, disponibilitate și rezistență continuă a sistemelor și serviciilor de prelucrare a datelor cu caracter personal; |
|
|
(c) capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul în care un incident de natură fizică sau tehnică are un impact negativ asupra disponibilității, integrității și confidențialității sistemelor și serviciilor informatice; |
|
|
(d) în cazul prelucrării datelor sensibile cu caracter personal, în conformitate cu articolele 8 și 9, măsuri de securitate suplimentare pentru a garanta conștientizarea diferitelor situații care presupun riscuri și capacitatea de a adopta măsuri preventive, corective și de atenuare în timp aproape real pentru a răspunde vulnerabilităților și incidentelor detectate care ar putea constitui riscuri pentru securitatea datelor; |
|
|
(e) un proces pentru testarea, evaluarea și aprecierea eficacității politicilor, procedurilor și planurilor de securitate, al cărui scop este să asigure menținerea eficacității. |
|
(2) În urma unei evaluări a riscurilor, operatorul și persoana împuternicită de operator adoptă măsurile prevăzute la alineatul (1) pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale ori a pierderii accidentale, și pentru prevenirea oricărei forme de prelucrare ilegală, în special divulgarea, accesul sau diseminarea neautorizată ori modificarea datelor cu caracter personal. |
(2) Măsurile prevăzute la alineatul (1) respectă cel puțin următoarele cerințe: |
|
|
(a) garantează că datele cu caracter personal pot fi accesate exclusiv de personalul autorizat și în scopuri autorizate din punct de vedere juridic; |
|
|
(b) protejează datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale sau ilegale, a pierderii sau deteriorării accidentale și a stocării, prelucrării, accesării sau divulgării neautorizate sau ilegale; precum și |
|
|
(c) asigură punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal. |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor, cu excepția cazului în care se aplică alineatul (4). |
(3) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor. |
|
(4) Comisia poate adopta, dacă este cazul, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special pentru a: |
|
|
(a) preveni accesul neautorizat la date cu caracter personal; |
|
|
(b) preveni orice act neautorizat de divulgare, citire, copiere, modificare, ștergere sau eliminare a datelor cu caracter personal; |
|
|
(c) asigura verificarea legalității operațiunilor de prelucrare. |
|
|
Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
[Alineatul (2) din textul Comisiei a devenit parțial litera (b) în amendamentul Parlamentului.] | |
Amendamentul 125 Propunere de regulament Articolul 31 | |
|
Textul propus de Comisie |
Amendamentul |
|
Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal |
Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal |
|
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Notificarea autorității de supraveghere trebuie să fie însoțită de o explicație motivată în cazul în care aceasta nu are loc în termen de 24 de ore. |
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate. |
|
(2) În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator imediat după ce s-a constatat încălcarea securității datelor cu caracter personal. |
(2) Persoana împuternicită de către operator îl previne și îl informează pe operator fără întârzieri nejustificate după ce s-a constatat încălcarea securității datelor cu caracter personal. |
|
(3) Notificarea menționată la alineatul (1) trebuie cel puțin: |
(3) Notificarea menționată la alineatul (1) trebuie cel puțin: |
|
(a) să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză și categoriile și numărul de înregistrări de date în cauză; |
(a) să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză și categoriile și numărul de înregistrări de date în cauză; |
|
(b) să comunice identitatea și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații; |
(b) să comunice identitatea și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații; |
|
(c) să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal; |
(c) să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal; |
|
(d) să descrie consecințele încălcării securității datelor cu caracter personal; |
(d) să descrie consecințele încălcării securității datelor cu caracter personal; |
|
(e) să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal. |
(e) să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și a limita efectele acesteia. Dacă este necesar, informațiile pot fi furnizate treptat. |
|
(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită autorității de supraveghere să verifice conformitatea cu prezentul articol. Documentația respectivă include numai informațiile necesare în acest scop. |
(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să fie suficientă pentru a permite autorității de supraveghere să verifice conformitatea cu prezentul articol și cu articolul 30. Documentația respectivă include numai informațiile necesare în acest scop. |
|
|
(4a) Autoritatea de supraveghere ține un registru public al tipurilor de încălcare notificate. |
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a indica mai detaliat criteriile și cerințele necesare pentru stabilirea încălcării menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal. |
(5) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) pentru stabilirea încălcării și stabilirii întârzierilor nejustificate menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal. |
|
(6) Comisia poate stabili un format standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentației la care se face referire la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în această documentație. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 126 Propunere de regulament Articolul 32 | |
|
Textul propus de Comisie |
Amendamentul |
|
Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal |
Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal |
|
(1) Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal și a vieții private a persoanei vizate, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal. |
(1) Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal, a vieții private a persoanei vizate, a drepturilor sau intereselor sale legitime, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal. |
|
(2) Informarea persoanei vizate prevăzută la alineatul (1) cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b) și (c). |
(2) Informarea persoanei vizate prevăzută la alineatul (1) este detaliată și utilizează un limbaj clar și explicit. Ea descrie caracterul încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b), (c) și (d) și informațiile despre drepturile persoanei vizate, inclusiv căile de atac. |
|
(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze. |
(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze. |
|
(4) Fără a aduce atingere obligației operatorului de a comunica persoanei vizate încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a comunicat încă persoanei vizate că securitatea datelor sale cu caracter personal a fost încălcată, autoritatea de supraveghere poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru. |
(4) Fără a aduce atingere obligației operatorului de a comunica persoanei vizate încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a comunicat încă persoanei vizate că securitatea datelor sale cu caracter personal a fost încălcată, autoritatea de supraveghere poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru. |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal menționate la alineatul (1). |
(5) Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal, vieții private, drepturilor și intereselor legitime ale persoanei vizate menționate la alineatul (1). |
|
(6) Comisia poate stabili forma în care persoana vizată este informată conform alineatului (1) și procedurile aplicabile respectivei informări. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 127 Propunere de regulament Articolul 32 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 32a |
|
|
Luarea în considerare a riscurilor |
|
|
(1) Operatorul sau, după caz, persoana împuternicită de către operator efectuează o analiză a riscurilor privind impactul potențial al prelucrării de date planificate asupra drepturilor și libertăților persoanelor vizate, prin care evaluează dacă operațiunile sale de prelucrare pot prezenta riscuri specifice. |
|
|
(2) Următoarele operațiuni de prelucrare pot prezenta astfel de riscuri specifice: |
|
|
(a) prelucrarea de date cu caracter personal referitoare la un număr mai mare de 5 000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive; |
|
|
(b) prelucrarea unor categorii speciale de date, astfel cum sunt menționate la articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni; |
|
|
(c) elaborarea unui profil pentru măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă; |
|
|
(d) prelucrarea informațiilor cu caracter personal pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind bolile mentale sau infecțioase, atunci când datele sunt prelucrate în scopul luării de măsuri sau decizii care vizează anumite persoane pe scară largă; |
|
|
(e) monitorizarea automată pe scară largă a zonelor accesibile publicului; |
|
|
(f) alte operațiuni de prelucrare a datelor pentru care este necesară consultarea responsabilului cu protecția datelor sau a autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b); |
|
|
(g) atunci când o încălcare poate pune în pericol protecția datelor cu caracter personal, a vieții private, a drepturilor și intereselor legitime ale persoanelor vizate; |
|
|
(h) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită monitorizarea periodică și sistematică a persoanelor vizate; |
|
|
(i) atunci când datele cu caracter personal sunt accesibile unui număr de persoane care nu poate fi în mod rezonabil estimat că este limitat. |
|
|
(3) Potrivit rezultatelor analizei riscurilor: |
|
|
(a) atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a) sau (b), operatorii care nu sunt stabiliți în Uniune desemnează un reprezentant în Uniune, în conformitate cu cerințele și derogările prevăzute la articolul 25; |
|
|
(b) atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b) sau (h), operatorul desemnează un responsabil cu protecția datelor, în conformitate cu cerințele și derogările prevăzute la articolul 35; |
|
|
(c) atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b), (c), (d), (e), (f), (g) sau (h), operatorul sau persoana împuternicită de către operator care acționează în numele operatorului efectuează o evaluare a impactului asupra protecției datelor, în conformitate cu articolul 33; |
|
|
(d) atunci când există operațiuni de prelucrare menționate la alineatul (2) litera (f), operatorul îl consultă pe responsabilul cu protecția datelor sau, în cazul în care nu a fost numit un responsabil cu protecția datelor, autoritatea de supraveghere, în conformitate cu articolul 34. |
|
|
(4) Analiza riscurilor se revizuiește cel târziu după un an sau imediat, în cazul în care natura, domeniul de aplicare sau scopul operațiunilor de prelucrare a datelor se modifică în mod semnificativ. Atunci când, în conformitate cu alineatul (3) litera (c), operatorul nu este obligat să efectueze o evaluare a impactului asupra protecției datelor, se păstrează documentele referitoare la analiza riscurilor. |
Amendamentul 128 Propunere de regulament Capitolul 4 – secțiunea 3 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
EVALUAREA IMPACTULUI PRIVIND PROTECȚIA DATELOR AUTORIZAȚIA PREALABILĂ |
GESTIONAREA PROTECȚIEI DATELOR PE DURATA CICLULUI DE VIAȚĂ |
Amendamentul 129 Propunere de regulament Articolul 33 | |
|
Textul propus de Comisie |
Amendamentul |
|
Evaluarea impactului privind protecția datelor |
Evaluarea impactului privind protecția datelor |
|
(1) Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor, operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, trebuie să efectueze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. |
(1) Atunci când este necesar în temeiul articolului 32a alineatul (3) litera (c), operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, efectuează o evaluare a impactului operațiunilor de prelucrare prevăzute asupra drepturilor și libertăților persoanelor vizate, în special asupra dreptului lor la protecție a datelor cu caracter personal. O evaluare unică este suficientă pentru abordarea unui set de operațiuni de prelucrare similare care prezintă riscuri similare. |
|
(2) Următoarele operațiuni de prelucrare prezintă în special riscurile specifice la care se face referire la alineatul (1): |
|
|
(a) o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică sau care vizează analizarea ori întocmirea de previziuni în special în ceea ce privește situația economică a persoanei fizice, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acesteia, care se bazează pe prelucrarea automată și pe care se bazează măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă; |
|
|
(b) prelucrarea informațiilor privind viața sexuală, sănătatea, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase prelucrarea datelor pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă; |
|
|
(c) monitorizarea zonelor accesibile publicului, mai ales în cazul utilizării pe scară largă a dispozitivelor optoelectronice (supravegherea video); |
|
|
(d) procesarea datelor cu caracter personal în sistemele de evidență a datelor de mari dimensiuni privind minorii sau procesarea datelor biometrice sau genetice; |
|
|
(e) alte operațiuni de prelucrare de date pentru care este necesară consultarea autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b). |
|
|
(3) Evaluarea trebuie să cuprindă cel puțin o descriere generală a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate. |
(2) Evaluarea are în vedere gestionarea întregului ciclu de viață al datelor cu caracter personal, de la culegere la prelucrare și eliminare. Ea cuprinde cel puțin: |
|
|
(a) o descriere sistematică a operațiunilor de prelucrare avute în vedere, scopurile prelucrării și, după caz, interesele legitime urmărite de operator; |
|
|
(b) o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri; |
|
|
(c) o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate, inclusiv riscul de discriminare care poate fi implicat sau sporit de operație; |
|
|
(d) o descriere a măsurilor avute în vedere pentru evitarea riscurilor și reducerea la minimum a cantității de date cu caracter personal care sunt prelucrate; |
|
|
(e) o listă a garanțiilor, măsurilor de securitate și mecanismelor menite să asigure protecția datelor cu caracter personal, cum ar fi pseudonimizarea, și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate; |
|
|
(f) o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date; |
|
|
(h) o explicație referitoare la practicile de protecție a datelor de la momentul conceperii și de protecție implicită a datelor în temeiul articolului 23 care au fost puse în aplicare; |
|
|
(i) o listă a destinatarilor sau categoriile de destinatari ai datelor cu caracter personal; |
|
|
(j) dacă este cazul, o listă a transferurilor de date avute în vedere către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare; |
|
|
(k) o evaluare a contextului prelucrării datelor. |
|
|
(2a) în cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta ar trebui să participe la procedurile de evaluare a impactului. |
|
|
(2b) Se păstrează documente referitoare la evaluare și se stabilește un calendar pentru analize periodice ale conformității privind protecția datelor în temeiul articolului 33a alineatul (1). Evaluarea este actualizată fără întârziere în cazul în care rezultatele analizei conformității privind protecția datelor menționate la articolul 33a indică probleme în ceea ce privește conformitatea. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun evaluarea la dispoziția autorității de supraveghere, la cererea acesteia. |
|
(4) Operatorul solicită avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare. |
|
|
(5) Atunci când operatorul este o autoritate sau un organism public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1) - (4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare. |
|
|
(6) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind operațiunile de prelucrare care pot prezenta riscurile specifice menționate la alineatele (1) și (2), precum și cerințelor pentru evaluare la care se face referire la alineatul (3), inclusiv condițiile de scalabilitate, de verificare și posibilitatea auditării. În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
|
|
(7) Comisia poate să prevadă standarde și proceduri de realizare, verificare și auditare a evaluării menționate la alineatul (3). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
[Alineatului (3) din textul Comisiei a devenit parțial literele (a), (c), (g) și (e) în amendamentul Parlamentului.] | |
Amendamentul 130 Propunere de regulament Articolul 33 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 33a |
|
|
Analiza conformității privind protecția datelor |
|
|
(1) În termen de cel mult doi ani de la realizarea unei evaluări a impactului în temeiul articolului 33 alineatul (1), operatorul sau persoana împuternicită de acesta, care acționează în numele operatorului, realizează o analiză a conformității. Această analiză a conformității demonstrează faptul că prelucrarea datelor cu caracter personal are loc în conformitate cu evaluarea impactului privind protecția datelor. |
|
|
(2) Analiza conformității se realizează periodic, cel puțin din doi în doi ani, sau imediat în cazul în care are loc o modificare a riscurilor specifice pe care le implică operațiunile de prelucrare. |
|
|
(3) În cazul în care rezultatele analizei conformității indică probleme privind conformitatea, analiza conformității conține recomandări cu privire la modalitățile prin care se poate atinge conformitatea deplină. |
|
|
(4) Se păstrează documentele referitoare la analiza conformității și recomandările pe care le conține. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun analiza conformității la dispoziția autorității de supraveghere, la cererea acesteia. |
|
|
(5) În cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta participă la procedurile de revizuire a conformității. |
Amendamentul 131 Propunere de regulament Articolul 34 | |
|
Textul propus de Comisie |
Amendamentul |
|
Autorizarea prealabilă și consultarea prealabilă |
Consultarea prealabilă |
|
(1) Operatorul sau persoana împuternicită de către operator, după caz, obține o autorizație din partea autorității de supraveghere înainte de prelucrarea datelor cu caracter personal, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care un operator sau o persoană împuternicită de către operator adoptă clauzele contractuale prevăzute la articolul 42 alineatul (2) litera (d) sau nu oferă garanții corespunzătoare printr-un instrument obligatoriu din punct de vedere juridic, astfel cum se menționează la articolul 42 alineatul (5) în ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională. |
|
|
(2) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când: |
(1) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, consultă responsabilul cu protecția datelor sau, în cazul în care acesta nu a fost numit, autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când: |
|
(a) o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 33, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare sau scopurile lor, un grad înalt de riscuri specifice; sau |
(a) o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 33, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare sau scopurile lor, un grad înalt de riscuri specifice; sau |
|
(b) autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor, în conformitate cu alineatul (4). |
(b) responsabilul cu protecția datelor sau autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor, în conformitate cu alineatul (4). |
|
(3) Atunci când consideră că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme. |
(2) Atunci când, în conformitate cu atribuțiile sale, constată că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere competentă interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme. |
|
(4) Autoritatea de supraveghere întocmește și publică o listă de operațiuni de prelucrare care sunt supuse consultării prealabile în conformitate cu alineatul (2) litera (b). Autoritatea de supraveghere comunică aceste liste Comitetului european pentru protecția datelor. |
(3) Comitetul european pentru protecția datelor întocmește și publică o listă de operațiuni de prelucrare care sunt supuse consultării prealabile în conformitate cu alineatul (2). |
|
(5) În cazul în care lista prevăzută la alineatul (4) cuprinde activități de prelucrare care presupun furnizarea de bunuri și prestarea de servicii către persoane vizate din mai multe state membre sau la monitorizarea comportamentului lor ori pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57 înainte de adoptarea listei. |
|
|
(6) Operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere evaluarea impactului privind protecția datelor prevăzută la articolul 33 și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și în special a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente. |
(6) Operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere, la cerere, evaluarea impactului privind protecția datelor în conformitate cu articolul 33 și orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și, în special, a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente. |
|
(7) Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptate de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate. |
(7) Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptate de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate. |
|
(8) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind stabilirea gradului înalt de risc specific prevăzut la alineatul 2 litera (a). |
|
|
(9) Comisia poate elabora formulare și proceduri standard pentru autorizațiile și consultările prealabile menționate la alineatele (1) și (2), precum și formulare și proceduri standard de informare a autorităților de supraveghere, în conformitate cu alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 132 Propunere de regulament Articolul 35 | |
|
Textul propus de Comisie |
Amendamentul |
|
Desemnarea responsabilului cu protecția datelor |
Desemnarea responsabilului cu protecția datelor |
|
(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când: |
(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când: |
|
(a) prelucrarea este efectuată de o autoritate sau de un organism public sau |
(a) prelucrarea este efectuată de o autoritate sau de un organism public sau |
|
(b) prelucrarea este efectuată de o întreprindere cu 250 de angajați sau mai mult sau |
(b) prelucrarea este efectuată de o persoană juridică și implică peste 5000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive; or |
|
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura lor, domeniul de aplicare și/sau scopul lor, necesită monitorizarea periodică și sistematică a persoanelor vizate. |
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită monitorizarea periodică și sistematică a persoanelor vizate sau |
|
|
(d) activitățile de bază ale operatorului sau ale persoanei împuternicite de către operator constau în prelucrarea categoriilor speciale de date în conformitate cu articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni. |
|
(2) În cazul menționat la alineatul (1) litera (b), un grup de întreprinderi poate numi un responsabil unic cu protecția datelor. |
(2) Un grup de întreprinderi poate numi un responsabil principal cu protecția datelor, cu condiția să se garantează că un responsabil cu protecția datelor este ușor accesibil din fiecare întreprindere. |
|
(3) În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor poate fi desemnat pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public. |
(3) În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor poate fi desemnat pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public. |
|
(4) În alte cazuri decât cele menționate la alineatul (1), operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor. |
(4) În alte cazuri decât cele menționate la alineatul (1), operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor. |
|
(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. |
(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. |
|
(6) Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese. |
(6) Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese. |
|
(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin doi ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă responsabilul cu protecția datelor nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale. |
(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin patru ani în cazul unui angajat sau doi ani în cazul unui contractant extern de servicii. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale. |
|
(8) Responsabilul cu protecția datelor poate fi un angajat al operatorului sau al persoanei împuternicite de către operator ori poate să își îndeplinească atribuțiile în baza unui contract de servicii. |
(8) Responsabilul cu protecția datelor poate fi un angajat al operatorului sau al persoanei împuternicite de către operator ori poate să își îndeplinească atribuțiile în baza unui contract de servicii. |
|
(9) Operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului numele și datele de contact ale responsabilului cu protecția datelor. |
(9) Operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului numele și datele de contact ale responsabilului cu protecția datelor. |
|
(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament. |
(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament. |
|
(11) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 cu scopul de a specifica în detaliu criteriile și cerințele pentru activitățile principale ale operatorului sau ale persoanei împuternicite de către operator prevăzute la alineatul (1) litera (c), precum și criteriile privind calitățile profesionale ale responsabilului cu protecția datelor prevăzute la alineatul (5). |
|
Amendamentul 133 Propunere de regulament Articolul 36 | |
|
Textul propus de Comisie |
Amendamentul |
|
Funcția responsabilului cu protecția datelor |
Funcția responsabilului cu protecția datelor |
|
(1) Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal. |
(1) Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal. |
|
(2) Operatorul sau persoană împuternicită de către operator se asigură că responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și că nu primește instrucțiuni în privința exercitării funcției. Responsabilul cu protecția datelor răspunde direct în fața conducerii operatorului sau a persoanei împuternicite de către operator. |
(2) Operatorul sau persoană împuternicită de către operator se asigură că responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și că nu primește instrucțiuni în privința exercitării funcției. Responsabilul cu protecția datelor răspunde direct în fața conducerii executive a operatorului sau a persoanei împuternicite de către operator. Operatorul sau persoană împuternicită de către operator desemnează în acest scop un membru al conducerii executive care este responsabil de conformitatea cu dispozițiile prezentului regulament. |
|
(3) Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37. |
(3) Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție toate resursele, inclusiv personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37 și pentru menținerea competențelor sale profesionale. |
|
|
(4) Responsabilii cu protecția datelor au obligația de a respecta secretul privind identitatea persoanelor vizate și circumstanțele ce permit identificarea acestora, cu excepția cazului în care persoanele vizate îi eliberează de această obligație. |
Amendamentul 134 Propunere de regulament Articolul 37 | |
|
Textul propus de Comisie |
Amendamentul |
|
Sarcinile responsabilului cu protecția datelor |
Sarcinile responsabilului cu protecția datelor |
|
(1) Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini: |
Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini: |
|
(a) informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, păstrarea unei evidențe a acestei activități și a răspunsurilor primite; |
(a) sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, mai ales în ceea ce privește măsurile și procedurile tehnice și organizatorice, păstrarea unei evidențe a acestei activități și a răspunsurilor primite; |
|
(b) monitorizarea aplicării politicilor operatorului sau ale persoanei împuternicite de către operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente; |
(b) monitorizarea aplicării politicilor operatorului sau ale persoanei împuternicite de către operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente; |
|
(c) monitorizarea aplicării prezentului regulament, în special în ceea ce privește cerințele legate de protecția datelor de la momentul conceperii, de protecția implicită a datelor, de securitatea datelor, de informațiile persoanelor vizate și de cererile acestora în exercitarea drepturilor lor în temeiul prezentului regulament; |
(c) monitorizarea aplicării prezentului regulament, în special în ceea ce privește cerințele legate de protecția datelor de la momentul conceperii, de protecția implicită a datelor, de securitatea datelor, de informațiile persoanelor vizate și de cererile acestora în exercitarea drepturilor lor în temeiul prezentului regulament; |
|
(d) asigurarea menținerii unei documentații actualizate, prevăzute la articolul 28; |
(d) asigurarea menținerii unei documentații actualizate, prevăzute la articolul 28; |
|
(e) monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a prevederilor legate de datele cu caracter personal, în temeiul articolelor 31 și 32; |
(e) monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a prevederilor legate de datele cu caracter personal, în temeiul articolelor 31 și 32; |
|
(f) monitorizarea efectuării de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de autorizare sau consultare prealabilă, dacă este cazul, în conformitate cu articolele 33 și 34; |
(f) monitorizarea efectuării de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de consultare prealabilă, dacă este cazul, în conformitate cu articolele 32a, 33 și 34; |
|
(g) monitorizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor; |
(g) monitorizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor; |
|
(h) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, consultarea autorității de supraveghere, din proprie inițiativă. |
(h) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, consultarea autorității de supraveghere, din proprie inițiativă. |
|
|
(i) verificarea respectării conformității cu prezentul regulament în cadrul mecanismului de consultare prealabilă prevăzut la articolul 34; |
|
|
(j) informarea reprezentanților lucrătorilor cu privire la prelucrarea datelor acestora din urmă. |
|
(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind sarcinile, certificarea, statutul, competențele și resursele responsabilului cu protecția datelor la care se face referire la alineatul (1). |
|
Amendamentul 135 Propunere de regulament Articolul 38 | |
|
Textul propus de Comisie |
Amendamentul |
|
Coduri de conduită |
Coduri de conduită |
|
(1) Statele membre, autoritățile de supraveghere și Comisia încurajează elaborarea de coduri de conduită menite să contribuie la buna aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare a datelor, în special cu privire la: |
(1) Statele membre, autoritățile de supraveghere și Comisia încurajează elaborarea de coduri de conduită sau adoptarea unor coduri de conduită elaborate de o autoritate de supraveghere, menite să contribuie la buna aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare a datelor, în special cu privire la: |
|
(a) prelucrarea datelor în mod echitabil și transparent; |
(a) prelucrarea datelor în mod echitabil și transparent; |
|
|
(aa) respectarea drepturilor consumatorilor; |
|
(b) colectarea datelor; |
(b) colectarea datelor; |
|
(c) informarea publicului și a persoanelor vizate; |
(c) informarea publicului și a persoanelor vizate; |
|
(d) cererile persoanelor vizate în exercitarea drepturilor acestora; |
(d) cererile persoanelor vizate în exercitarea drepturilor acestora; |
|
(e) informarea și protejarea copiilor; |
(e) informarea și protejarea copiilor; |
|
(f) transferul datelor către țări terțe sau organizații internaționale; |
(f) transferul datelor către țări terțe sau organizații internaționale; |
|
(g) mecanisme de monitorizare și de asigurare a conformității cu codul de către operatorii care aderă la cod; |
(g) mecanisme de monitorizare și de asigurare a conformității cu codul de către operatorii care aderă la cod; |
|
(h) proceduri extrajudiciare și alte proceduri de soluționare a litigiilor pentru soluționarea diferendelor între operatori și persoanele vizate în ceea ce privește prelucrarea datelor cu caracter personal, fără a aduce atingere drepturilor persoanelor vizate, conform articolelor 73 și 75. |
(h) proceduri extrajudiciare și alte proceduri de soluționare a litigiilor pentru soluționarea diferendelor între operatori și persoanele vizate în ceea ce privește prelucrarea datelor cu caracter personal, fără a aduce atingere drepturilor persoanelor vizate, conform articolelor 73 și 75. |
|
(2) Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori într-un stat membru care intenționează să elaboreze coduri de conduită sau să modifice și să extindă codurile de conduită existente le pot prezenta în vederea emiterii unui aviz din partea autorității de supraveghere din statul membru respectiv. Autoritatea de supraveghere poate emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod de conduită sau a modificărilor aduse acestuia. Autoritatea de supraveghere solicită opiniile persoanelor vizate sau ale reprezentanților lor cu privire la aceste proiecte. |
(2) Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori într-un stat membru care intenționează să elaboreze coduri de conduită sau să modifice și să extindă codurile de conduită existente le pot prezenta în vederea emiterii unui aviz din partea autorității de supraveghere din statul membru respectiv. Autoritatea de supraveghere emite un aviz fără întârzieri nejustificate dacă prelucrarea în conformitate cu proiectul de cod de conduită sau cu modificările aduse acestuia este conformă prezentului Regulament. Autoritatea de supraveghere solicită opiniile persoanelor vizate sau ale reprezentanților lor cu privire la aceste proiecte. |
|
(3) Asociațiile și alte organisme care reprezintă categorii de operatori în mai multe state membre pot prezenta Comisiei proiecte de coduri de conduită, precum și modificări sau extinderi ale codurilor de conduită existente. |
(3) Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori în mai multe state membre pot prezenta Comisiei proiecte de coduri de conduită, precum și modificări sau extinderi ale codurilor de conduită existente. |
|
(4) Comisia poate adopta acte de punere în aplicare pentru a decide asupra valabilității generale în Uniune a codurilor de conduită și a modificărilor sau extinderilor la codurile de conduită existente care i-au fost prezentate în conformitate cu alineatul (3). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
(4) După solicitarea unui aviz al Comitetului european pentru protecția datelor, Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide asupra conformității cu prezentul regulament și a valabilității generale în Uniune a codurilor de conduită și a modificărilor sau extinderilor la codurile de conduită existente care i-au fost prezentate în conformitate cu alineatul (3). Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate. |
|
(5) Comisia asigură publicitatea adecvată pentru codurile asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (4). |
(5) Comisia asigură publicitatea adecvată pentru codurile asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (4). |
Amendamentul 136 Propunere de regulament Articolul 39 | |
|
Textul propus de Comisie |
Amendamentul |
|
Certificare |
Certificare |
|
(1) Statele membre și Comisia încurajează, în special la nivel european, instituirea de mecanisme de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Mecanismele de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare. |
|
|
|
(1a) Orice operator sau persoană împuternicită de către operator poate solicita oricărei autorități de supraveghere din Uniune, în schimbul unei taxe rezonabile care ține cont de costurile administrative, să certifice faptul că prelucrarea datelor cu personal este realizată în conformitate cu prezentul regulament, în special cu principiile stabilite la articolele 5, 23 și 30, obligațiile operatorului și ale persoanei împuternicite, precum și drepturile persoanei vizate. |
|
|
(1b) Certificarea este voluntară, accesibilă și disponibilă prin intermediul unui proces transparent, care nu generează sarcini excesive. |
|
|
(1c) Autoritățile de supraveghere și Comitetul european pentru protecția datelor cooperează în cadrul mecanismului pentru asigurarea coerenței în conformitate cu articolul 57 pentru a garanta un mecanism de certificare pentru protecția armonizată a datelor, inclusiv taxe armonizate în cadrul Uniunii. |
|
|
(1d) Pe parcursul procedurii de certificare, autoritatea de supraveghere poate solicita unor auditori externi specializați să efectueze auditarea operatorului sau a persoanei împuternicite de către operator, în numele său. Auditorii externi au personal calificat suficient, sunt imparțiali și nu prezintă conflicte de interese în ceea ce privește îndatoririle lor. Autoritățile de supraveghere revocă acreditarea dacă există motive să creadă că auditorul nu își îndeplinește corect îndatoririle. Certificarea finală este acordată de autoritatea de supraveghere. |
|
|
(1e) Autoritățile de supraveghere acordă operatorilor și persoanelor împuternicite de operatori, care conform auditurilor sunt certificați pentru prelucrarea datelor cu caracter personal în conformitate cu prezentul Regulament, marca standardizată privind protecția datelor „sigiliul european privind protecția datelor”. |
|
|
(1f) „Sigiliul european privind protecția datelor” este valabil atât timp cât operațiunile de protecție a datelor asigurate de operatorul sau de persoana împuternicită de către operator care a obținut certificarea respectă întocmai prezentul regulament. |
|
|
(1g) Fără a aduce atingere dispozițiilor de la alineatul (1f), „sigiliul european privind protecția datelor” este valabil maximum cinci ani. |
|
|
(1h) Comitetul european pentru protecția datelor creează un registru electronic public în care publicul poate vizualiza toate certificatele valabile și nule emise în statul membru în cauză. |
|
|
(1i) Comitetul european pentru protecția datelor poate certifica din proprie inițiativă că un standard tehnic de consolidare a protecție datelor este conform prezentului regulament. |
|
(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alineatul (1), inclusiv a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe. |
(2) După solicitarea unui aviz din partea Comitetul european pentru protecția datelor și consultarea părților interesate, în special a organizațiilor din sector și a organizațiilor neguvernamentale, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alineatele (1a) – (1h), inclusiv a cerințelor pentru acreditarea auditorilor, a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe. Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate. |
|
(3) Comisia poate stabili standarde tehnice pentru mecanismele de certificare și pentru sigiliile și mărcile din domeniul protecției datelor, precum și mecanisme de promovare și recunoaștere a mecanismelor de certificare și a sigiliilor și mărcilor din domeniul protecției datelor. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
|
Amendamentul 137 Propunere de regulament Articolul 41 | |
|
Textul propus de Comisie |
Amendamentul |
|
Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție |
Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție |
|
(1) Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită alte autorizări suplimentare. |
(1) Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale. |
|
(2) Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente: |
(2) Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente: |
|
(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate; |
(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, precum și punerea în aplicare a dispozițiilor acesteia, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate; |
|
(b) existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care au responsabilitatea de a asigura respectarea normelor de protecție a datelor, de a asista și de a consilia persoanele vizate în ceea ce privește exercitarea drepturilor acestora și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune; precum și |
(b) existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care au responsabilitatea de a asigura respectarea normelor de protecție a datelor, inclusiv atribuții suficiente de sancționare, de a asista și de a consilia persoanele vizate în ceea ce privește exercitarea drepturilor acestora și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune; precum și |
|
(c) angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză. |
(c) angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză, în special orice convenții sau instrumente obligatorii din punct de vedere juridic referitoare la protecția datelor cu caracter personal.
|
|
(3) Comisia poate decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță sau un teritoriu din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Aceste acte delegate prevăd o clauză de caducitate dacă se referă la un sector de prelucrare și sunt revocate în conformitate cu alineatul (5) de îndată ce nu mai este asigurat un nivel adecvat de protecție în conformitate cu prezentul regulament. |
|
(4) Actul de punere în aplicare menționează aplicarea geografică și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b). |
(4) Actul delegat menționează aplicarea teritorială și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b). |
|
|
(4a) Comisia monitorizează în permanență evoluțiile din țările terțe și organizațiile internaționale ce ar putea afecta îndeplinirea elementelor enumerate la alineatul (2) în cazul în care un act delegat a fost adoptat în temeiul alineatului (3). |
|
(5) Comisia poate decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură un nivel de protecție adecvat în sensul alineatului (2) al prezentului articol, în special în cazurile în care legislația relevantă, atât cea generală, cât și cea specifică, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2), sau, în cazuri de extremă urgență pentru persoanele fizice în ceea ce privește dreptul la protecția datelor cu caracter personal, în conformitate cu procedura menționată la articolul 87 alineatul (3). |
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură sau nu mai asigură un nivel de protecție adecvat în sensul alineatului (2) al prezentului articol, în special în cazurile în care legislația relevantă, atât cea generală, cât și cea specifică, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate. |
|
(6) În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, fără a aduce atingere articolelor 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol. |
(6) În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, fără a aduce atingere articolelor 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol. |
|
|
(6a) Anterior adoptării unui act delegat așa cum se menționează la alineatele (3) și (5), Comisia solicită Comitetului european pentru protecția datelor să emită un aviz privind caracterul adecvat al nivelului de protecție. În acest scop, Comisia pune la dispoziția Comitetului european pentru protecția datelor toată documentația necesară, inclusiv corespondența purtată cu autoritățile publice ale țării terțe, ale teritoriului respectiv sau ale sectorului de prelucrare din țara respectivă sau cu organizația internațională. |
|
(7) Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat. |
(7) Comisia publică în Jurnalul Oficial al Uniunii Europene și pe site-ul său o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat. |
|
(8) Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE rămân în vigoare, până când sunt modificate, înlocuite sau abrogate de către Comisie. |
(8) Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE rămân în vigoare timp de cinci ani de la intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către Comisie înainte de sfârșitul acestei perioade. |
Amendamentul 138 Propunere de regulament Articolul 42 | |
|
Textul propus de Comisie |
Amendamentul |
|
Transferurile în baza unor garanții adecvate |
Transferurile în baza unor garanții adecvate |
|
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie. |
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41 sau decide că o țară terță sau un teritoriu ori un sector de prelucrare din respectiva țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu articolul 41 alineatul (5), operatorul sau persoana împuternicită de către operator nu poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale cu excepția cazului în care operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie. |
|
(2) Garanțiile corespunzătoare menționate la alineatul (1) sunt furnizate, în special, prin: |
(2) Garanțiile corespunzătoare menționate la alineatul (1) sunt furnizate, în special, prin: |
|
(a) reguli corporatiste obligatorii în conformitate cu articolul 43 sau |
(a) reguli corporatiste obligatorii în conformitate cu articolul 43; or |
|
|
(aa) deținerea de către operator sau persoana împuternicită de operator a unui „sigiliu în domeniul protecției datelor” conform articolului 39 alineatul (1e) sau |
|
(b) clauze standard de protecție a datelor adoptate de Comisie. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2) sau |
|
|
(c) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b) sau |
(c) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b) sau |
|
(d) clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4). |
(d) clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4). |
|
(3) Transferul realizat în baza clauzelor standard de protecție a datelor sau a regulilor corporatiste obligatorii menționate la alineatul (2) literele (a), (b) sau (c) nu necesită o altă autorizare suplimentară. |
(3) Transferul realizat în baza clauzelor standard de protecție a datelor, a „sigiliului în domeniul protecției datelor”sau a regulilor corporatiste obligatorii menționate la alineatul (2) literele (a), (aa) sau (c) nu necesită o altă autorizare suplimentară specifică. |
|
(4) Atunci când transferul se realizează în baza unor clauzele contractuale, astfel cum se menționează în prezentul articol la alineatul (2) litera (d), operatorul sau persoana împuternicită de către operator obține de la autoritatea de supraveghere autorizarea prealabilă pentru clauzele contractuale, în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. |
(4) Atunci când transferul se realizează în baza unor clauze contractuale, astfel cum se menționează în prezentul articol la alineatul (2) litera (d), operatorul sau persoana împuternicită de operator obține de la autoritatea de supraveghere competentă autorizare prealabilă pentru clauzele contractual. Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. |
|
(5) În cazul în care nu se furnizează garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie, operatorul sau persoana împuternicită de către operator obține autorizarea prealabilă pentru transfer sau seria de transferuri, sau pentru dispozițiile care vor fi incluse în acordurile administrative care constituie temeiul pentru un astfel de transfer. Autorizarea acordată de autoritatea de supraveghere este în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. Autorizațiile acordate de către autoritatea de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile, până la data la care sunt modificate, înlocuite sau abrogate de către respectiva autoritate de supraveghere. |
(5) Autorizațiile acordate de către autoritatea de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile timp de doi ani după intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către respectiva autoritate de supraveghere înainte de sfârșitul acestei perioade. |
Amendamentul 139 Propunere de regulament Articolul 43 | |
|
Textul propus de Comisie |
Amendamentul |
|
Transferurile în baza regulilor corporatiste obligatorii |
Transferurile în baza regulilor corporatiste obligatorii |
|
(1) În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, autoritatea de supraveghere aprobă regulile corporatiste obligatorii, cu condiția ca acestea: |
(1) În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, autoritatea de supraveghere aprobă regulile corporatiste obligatorii, cu condiția ca acestea: |
|
(a) să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului sau al persoanei împuternicite de către operator și să includă și pe salariații acestora; |
(a) să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului și acelor subcontractanți externi care fac obiectul regulilor corporatiste obligatorii și să includă și pe salariații acestora; |
|
(b) să confere, în mod expres, drepturi opozabile persoanelor vizate; |
(b) să confere, în mod expres, drepturi opozabile persoanelor vizate; |
|
(c) să îndeplinească cerințele prevăzute la alineatul (2). |
(c) să îndeplinească cerințele prevăzute la alineatul (2). |
|
|
(1a) În ceea ce privește datele de angajare, reprezentanții angajaților sunt informați cu privire la regulile corporatiste obligatorii și, în conformitate cu legislația și practicile Uniunii și ale statelor membre, sunt implicați în elaborarea acestora în conformitate cu articolul 43. |
|
(2) Regulile corporatiste obligatorii trebuie să precizeze cel puțin: |
(2) Regulile corporatiste obligatorii trebuie să precizeze cel puțin: |
|
(a) structura și datele de contact ale grupului de întreprinderi și membrii din componența sa; |
(a) structura și datele de contact ale grupului de întreprinderi și membrii din componența sa și acei subcontractanți externi care intră în domeniul de aplicare al regulilor corporatiste obligatorii; |
|
(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării și scopurile prelucrării, categoriile de persoane vizate și identificarea țării terțe sau a țărilor terțe în cauză; |
(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării și scopurile prelucrării, categoriile de persoane vizate și identificarea țării terțe sau a țărilor terțe în cauză; |
|
(c) caracterul obligatoriu, atât pe plan intern, cât și extern; |
(c) caracterul obligatoriu, atât pe plan intern, cât și extern; |
|
(d) principiile generale în materie de protecție a datelor, în special limitarea scopului, calitatea datelor, temeiul juridic pentru prelucrarea datelor, prelucrarea datelor sensibile cu caracter personal; măsuri de asigurare a securității datelor, precum și cerințele pentru transferurile ulterioare către organizații care nu au obligații în temeiul politicilor; |
(d) principiile generale în materie de protecție a datelor, în special limitarea scopului, reducerea la minimum a cantității datelor, perioade limitate de reținere, calitatea datelor, protecția datelor încă din faza de concepție și de protecție implicită a datelor, temeiul juridic pentru prelucrarea datelor, prelucrarea datelor sensibile cu caracter personal; măsuri de asigurare a securității datelor, precum și cerințele pentru transferurile ulterioare către organizații care nu au obligații în temeiul politicilor; |
|
(e) drepturile persoanelor vizate și mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unei măsuri bazate pe crearea de profiluri în conformitate cu articolul 20, dreptul de a depune o plângere în fața autorității de supraveghere competente și în fața instanțelor competente ale statelor membre, în conformitate cu articolul 75, precum și dreptul de a obține despăgubiri și, după caz, compensații pentru încălcarea regulilor corporatiste obligatorii; |
(e) drepturile persoanelor vizate și mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unei măsuri bazate pe crearea de profiluri în conformitate cu articolul 20, dreptul de a depune o plângere în fața autorității de supraveghere competente și în fața instanțelor competente ale statelor membre, în conformitate cu articolul 75, precum și dreptul de a obține despăgubiri și, după caz, compensații pentru încălcarea regulilor corporatiste obligatorii; |
|
(f) acceptarea de către operator sau de persoana împuternicită de către operator, cu sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru al grupului de întreprinderi care nu are sediul în Uniune; operatorul sau persoana împuternicită de către operator pot fi exonerați de răspundere, integral sau parțial, numai în condițiile în care dovedesc că membrul respectiv nu răspunde de evenimentul care a cauzat daune; |
(f) acceptarea de către operatorul cu sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru al grupului de întreprinderi care nu are sediul în Uniune; operatorul poate fi exonerat de răspundere, integral sau parțial, numai în condițiile în care dovedesc că membrul respectiv nu răspunde de evenimentul care a cauzat daune; |
|
(g) modul în care informațiile privind regulile corporatiste obligatorii, în special cu privire la dispozițiile menționate la literele (d), (e) și (f) de la prezentul alineat sunt furnizate persoanelor vizate, conform articolului 11; |
(g) modul în care informațiile privind regulile corporatiste obligatorii, în special cu privire la dispozițiile menționate la literele (d), (e) și (f) de la prezentul alineat sunt furnizate persoanelor vizate, conform articolului 11; |
|
(h) sarcinile responsabilului cu protecția datelor, desemnat în conformitate cu articolul 35, inclusiv monitorizarea în cadrul grupului de întreprinderi a respectării regulilor corporatiste obligatorii, precum și monitorizarea formării și a gestionării plângerilor; |
(h) sarcinile responsabilului cu protecția datelor, desemnat în conformitate cu articolul 35, inclusiv monitorizarea în cadrul grupului de întreprinderi a respectării regulilor corporatiste obligatorii, precum și monitorizarea formării și a gestionării plângerilor; |
|
(i) mecanismele din cadrul grupului de întreprinderi în vederea garantării conformității cu regulile corporatiste obligatorii; |
(i) mecanismele din cadrul grupului de întreprinderi în vederea garantării conformității cu regulile corporatiste obligatorii; |
|
(j) mecanismele de comunicare și înregistrare a modificărilor aduse politicilor și de comunicare a acestor modificări autorității de supraveghere; |
(j) mecanismele de comunicare și înregistrare a modificărilor aduse politicilor și de comunicare a acestor modificări autorității de supraveghere; |
|
(k) mecanismul de cooperare cu autoritatea de supraveghere menite să asigure respectarea regulilor de către oricare membru al grupului de întreprinderi, în special prin punerea la dispoziția autorității de supraveghere a rezultatelor verificărilor cu privire la măsurile menționate la punctul (i) de la prezentul alineat. |
(k) mecanismul de cooperare cu autoritatea de supraveghere menite să asigure respectarea regulilor de către oricare membru al grupului de întreprinderi, în special prin punerea la dispoziția autorității de supraveghere a rezultatelor verificărilor cu privire la măsurile menționate la punctul (i) de la prezentul alineat. |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză. |
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii formatului, procedurii, criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, inclusiv transparența pentru persoanele vizate, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză. |
|
(4) Comisia poate preciza formatul și procedurile pentru schimbul de informații prin mijloace electronice între operatori, persoanele împuternicite de către operatori și autoritățile de supraveghere pentru regulile corporative cu forță juridică obligatorie în sensul prezentului articol. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
|
Amendamentul 140 Propunere de regulament Articolul 43 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 43a |
|
|
Transferurile sau divulgările de informații neautorizate de legislația Uniunii |
|
|
(1) Nicio sentință a unei instanțe sau a unui tribunal și nicio decizie a unei autorități administrative dintr-o țară terță potrivit căreia un operator sau o persoană împuternicită de către un operator trebuie să divulge date cu caracter personal nu va fi recunoscută și nu va fi executorie sub nicio formă, fără a aduce atingere unui tratat de asistență juridică reciprocă sau unui acord internațional în vigoare între țara terță solicitantă și Uniune sau un stat membru al acesteia. |
|
|
(2) În cazul în care o hotărâre a unei instanțe sau o decizie a unei autorități administrative a unei țări terțe impune unui operator sau persoanei împuternicite de acesta să comunice date cu caracter personal, operatorul, persoana împuternicită de acesta sau, după caz, reprezentantul operatorului notifică fără întârziere autoritatea de supraveghere cu privire la respectiva solicitare și trebuie să solicite autorizarea autorității de supraveghere anterior transferului. |
|
|
(3) Autoritatea de supraveghere evaluează conformitatea solicitării de divulgare cu prezentul regulament și, în special, dacă divulgarea este necesară și impusă de lege în conformitate cu articolul 44 alineatul (1) literele (d) și (e) și cu articolul 44 alineatul (5). În cazul în care sunt afectate persoane vizate dintr-un alt stat membru, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței menționat la articolul 57. |
|
|
(4) Autoritatea de supraveghere informează autoritatea națională competentă cu privire la solicitare. Fără a aduce atingere dispozițiilor de la articolul 21, operatorul sau persoana împuternicită de către operator informează, de asemenea, persoanele vizate cu privire la solicitare și la autorizația acordată de autoritatea de supraveghere și, după caz, informează persoana vizată dacă datele sale cu caracter personal au fost transmise autorităților publice în cursul ultimelor 12 luni consecutive în conformitate cu articolul 14 alineatul (1) litera (ha). |
Amendamentul 141 Propunere de regulament Articolul 44 | |
|
Textul propus de Comisie |
Amendamentul |
|
Derogări |
Derogări |
|
(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41, sau a unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care: |
(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41, sau a unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care: |
|
(a) persoana vizată și-a exprimat acordul cu privire la transferul propus, după ce a fost informată cu privire la riscurile acestor transferuri în lipsa unei decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor corespunzătoare sau |
(a) persoana vizată și-a exprimat acordul cu privire la transferul propus, după ce a fost informată cu privire la riscurile acestor transferuri în lipsa unei decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor corespunzătoare sau |
|
(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate sau |
(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate sau |
|
(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică sau |
(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică sau |
|
(d) transferul este necesar din motive importante, de interes public sau |
(d) transferul este necesar din motive importante, de interes public sau |
|
(e) transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță sau |
(e) transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță sau |
|
(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul sau |
(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul sau |
|
(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al statului membru, are scopul de a furniza informații publicului și care poate fi consultat fie de public, în general, fie de orice persoană care poate face dovada interesului legitim, în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau al statului membru în acel caz specific sau |
(g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al statului membru, are scopul de a furniza informații publicului și care poate fi consultat fie de public, în general, fie de orice persoană care poate face dovada interesului legitim, în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau al statului membru în acel caz specific. |
|
(h) transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, nu poate fi considerat frecvent sau voluminos, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar. |
|
|
(2) Transferul în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau, în cazul în care acestea vor fi destinatarii. |
(2) Transferul în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau, în cazul în care acestea vor fi destinatarii. |
|
(3) În cazul în care prelucrarea se realizează în baza alineatului (1) litera (h), operatorul sau persoana împuternicită de către operator trebuie să acorde atenție deosebită naturii datelor, scopului și duratei operațiunii sau operațiunilor propuse de prelucrare, situației din țara de origine, din țara terță și din țara de destinație finală și garanțiilor corespunzătoare oferite în ceea ce privește protecția datelor cu caracter personal, în cazul în care este necesar. |
|
|
(4) Literele (b), (c) și (h) de la alineatul (1) nu se aplică în cazul activităților desfășurate de către autoritățile publice în exercitarea competențelor lor publice. |
(4) Literele (b) și (c) de la alineatul (1) nu se aplică în cazul activităților desfășurate de către autoritățile publice în exercitarea competențelor lor publice. |
|
(5) Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul. |
(5) Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul. |
|
(6) Operatorul sau persoana împuternicită de către operator consemnează evaluarea și garanțiile corespunzătoare oferite prevăzute la alineatul (1) litera (h) de la prezentul articol, în documentele prevăzute la articolul 28 și informează autoritatea de supraveghere cu privire la transfer. |
|
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii „motivelor importante, de interes public”, în sensul alineatului (1) litera (d), precum și a criteriilor și cerințelor aplicabile garanțiilor corespunzătoare prevăzute la alineatul (1) litera (h). |
(7) Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) cu scopul detalierii criteriilor și cerințelor aplicabile transferurilor de date în temeiul alineatului (1). |
Amendamentul 142 Propunere de regulament Articolul 45 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) elaborarea de mecanisme eficiente de cooperare internațională pentru a facilita asigurarea aplicării legislației privind protecția datelor cu caracter personal; |
(a) elaborarea de mecanisme eficiente de cooperare internațională pentru a asigura aplicarea legislației privind protecția datelor cu caracter personal; |
Amendamentul 143 Propunere de regulament Articolul 45 – alineatul 1 – litera d a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(da) clarificarea și consultarea privind conflictele jurisdicționale cu țările terțe. |
Amendamentul 144 Propunere de regulament Articolul 45 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 45a |
|
|
Raportul Comisiei |
|
|
Comisia prezintă Parlamentului European și Consiliului la intervale regulate, cel târziu după patru ani de la data menționată la articolul 91 alineatul (1), un raport privind aplicarea articolelor 40-45. În acest sens, Comisia poate solicita informații de la statele membre și de la autoritățile de supraveghere, care sunt furnizate fără întârzieri nejustificate. Raportul se publică. |
Amendamentul 145 Propunere de regulament Articolul 47 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Autoritatea de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate. |
(1) Autoritatea de supraveghere beneficiază de independență și imparțialitate deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate, fără a aduce atingere dispozițiilor referitoare la cooperare și coerență, menționate la Capitolul VII din prezentul regulament. |
Amendamentul 146 Propunere de regulament Articolul 47 – alineatul 7 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(7a) Statele membre se asigură că autoritatea de supraveghere răspunde în fața parlamentului național în materie de control bugetar. |
Amendamentul 147 Propunere de regulament Articolul 50 | |
|
Textul propus de Comisie |
Amendamentul |
|
Secretul profesional |
Secretul profesional |
|
În cursul mandatului și după încetarea mandatului, membrii și personalul autorității de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale. |
În cursul mandatului și după încetarea mandatului și în conformitatea cu legislația și practicile naționale, membrii și personalul autorităților de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale, îndeplinindu-și îndatoririle în mod independent și transparent, în conformitate cu prezentul regulament. |
Amendamentul 148 Propunere de regulament Articolul 51 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare autoritate de supraveghere exercită, pe teritoriul statului membru de care aparține, funcțiile cu care este investită în conformitate cu prezentul regulament. |
(1) Fiecare autoritate de supraveghere are competența de a îndeplini îndatoririle și de a exercita funcțiile cu care este învestită în conformitate cu prezentul regulament, pe teritoriul propriului său stat membru, fără a aduce atingere articolelor 73 și 74. Prelucrarea datelor efectuată de o autoritate publică este supravegheată doar de autoritatea de supraveghere din statul membru respectiv. |
Amendamentul 149 Propunere de regulament Articolul 51 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Atunci când prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator, din Uniune, iar operatorul sau persoană împuternicită de către operator are unități pe teritoriul mai multor state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator are competența supravegherii activităților de prelucrare desfășurate de operator sau de persoana împuternicită de către operator în toate statele membre, fără a aduce atingere dispozițiilor capitolului VII din prezentul regulament. |
eliminat |
Amendamentul 150 Propunere de regulament Articolul 52 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) primește reclamațiile depuse de orice persoană vizată sau de o asociație care reprezintă persoana vizată respectivă, în conformitate cu articolul 73, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai amănunțite sau coordonarea cu o altă autoritate de supraveghere; |
(b) primește reclamațiile depuse de orice persoană vizată sau de o asociație, în conformitate cu articolul 73, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai amănunțite sau coordonarea cu o altă autoritate de supraveghere; |
Amendamentul 151 Propunere de regulament Articolul 52 – alineatul 1 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) desfășoară anchete fie din proprie inițiativă, fie pe baza unei reclamații sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere; |
(d) desfășoară anchete fie din proprie inițiativă, fie pe baza unei reclamații sau a informațiilor specifice și documentate primite prin care se invocă o prelucrare ilegală sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere; |
Amendamentul 152 Propunere de regulament Articolul 52 – alineatul 1 – litera ja (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ja) certifică operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39. |
Amendamentul 153 Propunere de regulament Articolul 52 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special copiilor. |
(2) Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la măsurile corespunzătoare de protecție a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special copiilor. |
Amendamentul 154 Propunere de regulament Articolul 52 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Fiecare autoritate de supraveghere, în colaborare cu Comitetul european pentru protecția datelor, promovează acțiuni de sensibilizare a operatorilor și a persoanelor împuternicite de către operatori cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Aceasta include păstrarea unui registru al sancțiunilor și încălcărilor. Registrul ar trebui să consemneze într-un mod cât mai detaliat atât avertizările, cât și sancțiunile, precum și soluționarea încălcărilor. Fiecare autoritate de supraveghere furnizează microîntreprinderilor, întreprinderilor mici și mijlocii, operatorilor și persoanelor împuternicite de către operatori, la cerere, informații generale cu privire la responsabilitățile și obligațiile ce le revin în temeiul prezentului regulament. |
Amendamentul 155 Propunere de regulament Articolul 52 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) În cazul în care cererile sunt în mod evident excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă sau poate să nu efectueze acțiunea care face obiectul cererii persoanei vizate. Sarcina probei cu privire la caracterul evident excesiv al cererii revine autorității de supraveghere. |
(6) În cazul în care cererile sunt în mod evident excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă rezonabilă sau poate să nu efectueze acțiunea care face obiectul cererii persoanei vizate. Această taxă nu depășește costurile adoptării măsurii solicitate. Sarcina probei cu privire la caracterul evident excesiv al cererii revine autorității de supraveghere. |
Amendamentul 156 Propunere de regulament Articolul 53 | |
|
Textul propus de Comisie |
Amendamentul |
|
Funcții |
Funcții |
|
(1) Fiecare autoritate de supraveghere este abilitată: |
(1) În conformitate cu prezentul regulament, fiecare autoritate de supraveghere este abilitată: |
|
(a) să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată; |
(a) să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată, sau să impună operatorului să comunice persoanei vizate încălcarea securității datelor cu caracter personal; |
|
(b) să solicite operatorului sau persoanei împuternicite de către operator să respecte cererile persoanei vizate de exercitare a drepturilor prevăzute de prezentul regulament; |
(b) să solicite operatorului sau persoanei împuternicite de către operator să respecte cererile persoanei vizate de exercitare a drepturilor prevăzute de prezentul regulament; |
|
(c) să solicite operatorului sau persoanei împuternicite de către operator și, după caz, reprezentantului să furnizeze orice informații relevante pentru îndeplinirea funcțiilor sale; |
(c) să solicite operatorului sau persoanei împuternicite de către operator și, după caz, reprezentantului să furnizeze orice informații relevante pentru îndeplinirea funcțiilor sale; |
|
(d) să asigure respectarea autorizațiilor prealabile și a consultărilor prealabile prevăzute la articolul 34; |
(d) să asigure respectarea autorizațiilor prealabile și a consultărilor prealabile prevăzute la articolul 34; |
|
(e) să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator; |
(e) să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator; |
|
(f) să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentului regulament, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date; |
(f) să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentului regulament, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date; |
|
(g) să impună interdicția temporară sau definitivă privind prelucrarea; |
(g) să impună interdicția temporară sau definitivă privind prelucrarea; |
|
(h) să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională; |
(h) să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională; |
|
(i) să emită avize cu privire la orice aspect legat de protecția datelor cu caracter personal; |
(i) să emită avize cu privire la orice aspect legat de protecția datelor cu caracter personal; |
|
|
(ia) să certifice operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39; |
|
(j) să informeze parlamentul național, guvernul sau alte instituții politice, precum și publicul cu privire la orice aspect legat de protecția datelor cu caracter personal. |
(j) să informeze parlamentul național, guvernul sau alte instituții politice, precum și publicul cu privire la orice aspect legat de protecția datelor cu caracter personal; |
|
|
(ja) să stabilească mecanisme eficiente pentru a încuraja comunicarea confidențială a încălcărilor prezentului regulament, luând în considerare orientările formulate de Comitetul european pentru protecția datelor în conformitate cu articolul 66 alineatul (4) litera (b). |
|
(2) Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator: |
(2) Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator, fără înștiințare prealabilă: |
|
(a) accesul la toate datele cu caracter personal și la toate informațiile necesare pentru executarea atribuțiilor sale; |
(a) accesul la toate datele cu caracter personal și la toate documentele și informațiile necesare pentru executarea atribuțiilor sale; |
|
(b) accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor, în cazul în care există motive întemeiate de a presupune că se efectuează o activitate care contravine prezentului regulament. |
(b) accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor. |
|
Puterile prevăzute la litera (b) se exercită în conformitate cu dreptul Uniunii și cu legislația statului membru. |
Puterile prevăzute la litera (b) se exercită în conformitate cu dreptul Uniunii și cu legislația statului membru. |
|
(3) Fiecare autoritate de supraveghere este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2). |
(3) Fiecare autoritate de supraveghere este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2). |
|
(4) Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în special cele prevăzute la articolul 79 alineatele (4), (5) și (6). |
(4) Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în conformitate cu articolul 79. Aceste competențe se exercită într-un mod eficient, proporțional și disuasiv. |
Amendamentul 157 Propunere de regulament Articolul 54 | |
|
Textul propus de Comisie |
Amendamentul |
|
Fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale. Raportul trebuie să fie prezentat parlamentului național și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor. |
Fiecare autoritate de supraveghere trebuie să întocmească un raport cu privire la activitățile sale cel puțin o dată la doi ani. Raportul este prezentat parlamentului respectiv și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor. |
Amendamentul 158 Propunere de regulament Articolul 54 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 54a |
|
|
Autoritatea principală |
|
|
(1) În cazul în care prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator din Uniune, iar operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre, sau în cazul în care se prelucrează date cu caracter personal ale rezidenților din mai multe state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator deține rolul de autoritate principală responsabilă de supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator în toate statele membre, în conformitate cu dispozițiile capitolului VII din prezentul Regulament. |
|
|
(2) Autoritatea principală de supraveghere ia măsuri corespunzătoare pentru supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă doar după consultarea celorlalte autorități de supraveghere competente în sensul articolului 51 alineatul (1), străduindu-se să ajungă la un consens. În acest scop, ea prezintă, în special, toate informațiile relevante și consultă celelalte autorități înainte să adopte o măsură prevăzută a produce efecte juridice în ceea ce privește operatorul sau persoana împuternicită de către operator în sensul articolului 51 alineatul (1). Autoritatea principală ține cont în cea mai mare măsură de opiniile autorităților implicate. Autoritatea principală este unica autoritate împuternicită să hotărască cu privire la măsurile prevăzute a produce efecte juridice în ceea ce privește activitățile de procesare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă. |
|
|
(3) Comitetul european pentru protecția datelor, la cererea autorității de supraveghere competente, emite un aviz cu privire la identificarea autorității principale responsabile de operator sau de persoana împuternicită de către operator, în cazul în care: |
|
|
(a) nu reiese în mod clar din situația de fapt unde este situată unitatea principală a operatorului sau a persoanei împuternicite de către operator; sau |
|
|
(b) autoritățile competente nu sunt de acord cu privire la identitatea autorității de supraveghere care deține rolul de autoritate principală; sau |
|
|
(c) operatorul nu deține unități pe teritoriul Uniunii, iar rezidenți din diferite state membre sunt afectați de operațiunile de prelucrare care fac obiectul prezentului regulament. |
|
|
(3a) în cazul în care operatorul exercită, de asemenea, activități în calitate de persoană împuternicită a unui operator, autoritatea de supraveghere a unității principale a operatorului deține rolul de autoritate principală pentru supravegherea activităților de prelucrare. |
|
|
(4) Comitetul european pentru protecția datelor poate hotărî cu privire la identificarea autorității principale. |
Alineatul (1) din amendamentul Parlamentului se întemeiază pe articolul 51 alineatul (2) din propunerea Comisiei. | |
| |
Amendamentul 159 Propunere de regulament Articolul 55 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de autorizare și consultare prealabile, inspecții și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora atunci când persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare. |
(1) Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de autorizare și consultare prealabile, inspecții și investigații, precum și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora în cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau atunci când persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare. Autoritatea principală definită la articolul 54a asigură coordonarea cu autoritățile de supraveghere implicate și deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator. |
Amendamentul 160 Propunere de regulament Articolul 55 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă. |
(7) Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă de la autoritatea de supraveghere solicitantă. |
Amendamentul 161 Propunere de regulament Articolul 55 – alineatul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
(8) În cazul în care o autoritate de supraveghere nu acționează în termen de o lună de la solicitarea din partea altei autorități de supraveghere, aceasta din urmă are competența de a lua o măsură provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 51 alineatul (1), și sesizează Comitetul european pentru protecția datelor în conformitate cu procedura menționată la articolul 57. |
(8) În cazul în care o autoritate de supraveghere nu acționează în termen de o lună de la solicitarea din partea altei autorități de supraveghere, aceasta din urmă are competența de a lua o măsură provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 51 alineatul (1), și sesizează Comitetul european pentru protecția datelor în conformitate cu procedura menționată la articolul 57. Autoritatea de supraveghere solicitantă poate adopta măsuri provizorii în temeiul articolului 53 pe teritoriul propriului său stat membru, în cazul în care, din cauza nefinalizării asistenței, nu se pot adopta încă măsuri definitive. |
Amendamentul 162 Propunere de regulament Articolul 55 – alineatul 9 | |
|
Textul propus de Comisie |
Amendamentul |
|
(9) Autoritatea de supraveghere precizează perioada de valabilitate a acestei măsuri provizorii. Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei. |
(9) Autoritatea de supraveghere precizează perioada de valabilitate a acestei măsuri provizorii. Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei în conformitate cu procedura menționată la articolul 57. |
Amendamentul 163 Propunere de regulament Articolul 55 – alineatul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
(10) Comisia poate specifica forma și procedurile pentru asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de informații prin mijloace electronice între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
(10) Comitetul european pentru protecția datelor poate specifica forma și procedurile pentru asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de informații prin mijloace electronice între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la alineatul (6). |
Amendamentul 164 Propunere de regulament Articolul 56 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la misiunile comune de anchetă sau la operațiunile comune, după caz. Autoritatea de supraveghere competentă invită autoritățile de supraveghere din fiecare dintre aceste state membre să ia parte la misiunile comune de anchetă sau operațiunile comune respective și răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni. |
(2) În cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau dacă persoanele vizate din mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la misiunile comune de anchetă sau la operațiunile comune, după caz. Autoritatea principală definită la articolul 54a implică autoritățile de supraveghere din fiecare dintre aceste state membre în misiunile comune de anchetă sau operațiunile comune respective și răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni. Autoritatea principală deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator. |
Amendamentul 165 Propunere de regulament Articolul 57 | |
|
Textul propus de Comisie |
Amendamentul |
|
Mecanismul pentru asigurarea coerenței |
Mecanismul pentru asigurarea coerenței |
|
Pentru scopurile stabilite la articolul 46 alineatul (1), autoritățile de supraveghere cooperează între ele și cu Comisia prin mecanismul pentru asigurarea coerenței, astfel cum se prevede în prezenta secțiune. |
Pentru scopurile stabilite la articolul 46 alineatul (1), autoritățile de supraveghere cooperează între ele și cu Comisia prin mecanismul pentru asigurarea coerenței privind atât chestiunile cu caracter general cât și cazurile specifice în conformitate cu dispozițiile din prezenta secțiune. |
Amendamentul 166 Propunere de regulament Articolul 58 | |
|
Textul propus de Comisie |
Amendamentul |
|
Avizul Comitetului european pentru protecția datelor |
Coerența privind chestiunile de aplicare generală |
|
(1) Înainte de a adopta o măsură menționată la alineatul (2), o autoritate de supraveghere comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei. |
(1) Înainte de a adopta o măsură menționată la alineatul (2), o autoritate de supraveghere comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei. |
|
(2) Obligația prevăzută la alineatul (1) se aplică unei măsuri menite să producă efecte juridice și care: |
(2) Obligația prevăzută la alineatul (1) se aplică unei măsuri menite să producă efecte juridice și care: |
|
(a) se referă la activități de prelucrare legate de furnizarea de bunuri sau servicii persoanelor vizate în mai multe state membre, sau de monitorizarea comportamentului acestora sau |
|
|
(b) pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii sau |
|
|
(c) vizează adoptarea unei liste de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34 alineatul (5) sau |
|
|
(d) vizează determinarea clauzelor standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (c) sau |
(d) vizează determinarea clauzelor standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (c); sau |
|
(e) vizează autorizarea clauzelor contractuale menționate la articolul 42 alineatul (2) litera (d) sau |
(e) vizează autorizarea clauzelor contractuale menționate la articolul 42 alineatul (2) litera (d); sau |
|
(f) vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 43. |
(f) vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 43. |
|
(3) Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56. |
(3) Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56. |
|
(4) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței. |
(4) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței. |
|
(5) Autoritățile de supraveghere și Comisia comunică electronic orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, utilizând un formular standard. |
(5) Autoritățile de supraveghere și Comisia comunică electronic, fără întârzieri nejustificate, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, utilizând un formular standard. |
|
(6) Președintele Comitetului european pentru protecția datelor informează fără întârziere pe cale electronică membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Președintele Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar. |
(6) Președintele Comitetului european pentru protecția datelor informează fără întârzieri nejustificate, pe cale electronică, membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Secretariatul Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar. |
|
|
(6a) Comitetul european pentru protecția datelor adoptă un aviz cu privire la chestiunile care îi sunt prezentate în temeiul alineatului (2). |
|
(7) În cazul în care Comitetul european pentru protecția datelor decide acest lucru prin majoritate simplă a membrilor săi sau în cazul în care orice autoritate de supraveghere sau Comisia solicită acest lucru, Comitetul european pentru protecția datelor emite un aviz cu privire la chestiune în termen de o săptămână de la data la care informațiile relevante au fost furnizate în conformitate cu alineatul (5). Avizul este adoptat în termen de o lună cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. Președintele Comitetului european pentru protecția datelor informează, fără întârziere nejustificată, autoritatea de supraveghere menționată, după caz, la alineatele (1) și (3), Comisia și autoritatea de supraveghere competentă în conformitate cu articolul 51 cu privire la aviz și îl publică. |
(7) Comitetul european pentru protecția datelor poate hotărî prin majoritate simplă dacă adoptă un aviz cu privire la orice chestiune prezentată în temeiul alineatelor (3) și (4), ținând seama: |
|
|
(a) dacă chestiunea prezintă elemente noi, luând în considerare evoluțiile de drept sau de fapt, în special în domeniul tehnologiei informației și în lumina evoluțiilor din societatea informațională, precum și |
|
|
(b) dacă Comitetul european pentru protecția datelor a emis deja un aviz cu privire la aceeași chestiune. |
|
(8) Autoritatea de supraveghere menționată la alineatul (1) și autoritatea de supraveghere competentă în conformitate cu articolul 51 țin seama de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la avizul președintelui Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. |
(8) Comitetul european pentru protecția datelor adoptă avize în conformitate cu alineatul (6) litera (a) și alineatul (7) cu o majoritate simplă a membrilor săi. Aceste avize sunt făcute publice. |
Amendamentul 167 Propunere de regulament Articolul 58 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 58a |
|
|
Coerența în cazurile specifice |
|
|
(1) Înainte de a adopta o măsură prevăzută a produce efecte juridice în sensul articolului 54a, autoritatea principală oferă toate informațiile pertinente și prezintă proiectul de măsură tuturor celorlalte autorități competente. Autoritatea principală nu adoptă măsura dacă o autoritate competentă a indicat, în termen de trei săptămâni, că are obiecții semnificative cu privire la măsura respectivă. |
|
|
(2) În cazul în care o autoritate competentă a indicat că are obiecții semnificative cu privire la proiectul de măsură al autorității principale, sau în cazul în care autoritatea principală nu prezintă un proiect de măsură menționat la alineatul (1) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56, Comitetul european pentru protecția datelor examinează această chestiune. |
|
|
(3) Autoritatea principală și/sau alte autorități competente interesate și Comisia comunică pe cale electronică, fără întârzieri nejustificate, Comitetului european pentru protecția datelor, utilizând un formular standard, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, obiecțiile ridicate împotriva acesteia și opiniile celorlalte autorități de supraveghere vizate. |
|
|
(4) Comitetul european pentru protecția datelor examinează această chestiune, luând în considerare impactul proiectelor de măsuri propuse de autoritatea principală cu privire la drepturile și libertățile fundamentale ale persoanelor vizate, și hotărăște prin majoritatea simplă a membrilor săi dacă emite un aviz cu privire la respectiva chestiune în termen de două săptămâni de la primirea informațiilor relevante în temeiul alineatului (3). |
|
|
(5) În cazul în care Comitetul european pentru protecția datelor hotărăște să emită un aviz, acest lucru se efectuează în termen de șase săptămâni, iar avizul este făcut public. |
|
|
(6) Autoritatea de supraveghere ține seama în cea mai mare măsură de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la aviz de către președintele Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. În cazul în care autoritatea principală intenționează să nu urmeze avizul Comitetului european pentru protecția datelor, aceasta prezintă o explicație motivată. |
|
|
(7) În cazul în care Comitetul european pentru protecția datelor prezintă încă obiecții în legătură cu măsura autorității de supraveghere menționată la alineatul (5), acesta poate adopta, în termen de o lună, cu o majoritate de două treimi o măsură obligatorie pentru autoritatea de supraveghere. |
Amendamentul 168 Propunere de regulament Articolul 59 | |
|
Textul propus de Comisie |
Amendamentul |
|
Articolul 59 |
eliminat |
|
Avizul Comisiei |
|
|
(1) În termen de zece săptămâni din momentul în care o chestiune a fost ridicată în conformitate cu articolul 58, sau cel târziu în termen de șase săptămâni în cazul articolului 61, Comisia poate adopta, pentru a asigura aplicarea corectă și coerentă a prezentului regulament, un aviz cu privire la chestiunile ridicate în temeiul articolelor 58 sau 61. |
|
|
(2) Atunci când Comisia a adoptat un aviz în conformitate cu alineatul (1), autoritatea de supraveghere în cauză acordă atenție maximă avizului Comisiei și informează Comisia și Comitetul european pentru protecția datelor dacă intenționează să își mențină sau să modifice proiectul de măsură. |
|
|
(3) În timpul perioadei menționate la alineatul (1), autoritatea de supraveghere nu adoptă proiectul de măsură. |
|
|
(4) În cazul în care autoritatea de supraveghere în cauză intenționează să nu se conformeze avizului Comisiei, acesta informează Comisia și Comitetul european pentru protecția datelor respectând termenul menționat la alineatul (1) și furnizează o motivare. În acest caz, proiectul de măsură nu este adoptat timp de o lună suplimentară. |
|
Amendamentul 169 Propunere de regulament Articolul 60 | |
|
Textul propus de Comisie |
Amendamentul |
|
Articolul 60 |
eliminat |
|
Suspendarea unui proiect de măsură |
|
|
(1) În termen de o lună de la comunicarea menționată la articolul 59 alineatul (4) și în cazul în care Comisia are îndoieli serioase că proiectul de măsură ar garanta aplicarea corectă a prezentului regulament sau, dimpotrivă, că ar avea ca rezultat aplicarea incoerentă a regulamentului, Comisia, ținând cont de avizul emis de Comitetul european pentru protecția datelor în temeiul articolului 58 alineatul (7) sau al articolului 61 alineatul (2), poate adopta o decizie motivată care să oblige autoritatea de supraveghere să suspende adoptarea proiectului de măsură, în cazul în care se consideră că acest lucru este necesar pentru: |
|
|
(a) a concilia pozițiile divergente ale autorității de supraveghere și Comitetului european pentru protecția datelor, în cazul în care acest lucru pare încă posibil sau |
|
|
(b) a adopta o măsură în temeiul articolului 62 alineatul (1) litera (a). |
|
|
(2) Comisia precizează durata suspendării, care nu depășește 12 luni. |
|
|
(3) În timpul perioadei menționate la alineatul (2), autoritatea de supraveghere nu poate adopta proiectul de măsură. |
|
Amendamentul 170 Propunere de regulament Articolul 60 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 60a |
|
|
Notificarea Parlamentului European și a Consiliului |
|
|
Pe baza unui raport al președintelui Comitetului european pentru protecția datelor, Comisia informează Parlamentul și Consiliul la intervale regulate, cel puțin o dată la șase luni, cu privire la chestiunile tratate în cadrul mecanismului pentru asigurarea coerenței și prezintă concluziile Comisiei și ale Comitetului pentru protecția datelor în vederea asigurării coerenței implementării și a aplicării prezentului regulament. |
Amendamentul 171 Propunere de regulament Articolul 61 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, în special când există pericolul ca exercitarea dreptului persoanei vizate ar putea fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante sau din alte motive, prin derogare de la procedura menționată la articolul 58, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei. |
(1) În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, în special când există pericolul ca exercitarea dreptului persoanei vizate să poată fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante sau din alte motive, prin derogare de la procedura menționată la articolul 58a, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei. |
Amendamentul 172 Propunere de regulament Articolul 61 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Prin derogare de la articolul 58 alineatul (7), un aviz de urgență menționat la alineatele (2) și (3) din prezentul articol este adoptat în termen de două săptămâni cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. |
(4) Un aviz de urgență menționat la alineatele (2) și (3) din prezentul articol este adoptat în termen de două săptămâni cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. |
Amendamentul 173 Propunere de regulament Articolul 62 | |
|
Textul propus de Comisie |
Amendamentul |
|
Acte de punere în aplicare |
Acte de punere în aplicare |
|
(1) Comisia poate adopta acte de punere în aplicare pentru: |
(1) Comisia poate adopta acte de punere în aplicare cu domeniu general de aplicare, după solicitarea avizului Comitetului european pentru protecția datelor, pentru: |
|
(a) a decide privind aplicarea corectă a prezentului regulament, în conformitate cu obiectivele și cerințele acestuia în ceea ce privește aspectele comunicate de către autoritățile de supraveghere în temeiul articolului 58 sau 61, privind o chestiune în legătură cu care a fost adoptată o decizie motivată în temeiul articolului 60 alineatul (1), sau privind o chestiune în legătură cu care o autoritate de supraveghere nu prezintă un proiect de măsură și respectiva autoritate de supraveghere a indicat că nu intenționează să urmeze avizul Comisiei adoptat în temeiul articolului 59; |
|
|
(b) a decide, în termenul menționat la articolul 59 alineatul (1), referitor la aplicabilitatea generală a proiectului de clauze standard în materie de protecție a datelor menționate la articolul 58 alineatul (2) litera (d); |
(b) a decide referitor la aplicabilitatea generală a proiectului de clauze standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (d); |
|
(c) a defini forma și procedurile pentru aplicarea mecanismului pentru asigurarea coerenței menționat în prezenta secțiune; |
|
|
(d) a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la articolul 58 alineatele (5), (6) și (8). |
(d) a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la articolul 58 alineatele (5), (6) și (8). |
|
Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
|
(2) Din motive imperative de urgență pe deplin justificate legate de interesul persoanelor vizate în cazurile menționate la alineatul (1) litera (a), Comisia adoptă acte de punere în aplicare imediat aplicabile, în conformitate cu procedura menționată la articolul 87 alineatul (3). Aceste acte rămân în vigoare pentru o perioadă de cel mult 12 luni. |
|
|
(3) Absența sau adoptarea unei măsuri în temeiul prezentei secțiuni nu aduce atingere altor măsuri adoptate de Comisie în temeiul tratatelor. |
(3) Absența sau adoptarea unei măsuri în temeiul prezentei secțiuni nu aduce atingere altor măsuri adoptate de Comisie în temeiul tratatelor. |
Amendamentul 174 Propunere de regulament Articolul 63 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură pentru a fi examinat în cadrul mecanismului pentru asigurarea coerenței, încălcând articolul 58 alineatele (1)-(5), măsura autorității de supraveghere nu este valabilă din punct de vedere juridic și nici executorie. |
(2) În cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură pentru a fi examinat în cadrul mecanismului pentru asigurarea coerenței, încălcând articolul 58 alineatele (1) și (2) sau adoptă o măsură în pofida faptului că s-au indicat obiecții semnificative în temeiul articolului 58a alineatul (1), măsura autorității de supraveghere nu este valabilă din punct de vedere juridic și nici executorie. |
Amendamentul 175 Propunere de regulament Articolul 66 | |
|
Textul propus de Comisie |
Amendamentul |
|
Sarcinile Comitetului european pentru protecția datelor |
Sarcinile Comitetului european pentru protecția datelor |
|
(1) Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă sau la solicitarea Comisiei, Comitetul european pentru protecția datelor are, în special, următoarele sarcini: |
(1) Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă sau la solicitarea Parlamentului European, a Consiliului sau a Comisiei, Comitetul european pentru protecția datelor are, în special, următoarele sarcini: |
|
(a) să ofere Comisiei consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament; |
(a) să ofere instituțiilor europene consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament; |
|
(b) să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi sau la cererea Comisiei, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament; |
(b) să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi sau la cererea Parlamentului European, a Consiliului sau a Comisiei, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament, inclusiv orice chestiune referitoare la utilizarea competențelor de executare; |
|
(c) să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea; |
(c) să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea; |
|
(d) să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57; |
(d) să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57; |
|
|
(da) să emită un aviz cu privire la autoritatea care ar trebui să fie autoritatea principală în temeiul articolului 54a alineatul (3); |
|
(e) să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere; |
(e) să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere, inclusiv coordonarea operațiunilor comune și a altor activități comune în cazul în care decide astfel la cererea uneia sau mai multor autorități de supraveghere; |
|
(f) să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale; |
(f) să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale; |
|
(g) să promoveze schimbul de cunoștințe și de documente privind legislația și practicile în materie de protecție a datelor cu autoritățile de supraveghere a protecției datelor la nivel mondial. |
(g) să promoveze schimbul de cunoștințe și de documente privind legislația și practicile în materie de protecție a datelor cu autoritățile de supraveghere a protecției datelor la nivel mondial. |
|
|
(ga) să prezinte un aviz Comisiei la pregătirea actelor delegate și de punere în aplicare în temeiul prezentului regulament; |
|
|
(gb) să emită un aviz privind codurile de conduită elaborate la nivelul Uniunii în temeiul articolului 38 alineatul (4); |
|
|
(gc) să emită un aviz privind criteriile și cerințele aplicabile mecanismelor de certificare în domeniul protecției datelor în temeiul articolului 39 alineatul (3). |
|
|
(gd) să păstreze un registru electronic public privind certificatele valabile și nevalabile în temeiul articolului 39 alineatul (1) litera h; |
|
|
(ge) să ofere asistență autorităților naționale de supraveghere, la cererea acestora; |
|
|
(gf) să elaboreze și să publice o listă de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34; |
|
|
(gg) să păstreze un registru de sancțiuni impuse de către autoritățile de supraveghere competente operatorilor sau persoanelor împuternicite de către operatori; |
|
(2) În situațiile în care Comisia consultă Comitetul european pentru protecția datelor, aceasta poate stabili un termen în care Comitetul european pentru protecția datelor trebuie să furnizeze avizul său, ținând cont de caracterul urgent al chestiunii. |
(2) În situațiile în care Parlamentul European, Consiliul sau Comisia consultă Comitetul european pentru protecția datelor, aceștia pot stabili un termen în care Comitetul european pentru protecția datelor trebuie să furnizeze avizul său, ținând cont de caracterul urgent al chestiunii. |
|
(3) Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Comisiei și comitetului menționat la articolul 87 și le publică. |
(3) Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Parlamentului European, Consiliului și Comisiei, precum și comitetului menționat la articolul 87 și le publică. |
|
(4) Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor. |
(4) Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor. |
|
|
(4a) Dacă este cazul, Comitetul european pentru protecția datelor consultă părțile interesate și le oferă posibilitatea de a face observații într-un termen rezonabil. Fără a aduce atingere dispozițiilor articolului 72, Comitetul european pentru protecția datelor publică rezultatele procedurii de consultare. |
|
|
(4b) Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu alineatul (1) litera (b) în vederea stabilirii de proceduri comune privind primirea și cercetarea informațiilor care conțin acuzații de prelucrare ilegală, precum și a protejării confidențialității și a surselor de informații primite. |
Amendamentul 176 Propunere de regulament Articolul 67 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
1. Comitetul european pentru protecția datelor prezintă Comisiei periodic și în timp util rezultatele activităților sale. Acesta întocmește un raport anual privind situația referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal în Uniune și în țările terțe. Raportul include analiza aplicării practice a orientărilor, recomandărilor și bunelor practici menționate la articolul 66 alineatul (1) litera (c). |
1. Comitetul european pentru protecția datelor prezintă Parlamentului European, Consiliului și Comisiei periodic și în timp util rezultatele activităților sale. Acesta întocmește un raport cel puțin o dată la doi ani privind situația referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal în Uniune și în țările terțe. Raportul include analiza aplicării practice a orientărilor, recomandărilor și bunelor practici menționate la articolul 66 alineatul (1) litera (c). |
Amendamentul 177 Propunere de regulament Articolul 68 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Comitetul european pentru protecția datelor adoptă decizii prin majoritate simplă a membrilor săi. |
(1) Comitetul european pentru protecția datelor adoptă decizii prin majoritate simplă a membrilor săi, cu excepția cazului când se prevede altfel în regulamentul său de procedură. |
Amendamentul 178 Propunere de regulament Articolul 69 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Comitetul european pentru protecția datelor alege un președinte și doi vicepreședinți din rândul membrilor săi. Unul dintre vicepreședinți este Autoritatea Europeană pentru Protecția Datelor, cu excepția cazului în care aceasta a fost aleasă președinte. |
(1) Comitetul european pentru protecția datelor alege un președinte și cel puțin doi vicepreședinți din rândul membrilor săi. |
Amendamentul 179 Propunere de regulament Articolul 69 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Funcția de președinte este o funcție cu normă întreagă. |
Amendamentul 180 Propunere de regulament Articolul 71 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Secretariatul oferă, sub conducerea președintelui, sprijin analitic, administrativ și logistic Comitetului european pentru protecția datelor. |
(2) Secretariatul oferă, sub conducerea președintelui, sprijin analitic, juridic, administrativ și logistic Comitetului european pentru protecția datelor. |
Amendamentul 181 Propunere de regulament Articolul 72 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Discuțiile din cadrul Comitetului european pentru protecția datelor sunt confidențiale. |
(1) Discuțiile din cadrul Comitetului european pentru protecția datelor pot fi confidențiale, dacă este necesar, cu excepția cazului când se prevede altfel în regulamentul său de procedură. Ordinile de zi ale reuniunilor Comitetului european pentru protecția datelor sunt publicate. |
Amendamentul 182 Propunere de regulament Articolul 73 | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul de a depune o plângere la o autoritate de supraveghere |
Dreptul de a depune o plângere la o autoritate de supraveghere |
|
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament. |
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare și mecanismului pentru asigurarea coerenței, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament. |
|
(2) Orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal. |
(2) Orice organism, organizație sau asociație care acționează în interes public și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal. |
|
(3) Independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal. |
(3) Independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a prezentului regulament. |
Amendamentul 183 Propunere de regulament Articolul 74 | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere |
Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere |
|
(1) Orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă. |
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă. |
|
(2) Orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 52 alineatul (1) litera (b). |
(2) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 52 alineatul (1) litera (b). |
|
(3) Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere. |
(3) Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere. |
|
(4) O persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru. |
(4) Fără a aduce atingere mecanismului pentru asigurarea coerenței, o persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru. |
|
(5) Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol. |
(5) Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol. |
Amendamentul 184 Propunere de regulament Articolul 75 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică care acționează în exercitarea competențelor sale publice. |
(2) Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice. |
Amendamentul 185 Propunere de regulament Articolul 76 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74 și 75 în numele uneia sau mai multor persoane vizate. |
(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74, 75 și 77 dacă este împuternicit de una sau mai multe persoane vizate. |
Amendamentul 186 Propunere de regulament Articolul 77 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice persoană care a suferit prejudicii ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. |
(1) Orice persoană care a suferit prejudicii, inclusiv de natură nefinanciară, ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să solicite despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. |
Amendamentul 187 Propunere de regulament Articolul 77 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului. |
(2) În cazul în care la prelucrare au participat mai mulți operatori sau persoane împuternicite de operator, fiecare dintre operatorii sau persoanele împuternicite respective sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului, cu excepția cazului în care au încheiat un acord scris specific de stabilire a responsabilităților în temeiul articolului 24. |
Amendamentul 188 Propunere de regulament Articolul 79 | |
|
Textul propus de Comisie |
Amendamentul |
|
Sancțiuni administrative |
Sancțiuni administrative |
|
(1) Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol.
|
(1) Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. Autoritățile de supraveghere cooperează între ele în conformitate cu articolele 46 și 57 pentru a garanta un nivel armonizat al sancțiunilor în cadrul Uniunii. |
|
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării. |
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. |
|
|
(2a) Autoritatea de supraveghere impune oricărei persoane care nu respectă obligațiile prevăzute în prezentul regulament cel puțin una dintre următoarele sancțiuni: |
|
|
(a) un avertisment scris în cazul primei încălcări neintenționate; |
|
|
(b) audituri regulate și periodice privind protecția datelor; |
|
|
(c) o amendă de până la 100 000 000 EUR sau de până la 5% din cifra de afaceri realizată la nivel mondial în cazul unei întreprinderi, optându-se pentru valoarea cea mai mare. |
|
|
(2b) În cazul în care operatorul sau persoana împuternicită de către operator deține un „sigiliul european privind protecția datelor” valabil conform articolului 39, se impune o amendă în temeiul alineatului (2a) litera (c) numai în caz de neconformitate intenționată sau din neglijență. |
|
|
(2c) Sancțiunea administrativă ține cont de următorii factori: |
|
|
(a) natura, gravitatea și durata neconformității, |
|
|
(b) faptul că încălcarea a fost comisă intenționat sau din neglijență, |
|
|
(c) gradul de responsabilitate a persoanei fizice sau juridice și încălcările comise anterior de către această persoană; |
|
|
(d) natura repetitivă a încălcării, |
|
|
(e) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării, |
|
|
(f) categoriile specifice de date cu caracter personal afectate de încălcare, |
|
|
(g) amploarea prejudiciilor, inclusiv a prejudiciilor de natură nefinanciară, suferite de persoanele vizate, |
|
|
(h) acțiunile întreprinse de operator sau de persoana împuternicită de către operator pentru a reduce prejudiciul suferit de persoanele vizate;
|
|
|
(i) orice beneficii financiare plănuite sau realizate, sau pierderile evitate, în mod direct sau indirect din cauza încălcării, |
|
|
(j) amploarea măsurilor și procedurilor tehnice și organizatorice puse în aplicare în conformitate cu: |
|
|
(i) articolul 23 - Protecția datelor începând cu momentul conceperii și protecția implicită a datelor; |
|
|
(ii) articolul 30 – Securitatea prelucrării; |
|
|
(iii) articolul 33 – Evaluarea impactului privind protecția datelor; |
|
|
(iv) articolul 33a – Analiza conformității privind protecția datelor; |
|
|
(v)articolul 35 - Desemnarea responsabilului cu protecția datelor; |
|
|
(k) refuzul de a coopera sau împiedicarea inspecțiilor, a auditurilor și a controalelor efectuate de autoritatea de supraveghere în temeiul articolului 53; |
|
|
(l) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului. |
|
(3) În cazul primei încălcări neintenționate a dispozițiilor prezentului regulament, se poate transmite o avertizare în scris, fără impunerea vreunei sancțiuni, atunci când: |
|
|
(a) o persoană fizică prelucrează date cu caracter personal fără vreun interes comercial; sau |
|
|
(b) o întreprindere sau o organizație cu mai puțin de 250 de angajați prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale. |
|
|
(4) Autoritatea de supraveghere impune o amendă de până la 250.000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
|
|
(a) nu prevede mecanisme care să permită persoanelor vizate să formuleze solicitări sau nu răspunde prompt sau nu în forma adecvată persoanelor vizate, în temeiul articolului 12 alineatele (1) și (2); |
|
|
(b) percepe o taxă pentru informații sau pentru răspunsurile la solicitările persoanelor vizate, încălcând articolul 12 alineatul (4). |
|
|
(5) Autoritatea de supraveghere impune o amendă de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
|
|
(a) nu furnizează persoanei vizate informațiile sau furnizează informații incomplete sau nu furnizează informațiile într-un mod suficient de transparent, în conformitate cu articolul 11, articolul 12 alineatul (3) și articolul 14; |
|
|
(b) nu oferă acces persoanei vizate sau nu rectifică datele cu caracter personal în temeiul articolelor 15 și 16 sau nu comunică unui destinatar informațiile relevante, în temeiul articolului 13; |
|
|
(c) nu respectă „dreptul de a fi uitat” ori dreptul la ștergere sau nu instituie mecanisme pentru a asigura că termenele sunt respectate sau nu ia toate măsurile necesare pentru a informa părțile terțe că o persoană vizată solicită ștergerea tuturor linkurilor către datele sale cu caracter personal, sau a tuturor copiilor sau a reproducerilor acestora, în temeiul articolului 17; |
|
|
(d) nu furnizează o copie a datelor cu caracter personal în format electronic sau împiedică persoana vizată să transmită datele cu caracter personal către o altă aplicație, încălcând articolul 18; |
|
|
(e) nu definește sau nu definește suficient responsabilitățile respective cu operatorii asociați în temeiul articolului 24; |
|
|
(f) nu păstrează sau nu păstrează suficient documentația în temeiul articolului 28, articolului 31 alineatul (4) și al articolului 44 alineatul (3); |
|
|
(g) nu respectă, în cazurile în care nu sunt implicate categorii speciale de date, în temeiul articolelor 80, 82 și 83, normele privind libertatea de exprimare sau normele privind prelucrarea în contextul ocupării unui loc de muncă sau condițiile pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică. |
|
|
(6) Autoritatea de supraveghere impune o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
|
|
(a) prelucrează datele cu caracter personal fără niciun temei juridic sau fără un temei juridic suficient pentru prelucrare sau nu respectă condițiile privind consimțământul, în temeiul articolelor 6, 7 și 8; |
|
|
(b) prelucrează categorii speciale de date, încălcând articolele 9 și 81; |
|
|
(c) nu respectă o opoziție sau nu se conformează cerinței în temeiul articolului 19; |
|
|
(d) nu respectă condițiile legate de măsurile bazate pe crearea de profiluri în temeiul articolului 20; |
|
|
(e) nu adoptă norme interne sau nu pune în aplicare măsuri corespunzătoare pentru a asigura și a demonstra conformitatea în temeiul articolelor 22, 23 și 30; |
|
|
(f) nu desemnează un reprezentant în temeiul articolului 25; |
|
|
(g) prelucrează date cu caracter personal sau dă instrucțiuni de prelucrare a datelor cu caracter personal încălcând obligațiile privind prelucrarea în numele unui operator în temeiul articolelor 26 și 27; |
|
|
(h) nu semnalează sau nu notifică o încălcare a securității datelor cu caracter personal sau nu notifică la timp ori complet autorității de supraveghere sau persoanei vizate încălcarea securității datelor, în temeiul articolelor 31 și 32; |
|
|
(i) nu efectuează o evaluare a impactului privind protecția datelor sau prelucrează date cu caracter personal fără autorizare prealabilă sau consultarea prealabilă a autorității de supraveghere în temeiul articolelor 33 și 34; |
|
|
(j) nu desemnează un responsabil cu protecția datelor sau nu asigură condițiile pentru îndeplinirea sarcinilor în temeiul articolelor 35, 36 și 37; |
|
|
(k) utilizează abuziv sigiliile și mărcile din domeniul protecției datelor, în sensul articolului 39; |
|
|
(l) efectuează sau dă instrucțiuni pentru transferarea de date către o țară terță sau o organizație internațională care nu este autorizată printr-o decizie privind caracterul adecvat sau prin garanții adecvate sau printr-o derogare în temeiul articolelor 40-44; |
|
|
(m) nu respectă un ordin sau o interdicție temporară sau definitivă privind prelucrarea sau suspendarea fluxurilor de date emisă de autoritatea de supraveghere, în temeiul articolului 53 alineatul (1); |
|
|
(n) nu respectă obligațiile de a oferi asistență sau de a răspunde sau de a furniza informațiile relevante autorității de supraveghere sau de a da acesteia acces la clădirile sale, în temeiul articolului 28 alineatul (3), al articolului 29, al articolului 34 alineatul (6) și al articolului 53 alineatul (2); |
|
|
(o) nu respectă normele pentru garantarea secretului profesional, în temeiul articolului 84. |
|
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor amenzilor administrative menționate la alineatele (4), (5) și (6), ținând seama de criteriile menționate la alineatul (2). |
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor absolute ale amenzilor administrative menționate la alineatul (2a), ținând seama de criteriile și factorii menționați la alineatele (2) și (2c). |
Amendamentul 189 Propunere de regulament Articolul 80 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI și privind cooperarea și coerența de la capitolul VII, pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare. |
(1) Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI, privind cooperarea și coerența de la capitolul VII și situațiile specifice de prelucrare a datelor din Capitolul IX ori de câte ori este necesar pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare în conformitate cu Carta drepturilor fundamentale a Uniunii Europene. |
Amendamentul 190 Propunere de regulament Articolul 80 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 80a |
|
|
Accesul la documente |
|
|
(1) Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public pot fi divulgate de către această autoritate sau acest organism în conformitate cu legislația Uniunii sau a statului membru privind accesul public la documentele oficiale, care stabilește un echilibru între dreptul la protecția datelor cu caracter personal și principiul accesului public la documente oficiale. |
|
|
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. |
Amendamentul 191 Propunere de regulament Articolul 81 | |
|
Textul propus de Comisie |
Amendamentul |
|
Prelucrarea datelor cu caracter personal privind sănătatea |
Prelucrarea datelor cu caracter personal privind sănătatea |
|
(1) În limitele prevăzute de prezentul regulament și în conformitate cu articolul 9 alineatul (2), litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare și specifice pentru garantarea intereselor legitime ale persoanei vizate și care sunt necesare: |
(1) În conformitate cu dispozițiile prezentului regulament, în special cu articolul 9 alineatul (2) litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare, coerente și specifice pentru garantarea intereselor și a drepturilor fundamentale ale persoanei vizate, în măsura în care acestea sunt necesare și proporționale, iar efectele lor pot fi prevăzute de către persoanele vizate: |
|
(a) în scopuri legate de medicina preventivă sau a muncii, stabilirea diagnosticului, administrarea unor îngrijiri medicale sau a unui tratament sau de gestionarea serviciilor medicale, precum și în cazul în care datele respective sunt prelucrate de un cadru medical supus obligației de a respecta secretul profesional sau de o altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește confidențialitatea în temeiul legislației statului membru ori al normelor stabilite de autoritățile naționale competente; sau |
(a) în scopuri legate de medicina preventivă sau a muncii, stabilirea diagnosticului, administrarea unor îngrijiri medicale sau a unui tratament sau de gestionarea serviciilor medicale, precum și în cazul în care datele respective sunt prelucrate de un cadru medical supus obligației de a respecta secretul profesional sau de o altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește confidențialitatea în temeiul legislației statului membru ori al normelor stabilite de autoritățile naționale competente; sau |
|
(b) din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță, inter alia pentru medicamente sau aparatură medicală; sau |
(b) din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță, inter alia pentru medicamente sau aparatură medicală sau când prelucrarea acestor date este efectuată de o persoană care face obiectul obligației de confidențialitate; sau |
|
(c) din alte motive de interes public în domenii precum protecția socială, în special în scopul asigurării calității și eficienței din punctul de vedere al costurilor a procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate. |
(c) din alte motive de interes public în domenii precum protecția socială, în special în scopul asigurării calității și eficienței din punctul de vedere al costurilor a procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate și furnizarea de servicii de sănătate. Prelucrarea datelor cu caracter personal privind sănătatea din motive de interes general nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului Uniunii sau al unui stat membru. |
|
|
(1a) În cazul în care scopurile menționate la alineatul (1) literele (a)-(c) pot fi realizate fără a utiliza date cu caracter personal, astfel de date nu sunt utilizate în aceste scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului unui stat membru. |
|
|
(1b) În cazul în care este necesar consimțământul persoanei vizate pentru prelucrarea datelor medicale exclusiv în scopul cercetării științifice privind sănătatea publică, consimțământul poate fi acordat pentru una sau mai multe cercetări specifice și similare. Totuși, persoana vizată își poate retrage consimțământul în orice moment. |
|
|
(1c) Pentru acordarea consimțământului de a participa în activități de cercetare științifică în cadrul trialurilor clinice, se aplică dispozițiile relevante ale Directivei 2001/20/CE a Parlamentului European și a Consiliului1. |
|
(2) Prelucrarea datelor cu caracter personal privind sănătatea, care este necesară în scopuri de cercetare istorică, statistică sau științifică, cum ar fi registrele de pacienți instituite pentru îmbunătățirea stabilirii diagnosticului și diferențierea între tipuri similare de boli, precum și pentru pregătirea de studii pentru terapii, face obiectul condițiilor și măsurilor de garantare prevăzute la articolul 83. |
(2) Prelucrarea datelor cu caracter personal privind sănătatea, care este necesară în scopuri de cercetare istorică, statistică sau științifică, este permisă doar cu consimțământul persoanei vizate și face obiectul condițiilor și măsurilor de garantare prevăzute la articolul 83. |
|
|
(2a) Legislația statelor membre poate prevedea excepții la cerința consimțământului în caz de cercetare, menționată la alineatul (2), în ceea ce privește cercetarea care servește unui interes public ridicat, dacă cercetarea respectivă nu poate fi efectuată altfel. Datele în cauză sunt anonimizate sau, dacă acest lucru nu este posibil din motive legate de cercetare, pseudonimizate, în conformitate cu cele mai înalte standarde tehnice, și se iau toate măsurile necesare pentru a preveni reidentificarea nejustificată a persoanelor vizate. Totuși, în orice moment, persoana vizată are dreptul de a se opune în conformitate cu articolul 19. |
|
(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul precizării în continuare a altor motive de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și a unor criterii și cerințe referitoare la garanții în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
(3) După solicitarea avizului Comitetului european pentru protecția datelor, Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a preciza mai mult noțiunea de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și de interes public ridicat în domeniul cercetării astfel cum se menționează la alineatul (2a). |
|
|
(3a) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. |
|
|
1 Directiva 2001/20/CE a Parlamentului European și a Consiliului din 4 aprilie 2001 de apropiere a actelor cu putere de lege și a actelor administrative ale statelor membre privind aplicarea bunelor practici clinice în cazul efectuării de studii clinice pentru evaluarea produselor medicamentoase de uz uman (JO L 121, 1.5.2001, p. 34)." |
Amendamentul 192 Propunere de regulament Articolul 82 | |
|
Textul propus de Comisie |
Amendamentul |
|
Prelucrarea în contextul ocupării unui loc de muncă |
Standarde minime pentru prelucrarea datelor în contextul ocupării unui loc de muncă |
|
(1) În limitele prezentului regulament, statele membre pot adopta pe cale legislativă norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării, îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. |
(1) În conformitate cu prevederile prezentului regulament și ținând cont de principiul proporționalității, statele membre pot adopta prin dispoziții legislative norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul, dar nu numai, recrutării și al cererilor de angajare în cadrul grupului de întreprinderi, al îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege și prin acorduri colective, în conformitate cu legislația și practica națională, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. Statele membre pot permite acordurilor colective să precizeze în detaliu dispozițiile stabilite în prezentul articol. |
|
|
(1a) Scopul prelucrării unor astfel de date trebuie să fie legat de motivul pentru care au fost colectate și să se realizeze strict în contextul ocupării unui loc de muncă. Crearea de profiluri sau utilizarea pentru scopuri auxiliare nu este permisă. |
|
|
(1b) Consimțământul unui angajat nu reprezintă un temei juridic pentru prelucrarea datelor de către angajator atunci când consimțământul nu a fost acordat în mod liber. |
|
|
(1c) Fără a aduce atingere celorlalte prevederi ale prezentului regulament, dispozițiile legislative naționale menționate la alineatul (1) includ cel puțin următoarele standarde minime: |
|
|
(a) prelucrarea datelor unui angajat fără înștiințarea acestuia nu este permisă. Fără a aduce atingere primei teze, statele membre pot permite o astfel de practică prin lege, stabilind termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă; |
|
|
(b) este interzisă supravegherea audio și/sau video deschisă prin mijloace electronice a părților întreprinderii inaccesibile publicului, care sunt utilizate de angajați în primul rând pentru activități private, mai ales toaletele, vestiarele, încăperile pentru odihnă și dormitoarele. Supravegherea ascunsă este în orice caz interzisă; |
|
|
(c) dacă întreprinderile sau autoritățile colectează sau prelucrează date cu caracter personal în cadrul examinărilor medicale și/sau al testelor de aptitudini, acestea trebuie să explice înainte candidatului sau angajatului în ce scop sunt utilizate datele respective și să se asigure că ulterior îi vor fi comunicate împreună cu rezultatele și, la cerere, vor fi explicate. Colectarea datelor pentru teste și analize genetice este în principiu interzisă; |
|
|
(d) acordurile colective pot reglementa dacă și în ce măsură utilizarea telefonului, a e-mailului, a internetului și a altor servicii de telecomunicații este permisă și în scopuri private. În cazul în care nu există reglementare printr-un contract colectiv, angajatorul ajunge la un acord direct cu angajatul. Dacă utilizarea privată este permisă, se admite prelucrarea datelor privind traficul, în special pentru a garanta securitatea datelor, pentru a asigura buna funcționare a rețelelor și serviciilor de telecomunicații și în vederea facturării. |
|
|
Fără a aduce atingere celei de a treia teze, statele membre pot permite o astfel de practică prin lege, cu garantarea unor termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă; |
|
|
(e) datele cu caracter personal ale angajaților, și în special datele sensibile, cum ar fi orientarea politică, apartenența și activitățile sindicale nu pot fi în niciun caz utilizate pentru a înscrie angajații pe așa-numite „liste negre”, a efectua verificări asupra lor sau a-i împiedica să-și găsească un loc de muncă în viitor. Sunt interzise prelucrarea, utilizarea în contextul ocupării unui loc de muncă, redactarea și transmiterea de liste negre cu angajați sau alte forme de discriminare. Statele membre efectuează controale și adoptă sancțiuni adecvate în conformitate cu articolul 79 alineatul (6) pentru a asigura aplicarea efectivă a acestei dispoziții. |
|
|
1d. Transmiterea și prelucrarea datelor cu caracter personal ale angajaților între întreprinderi distincte din punct de vedere juridic în cadrul unui grup de întreprinderi și profesioniștii care asigură consiliere juridică și fiscală este permisă, în măsura în care este relevantă pentru desfășurarea activității întreprinderii și pentru realizarea demersurilor și procedurilor administrative specifice și nu contravine intereselor și drepturilor fundamentale demne de a fi protejate ale persoanei vizate. Dacă datele angajaților sunt transmise într-o țară terță și/sau către o organizație internațională, se aplică capitolul V.
|
|
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează. |
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatelor (1) și (1b), până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează. |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
(3) După solicitarea unui aviz emis de Comitetul european pentru protecția datelor, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
Amendamentul 193 Propunere de regulament Articolul 82 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 82a |
|
|
Prelucrarea în contextul securității sociale |
|
|
(1) Statele membre pot, în conformitate cu dispozițiile prezentului regulament, adopta norme legislative specifice care să precizeze condițiile pentru prelucrarea datelor cu caracter personal de către instituțiile și departamentele lor publice în contextul securității sociale dacă prelucrarea se realizează în interes public. |
|
|
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile pe care le adoptă în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. |
Amendamentul 194 Propunere de regulament Articolul 83 | |
|
Textul propus de Comisie |
Amendamentul |
|
Prelucrarea în scopuri de cercetare istorică, statistică și științifică |
Prelucrarea în scopuri de cercetare istorică, statistică și științifică |
|
(1) În limitele prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă: |
(1) În conformitate cu dispozițiile prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă: |
|
(a) aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate; |
(a) aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate; |
|
(b) datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații atât timp cât aceste scopuri pot fi îndeplinite în acest mod. |
(b) datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații în conformitate cu cele mai înalte standarde tehnice și sunt luate toate măsurile necesare pentru prevenirea reidentificarea nejustificată a persoanelor vizate. |
|
(2) Organismele care desfășoară activități de cercetare istorică, statistică sau științifică pot publica sau face publice în alt mod date cu caracter personal numai dacă: |
|
|
(a) persoana vizată și-a dat consimțământul, sub rezerva condițiilor prevăzute la articolul 7; |
|
|
(b) publicarea datelor cu caracter personal este necesară pentru a prezenta rezultatele cercetării sau pentru a facilita cercetarea, în măsura în care interesele sau drepturile ori libertățile fundamentale ale persoanei vizate nu prevalează asupra acestor interese sau |
|
|
(c) persoana vizată a făcut publice datele respective. |
|
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul prelucrării datelor cu caracter personal în scopurile menționate la alineatele (1) și (2), precum și a tuturor limitărilor necesare privind drepturile la informare și la acces ale persoanei vizate și care detaliază condițiile și garanțiile pentru drepturile persoanelor vizate în aceste circumstanțe. |
|
Amendamentul 195 Propunere de regulament Articolul 83 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 83a |
|
|
Prelucrarea datelor cu caracter personal de către serviciile de arhivă |
|
|
(1) Odată ce prelucrarea inițială pentru care au fost colectate a fost finalizată, datele cu caracter personal pot fi prelucrate de serviciile de arhivă care au ca sarcină principală sau obligatorie de a colecta, păstra, comunica, exploata și disemina arhivele în interesul public, în special pentru justificarea drepturilor persoanelor sau în scopuri istorice, statistice sau științifice. Aceste sarcini sunt îndeplinite în conformitate cu normele stabilite de statele membre privind accesul, comunicarea și diseminarea documentelor administrative sau de arhivă și în conformitate cu normele stabilite în prezentul regulament, în special în ceea ce privește consimțământul și dreptul la opoziție. |
|
|
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. |
Amendamentul 196 Propunere de regulament Articolul 84 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În limitele prezentului regulament, statele membre pot adopta norme specifice pentru a stabili competențele de investigare ale autorităților de supraveghere, prevăzute la articolul 53 alineatul (2) în legătură cu operatori sau cu persoane împuternicite de operatori care trebuie să respecte, în temeiul dreptului intern sau al normelor stabilite de autoritățile naționale competente, obligația de a păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și obligația păstrării confidențialității. Aceste norme se aplică doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana împuternicită de operator le-a primit sau le-a obținut în contextul unei activități care intră sub incidența acestei obligații de păstrare a confidențialității. |
(1) În conformitate cu dispozițiile prezentului regulament, statele membre se asigură că există norme specifice de stabilire a competențelor de investigare ale autorităților de supraveghere, prevăzute la articolul 53 alineatul (2) în legătură cu operatori sau cu persoane împuternicite de operatori care trebuie să respecte, în temeiul dreptului intern sau al normelor stabilite de autoritățile naționale competente, obligația de a păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și obligația păstrării confidențialității. Aceste norme se aplică doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana împuternicită de operator le-a primit sau le-a obținut în contextul unei activități care intră sub incidența acestei obligații de păstrare a confidențialității. |
Amendamentul 197 Propunere de regulament Articolul 85 | |
|
Textul propus de Comisie |
Amendamentul |
|
Normele existente în domeniul protecției datelor pentru biserici și asociații religioase |
Normele existente în domeniul protecției datelor pentru biserici și asociații religioase |
|
(1) În cazul în care, într-un stat membru, bisericile și asociațiile sau comunitățile religioase aplică, la data intrării în vigoare a prezentului regulament, un set cuprinzător de norme de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, aceste norme pot continua să se aplice, cu condiția ca acestea să fie ajustate, pentru a fi conforme cu dispozițiile prezentului regulament. |
(1) În cazul în care, într-un stat membru, bisericile și asociațiile sau comunitățile religioase aplică, la data intrării în vigoare a prezentului regulament, norme adecvate de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, aceste norme pot continua să se aplice, cu condiția să fie aliniate la dispozițiile prezentului regulament. |
|
(2) Bisericile și asociațiile religioase care aplică un set cuprinzător de norme în conformitate cu alineatul (1) asigură instituirea unei autorități de supraveghere independente, în conformitate cu capitolul VI din prezentul regulament. |
(2) Bisericile și asociațiile religioase care aplică norme adecvate în conformitate cu alineatul (1) obțin un aviz de conformitate în temeiul articolului 38. |
Amendamentul 198 Propunere de regulament Articolul 85 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 85a |
|
|
Respectarea drepturilor fundamentale |
|
|
Prezentul regulament nu aduce atingere obligației de a respecta drepturile fundamentale și principiile juridice fundamentale consfințite de articolul 6 din TUE. |
Amendamentul 199 Propunere de regulament Articolul 85 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 85b |
|
|
Formulare-tip |
|
|
(1) Ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor, Comisia poate stabili formulare-tip pentru: |
|
|
(a) metodele specifice de obținere a consimțământului verificabil menționat la articolul 8 alineatul (1), |
|
|
(b) comunicarea menționată la articolul 12 alineatul (2), inclusiv în format electronic, |
|
|
(c) furnizarea informațiilor prevăzute la articolul 14 alineatele (1)-(3), |
|
|
(d) solicitarea și acordarea accesului la informațiile menționate la articolul 15 alineatul (1), inclusiv pentru comunicarea datelor cu caracter personal către persoana vizată, |
|
|
(e) documentația menționată la articolul 28 alineatul (1), |
|
|
(f) notificarea autorității de supraveghere în cazul încălcării în temeiul articolului 31 și documentația menționată la articolul 31 alineatul (4), |
|
|
(g) consultările prealabile menționate la articolul 34 și pentru informarea autorităților de supraveghere, în conformitate cu articolul 34 alineatul (6). |
|
|
(2) Astfel, Comisia adoptă măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
|
|
(3) Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
Amendamentul 200 Propunere de regulament Articolul 86 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
(2) Se conferă Comisiei competența de a adopta actele delegate menționate la articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 79 alineatul (7), articolul 81 alineatul (3) și articolul 82 alineatul (3) pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
Amendamentul 201 Propunere de regulament Articolul 86 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. |
(3) Delegarea de competențe menționată la articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 79 alineatul (7), articolul 81 alineatul (3) și articolul 82 alineatul (3) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. |
Amendamentul 202 Propunere de regulament Articolul 86 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Un act delegat adoptat în temeiul articolului 6 alineatul (5), articolului 8 alineatul (3), articolului 9 alineatul (3), articolului 12 alineatul (5), articolului 14 alineatul (7), articolului 15 alineatul (3), articolului 17 alineatul (9), articolului 20 alineatul (6), articolului 22 alineatul (4), articolului 23 alineatul (3), articolului 26 alineatul (5), articolului 28 alineatul (5), articolului 30 alineatul (3), articolului 31 alineatul (5), articolului 32 alineatul (5), articolului 33 alineatul (6), articolului 34 alineatul (8), articolului 35 alineatul (11), articolului 37 alineatul (2), articolului 39 alineatul (2), articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 79 alineatul (6), articolului 81 alineatul (3), articolului 82 alineatul (3) și articolului 83 alineatul (3), intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu două luni, la inițiativa Parlamentului European sau a Consiliului. |
(5) Un act delegat adoptat în conformitate cu articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 79 alineatul (7), articolul 81 alineatul (3) și articolul 82 alineatul (3) intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu șase luni, la inițiativa Parlamentului European sau a Consiliului. |
Amendamentul 203 Propunere de regulament Articolul 87 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Atunci când se face trimitere la prezentul alineat, se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din același regulament. |
eliminat |
Amendamentul 204 Propunere de regulament Articolul 89 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Articolul 1 alineatul (2) din Directiva 2002/58/CE se elimină. |
(2) Articolul 1 alineatul (2) și articolele 4 și 15 din Directiva 2002/58/CE se elimină. |
Amendamentul 205 Propunere de regulament Articolul 89 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Comisia prezintă, fără întârziere și cel târziu până la data menționată la articolul 91 alineatul (2), o propunere de revizuire a cadrului juridic aplicabil prelucrării datelor cu caracter personal și protejării sferei private în comunicările electronice, în scopul de a alinia legislația la prezentul regulament și de a asigura norme juridice coerente și uniforme referitoare la dreptul fundamental la protecția datelor cu caracter personal în Uniunea Europeană. |
Amendamentul 206 Propunere de regulament Articolul 89 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 89a |
|
|
Relația cu Directiva 45/2001/CE și modificarea acesteia |
|
|
(1) Dispozițiile prezentului regulament se aplică prelucrării datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii, cu privire la aspectele pentru care acestea nu fac obiectul unor dispoziții suplimentare stabilite în Regulamentul (CE) nr. 45/2001. |
|
|
(2) Comisia prezintă, fără întârziere și cel târziu până la data menționată la articolul 91 alineatul (2), o propunere de revizuire a cadrului juridic aplicabil prelucrării datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii. |
Anexa 1 - Prezentarea detaliilor menționate la articolul 13a (nou)
1) Având în vedere proporțiile menționate la punctul 6, detaliile se furnizează după cum urmează:
2) Următoarele cuvinte din liniile din a doua coloană a tabelului de la punctul 1 cu titlul „INFORMAȚII ESENȚIALE” se marchează cu caractere aldine:
a) cuvântul „colectate” din prima linie din a doua coloană;
b) cuvântul „păstrate” din a doua linie din a doua coloană;
c) cuvântul „prelucrate” din a treia linie din a doua coloană;
d) cuvântul „diseminate” din a patra linie din a doua coloană;
e) cuvintele „vândute sau închiriate” din a cincea linie din a doua coloană;
f) cuvântul „necriptată” din a șasea linie din a doua coloană.
3) Având în vedere proporțiile menționate la punctul 6, liniile din a treia coloană din tabelul de la punctul 1 cu titlul „ÎNDEPLINIT” se completează, în conformitate cu condițiile stabilite la punctul 4, cu una din următoarele două forme grafice:
a)
b)
4)
a) Dacă nu se colectează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, prima linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.
b) Dacă se colectează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, prima linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.
c) Dacă nu se păstrează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, a doua linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.
d) Dacă se păstrează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, a doua linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.
e) Dacă datele cu caracter personal nu se prelucrează în alte scopuri decât în scopurile pentru care au fost colectate, a treia linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.
f) Dacă datele cu caracter personal se prelucrează în alte scopuri decât în scopurile pentru care au fost colectate, a treia linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.
g) Dacă datele cu caracter personal nu sunt diseminate unor părți terțe comerciale, a patra linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.
h) Dacă datele cu caracter personal sunt diseminate unor părți terțe comerciale, a patra linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.
i) Dacă datele cu caracter personal nu sunt vândute sau închiriate, a cincea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.
j) Dacă datele cu caracter personal sunt vândute sau închiriate, a cincea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.
k) Dacă datele cu caracter personal nu sunt păstrate într-o formă necriptată, a șasea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.
l) Dacă datele cu caracter personal sunt păstrate într-o formă necriptată, a șasea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.
5) Culorile de referință ale formelor grafice de la punctul 1 în Pantone sunt negru Pantone nr. 7547 și roșu Pantone nr. 485. Culoarea de referință a formei grafice la punctul 3a în Pantone este verde Pantone nr. 370. Culoarea de referință a formei grafice la punctul 3b în Pantone este roșu Pantone nr. 485.
6) Se respectă proporțiile indicate în următorul desen gradat, chiar dacă tabelul este redus sau mărit:
- [1] JO C 229, 31.7.2012, p. 90.
EXPUNERE DE MOTIVE
Introducere
Conform articolului 8 din Carta drepturilor fundamentale a Uniunii Europene, intitulat „Protecția datelor cu caracter personal”:
1. Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.
2. Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora.
3. Respectarea acestor norme se supune controlului unei autorități independente.
De la adoptarea Directivei 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date au avut loc multe schimbări în domeniul protecției datelor cu caracter personal, în special evoluții tehnologice, o creștere a volumului de date colectate și prelucrate, inclusiv pentru asigurarea respectării legii, pe fondul unui mozaic de norme privind protecția datelor cu caracter personal și în contextul globalizării piețelor și a cooperării.
În plus, directiva nu a reușit să realizeze o armonizare adecvată datorită unei puneri în aplicare diferite a dispozițiilor sale în statele membre. În acest context, a devenit din ce în ce mai dificil pentru persoane („persoanele vizate”) să își exercite dreptul la protecția datelor.
În fine, această directivă a împiedicat dezvoltarea pieței unice în contextul în care societățile (care operează sau prelucrează datele, „operatori”) și persoanele se confruntă cu diferențe la nivelul cerințelor privind protecția datelor.
De la intrarea în vigoare a Tratatului de la Lisabona, Uniunea are un temei juridic explicit pentru protecția datelor referitor la prelucrarea datelor în sectorul public și privat, precum și în cadrul asigurării respectării legii (în urma eliminării structurii pe piloane de dinaintea Tratatului de la Lisabona) [articolul 16 alineatul (2) din TFUE]. Comisia a folosit acum articolul 16 alineatul (2) din TFUE ca temei juridic pentru prezentarea unor propuneri de revizuire a cadrului legislativ al Uniunii privind protecția datelor cu caracter personal. Comisia propune un regulament (COM (2012)0011) care să înlocuiască directiva 95/46/CE (raportor: Jan Philipp Albrecht, Verts/ALE) și o directivă (COM(2012)0010) care să înlocuiască decizia-cadru 2008/977/JAI privind protecția datelor personale prelucrate în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor (raportor: Dimitrios Droutsas, S_D). Ambii raportori sprijină obiectivul stabilirii unui cadru perfect coerent, armonizat și solid care să garanteze un nivel ridicat de protecție pentru toate activitățile de prelucrare a datelor în cadrul UE.[1] Pentru realizarea acestui obiectiv, propunerile Comisiei trebuie considerate a fi un singur pachet ce necesită abordări legislative coordonate pentru ambele texte.
În vederea asigurării unui sprijin larg pentru abordarea Parlamentului, au avut loc discuții îndelungate și cuprinzătoare cu privire la reforma protecției datelor între raportori și raportorii alternativi, raportorii și raportorii alternativi ai comisiilor pentru aviz (ITRE, IMCO, JURI, EMPL), Președinția Consiliului, Comisie și părțile interesate (autoritățile de protecție a datelor cu caracter personal, autoritățile naționale, sectoarele relevante, organizațiile de consumatori și de protecție a drepturilor civile, experți universitari).
Comisia LIBE a organizat un atelier de lucru al părților interesate la 29 mai 2012. De asemenea, Comisia LIBE și-a organizat reuniunea interparlamentară anuală (IPCM), împreună cu parlamentele naționale, în domeniul spațiului de libertate, securitate și justiție, având ca obiect pachetul de reformare a protecției datelor, în perioada 9 – 10 octombrie 2012. Cu această ocazie, au fost elaborate patru documente de lucru referitoare la pachetul de reformare a protecției datelor.
Poziția față de regulamentul de protecție a datelor
Comisia își întemeiază propunerea pe următoarele obiective:
- o abordare cuprinzătoare a protecției datelor;
- consolidarea drepturilor persoanelor;
- promovarea în continuare a pieței interne și asigurarea unei aplicări mai bune a normelor de protecție a datelor; precum și
- consolidarea dimensiunii globale.
Raportorul sprijină aceste ambiții. Abordarea sa este prezentată în funcție de acestea.
O abordare cuprinzătoare a protecției datelor
Astfel cum este indicat în documentul de lucru din 6 iulie 2012[2], raportorul salută alegerea Comisiei de a înlocui directiva 95/46 cu un regulament (aplicabil în mod direct), deoarece acest lucru ar trebui să reducă diferențele de abordare a protecției datelor între statele membre.
Raportorul apreciază, de asemenea, abordarea pragmatică adoptată de Comisie pentru a lăsa, în conformitate cu regulamentul, suficientă libertate statelor membre pentru a păstra sau adopta norme specifice privind chestiuni precum libertatea de exprimare, secretul profesional, sănătatea și ocuparea forței de muncă (articolele 81-85). Se face o mențiune specială la activitățile Comisiei pentru ocuparea forței de muncă și afaceri sociale, care trebuie să emită cu aviz cu privire la articolul 82[3].
Instituțiile UE nu intră în domeniul de aplicare al noului regulament. Ele ar trebui totuși să fie incluse pentru a asigura un cadrul coerent și uniform în întreaga Uniune. Acest lucru va necesita modificarea unor instrumente juridice ale UE, în special a Regulamentului (CE) nr. 45/2001, pentru ca acestea să fie în deplin acord cu Regulamentul general privind protecția datelor înainte ca acesta din urmă să fie pus în aplicare. Raportorul consideră, de asemenea, că este necesar să aibă loc o dezbatere mai orizontală cu privire la modalitatea de abordare a actualului mozaic de norme în materie de protecție a datelor care reglementează diferitele agenții UE (precum Europol și Eurojust) și de asigurare a coerenței cu pachetul privind protecția datelor cu caracter personal [articolul 2 alineatul (b) și articolul 89a].
Raportorul regretă faptul că în propunerea Comisiei nu se acoperă cooperarea în domeniul aplicării legii (pentru care se propune o directivă separată). Acest fapt cauzează incertitudine juridică în ceea ce privește drepturile și obligațiile în cazul aspectelor de frontieră, de exemplu în situații în care datele comerciale sunt accesate de autoritățile de aplicare a legii în scopul de a aplica legea și în situații de transfer între autoritățile care sunt responsabile de aplicarea legii și autoritățile care nu au responsabilități în acest sens. Raportul privind directiva propusă abordează aceste aspecte și propune amendamente. Regulamentul precizează că sunt excluse din domeniul de aplicare al regulamentului doar autoritățile publice competente să aplice legea (nu entitățile private) și că legislația aplicabilă ar trebui să ofere garanții adecvate pe baza principiilor necesității și proporționalității [articolul 2 litera (e) și articolul 21].
Domeniul de aplicare teritorială al regulamentului este un aspect important pentru aplicarea consecventă a legislației europene în domeniul protecției datelor. Raportorul dorește să clarifice faptul că regulamentul ar trebui să se aplice, de asemenea, operatorilor care nu sunt stabiliți în Uniune atunci când activitățile de prelucrare au drept scop oferirea de bunuri sau servicii persoanelor vizate din Uniune, indiferent dacă se solicită sau nu o plată pentru aceste bunuri sau servicii, sau monitorizarea acestor persoane vizate [articolul 3 alineatul (2)].
Regulamentul trebuie să fie cuprinzător și în ceea ce privește securitatea juridică oferită. Utilizarea extinsă a actelor delegate și a actelor de punere în aplicare contravine acestui scop. Prin urmare, raportorul propune eliminarea unui număr de dispoziții prin care se conferă Comisiei competența de a adopta acte delegate. Cu toate acestea, pentru a oferi securitate juridică atunci când este posibil, raportorul a înlocuit mai multe acte cu o formulare mai detaliată în regulament [de exemplu: Articolul 6 alineatul (1) litera (b), articolul 15, articolul 35 alineatul (10). În alte cazuri, raportorul propune să se încredințeze Comitetului european pentru protecția datelor sarcina de a detalia criteriile și cerințele unei dispoziții particulare în loc de a acorda Comisiei competența de a adopta un act delegat. Motivul este acela că, în cazurile respective, problema ține de cooperarea dintre autoritățile naționale de supraveghere și că acestea sunt mai competente să stabilească principiile și practicile care să fie aplicate [de exemplu: Articolul 23 alineatul (3), articolul 30 alineatul (3), articolul 42 alineatul (3), articolul 44 alineatul (7), articolul 55 alineatul (10).
Consolidarea drepturilor persoanelor
Deoarece regulamentul pune în aplicare un drept fundamental, este respinsă limitarea scopului material, în special în ceea ce privește definiția „datelor cu caracter personal”, de exemplu introducând elemente subiective referitoare la eforturile pe care operatorii ar trebui să le depună pentru a identifica datele cu caracter personal. Conceptul de date cu caracter personal este clarificat și mai mult prin intermediul unor criterii obiective [articolul 4 alineatul (1), considerentele 23 și 24]. Pot fi abordate preocupări legitime legate de anumite modele de afaceri fără a afecta drepturile fundamentale ale persoanelor. În acest context, raportorul încurajează utilizarea serviciilor cu pseudonime și a serviciilor anonime. Pentru utilizarea de date sub pseudonim, ar putea exista simplificări cu privire la obligațiile operatorilor de date [articolul 4 alineatul (2) litera (a), articolul 10, considerentul 23].
Consimțământul ar trebui să fie în continuare elementul fundamental al abordării UE în domeniul protecției datelor, deoarece acesta este cel mai bun mod prin care persoanele fizice să controleze activitățile de prelucrare a datelor. Informațiile ar trebui prezentate persoanelor vizate într-un format ușor de înțeles, cum ar fi prin și logo-uri și icoane standardizate [articolul 11 alineatele (2a) și (2b)]. Standardele tehnice care exprimă voința clară a unei persoane pot fi o formă validă de acordare a consimțământului explicit [articolul 7 alineatul (2a), articolul 23].
Pentru a asigura un consimțământ în cunoștință de cauză pentru activitățile de creare de profiluri, acestea trebuie definite și reglementate [articolul 4 alineatul (3b), articolul 14 alineatul (1) literele (g), (ga) și (gb), articolul 15 alineatul (1), articolul 20]. Alte motive legale pentru prelucrarea datelor în afara consimțământului, în special „interesele legitime” ale operatorilor ar trebui definite în mod clar [amendament care înlocuiește articolul 6 alineatul (1) litera (f) cu un nou articol 6 alineatele (1a), (1b) și (1c)].
Limitarea scopului este un element central al protecției datelor, întrucât protejează persoanele vizate de o extindere neprevăzută a prelucrării datelor. O modificare a scopului datelor personale după colectarea acestora ar trebui să fie posibilă doar în baza unui interes legitim al operatorului de date. Prin urmare, raportorul propune eliminarea alineatului (4) de la articolul 6, nu extinderea lui. Raportorul sprijină consolidarea dreptului de acces, cu dreptul la portabilitatea datelor - posibilitatea de a transfera datele personale de pe o platformă pe alta.
În epoca digitală, cetățenii, de asemenea, în calitatea lor de consumatori, se pot aștepta în mod legitim să primească informațiile lor personale într-un format electronic utilizat în mod curent [articolul 15 alineatul (2) litera (a)]. Prin urmare, raportorul propune fuzionarea articolelor 15 și 18.
Dreptul la ștergere și dreptul la rectificare sunt în continuare importante pentru persoanele vizate, întrucât tot mai multe informații sunt comunicate, ceea ce poate avea impacturi semnificative. Dreptul de a fi uitat ar trebui văzut în această lumină; amendamentele propuse clarifică aceste drepturi pentru mediul digital, menținând totodată excepția generală pentru libertatea de expresie. În cazul datelor transferate terților sau publicate fără un temei juridic corespunzător, operatorul inițial ar trebui să aibă obligația de a informa terții respectivi și de a garanta ștergerea datelor. Cu toate acestea, în cazul în care publicarea datelor cu caracter personal a avut loc în urma acordului persoanei „dreptul de a fi uitat” nu este nici legitim, nici realist (articolul 17, considerentul 54).
Dreptul de a se opune continuării prelucrării datelor ar trebui să fie oferit întotdeauna gratuit și ar trebui oferit în mod explicit persoanei vizate utilizând un limbaj clar, simplu și adaptat [articolul 19 alineatul (2)]. Este nevoie să se prevadă posibilități mai bune de obținere efectivă a unor despăgubiri, inclusiv prin intermediul unor asociații care acționează în interes public (articolele 73, 76).
Promovarea în continuare a dimensiunii pieței interne și asigurarea unei aplicări mai bune a normelor de protecție a datelor
Raportorul salută trecerea propusă de la cerințele de notificare a autorităților pentru protecția datelor (APD) la responsabilitatea practică și responsabilii corporatiști cu protecția datelor (RPD). Regulamentul propus poate fi simplificat prin fuzionarea unor drepturi de informare și cerințe de documentare care sunt, în esență, cele două fețe ale aceleiași monede. Acest lucru va reduce sarcinile administrative pentru operatorii de date și va facilita înțelegerea și exercitarea de către persoanele fizice a drepturilor lor (articolele 14, 28). Într-o epocă a informaticii dematerializate, pragul pentru desemnarea obligatorie a unui responsabil cu protecția datelor nu ar trebui să se bazeze pe dimensiunea întreprinderii, ci mai curând pe relevanța prelucrării datelor (categorie de date personale, tipul de activitate de prelucrare și numărul persoanelor ale căror date sunt prelucrate) (articolul 35). Se clarifică faptul că RPD poate fi o poziție fără normă întreagă, în funcție de dimensiunea întreprinderii și volumul prelucrării datelor (considerentul 75).
Protecția datelor începând cu momentul conceperii și protecția implicită a datelor sunt salutate în calitate de inovație principală a reformei. Aceasta ar asigura că doar datele necesare pentru un anumit scop sunt, în fapt, procesate. Producătorii și furnizorii de servicii sunt invitați să implementeze măsuri adecvate. Comitetul european pentru protecția datelor ar trebui să primească sarcina de a oferi o orientare suplimentară (articolul 23). Amendamentele referitoare la evaluările de impact asupra vieții private vizează stabilirea situațiilor în care aceste evaluări ar trebui realizate – articolul 33 alineatul (2) – și elementele ce trebuie evaluate – articolul 33 alineatul (3).
Raportorul propune extinderea acestei perioade în care se poate notifica autorității de supraveghere o încălcare a securității datelor cu caracter personal de la 24 la 72 de ore. În plus, pentru a nu supune persoanele vizate unui număr prea mare de notificări, care pot deveni obositoare, acestea ar trebui notificate doar în cazurile în care este probabil ca o încălcare a securității datelor să afecteze în mod negativ protecția datelor cu caracter personal sau viața privată a persoanelor vizate, de exemplu în caz de furt sau fraudare a identității, pierderi financiare, vătămare corporală, umilire gravă sau compromiterea reputației. Notificarea ar trebui să conțină și o descriere a naturii încălcării securității datelor cu caracter personal, precum și informații cu privire la drepturi, inclusiv căile de atac (articolul 31, 32). Pentru notificările privind încălcarea securității datelor, evaluările de impact și dreptul de a șterge și de a fi uitat, se propune ca Comisia să adopte acte delegate înainte de punerea în aplicare a prezentului regulament pentru asigurarea certitudinii juridice (articolul 86 alineatul (5a)).
Codurile de conduită, precum și certificarea și sigiliile sunt sprijinite, dar este necesar, de asemenea, să se ofere stimulente pentru stabilirea și utilizarea de norme mai clare cu privire la principiile pe care trebuie să le conțină și la consecințele legate de legalitatea procesării datelor, răspunderi și aspecte conexe. Codurile de conduită declarate de Comisie a fi conforme cu regulamentul conferă persoanelor vizate drepturi opozabile. Mecanismele de certificare trebuie să stabilească procedura formală de emitere și retragere a sigiliului și trebuie să asigure respectarea principiilor de protecție a datelor și drepturile persoanei vizate (articolele 38, 39).
Regulamentul ar trebui să asigure și un cadru de lucru unificat pentru toate autoritățile de protecție a datelor (APD). Pentru a funcționa, APD, care trebuie să fie perfect independente, trebuie în mod esențial să dispună de suficiente resurse umane pentru a-și îndeplini sarcinile în mod eficient (articolul 47). Cooperarea dintre APD va fi, de asemenea, consolidată în contextul unui Comitet european pentru protecția datelor (CEPD), care va înlocui actualul Grup de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal. Raportorul consideră mecanismul prevăzut pentru cooperare și asigurarea coerenței între APD ca un pas uriaș către o aplicare coerentă a legislației din domeniul protecției datelor la nivelul întregii UE. Modelul propus de Comisie nu asigură totuși independența necesară a APD. După evaluarea diferitelor opțiuni, se propune un mecanism alternativ, care păstrează ideea de APD principală, dar se bazează și pe cooperarea strânsă dintre APD pentru asigurarea coerenței (articolele 51, 55a). În esență, o APD este competentă pentru supravegherea operațiunilor de prelucrare pe teritoriul sau a celor care afectează persoanele vizate care își au reședința pe teritoriul său. În cazul activităților de prelucrare ale unui operator sau ale unei persoane împuternicite de către operator care deține unități pe teritoriul mai multor state membre sau al activităților de prelucrare care afectează persoanele vizate din câteva state membre, APD a principalei unități va fi autoritatea principală, deținând rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator (ghișeu unic). Autoritatea principală asigură coordonarea cu autoritățile implicate și consultă celelalte autorități înainte să adopte o măsură. CEPD desemnează autoritatea principală în cazurile neclare sau în care APD nu cad de acord. Dacă o APD implicată într-un caz nu este de acord cu proiectul de măsură propus de autoritatea principală, CEPD emite un aviz. În cazul în care autoritatea principală nu intenționează să se conformeze avizului respectiv, aceasta informează CEPD și furnizează o explicație motivată. CEPD poate adopta o decizie finală, cu majoritate calificată, care să fie obligatorie din punct de vedere juridic pentru autoritatea de supraveghere. Decizia în cauză poate face obiectul căilor de atac judiciare (articolele 45a, 55, 58). De asemenea, Comisia poate ataca această decizie în fața Curții de Justiție a UE și solicita suspendarea măsurii (articolul 61a).
Raportorul sprijină consolidarea APD în ceea ce privește competențele de investigare și sancțiunile. Propunerea Comisiei a fost totuși prea prescriptivă. Raportorul propune un regim simplificat care să permită APD o marjă mai mare de manevră și, totodată, încredințarea Comitetului european pentru protecția datelor a sarcinii de asigurare a consecvenței aplicării (articolele 52, 53, 78, 79). Sistemul de sancțiuni este clarificat prin includerea mai multor criterii care trebuie luate în considerare pentru a determina nivelul unei amenzi pe care o APD o poate impune.
Consolidarea dimensiunii globale
Ca și până în prezent, se menține competența Comisiei de a adopta decizii privind țările terțe, teritoriile și organizațiile internaționale în cazul cărora nivelul de protecție adecvat este asigurat sau nu. Se respinge noua opțiune propusă de recunoaștere a nivelului adecvat de protecție din sectoarele din țările terțe, întrucât acest lucru ar spori incertitudinea juridică și ar submina obiectivul Uniunii de a asigura un cadru armonizat și coerent la nivel internațional de protecție a datelor. Sunt consolidate criteriile de evaluare a nivelului adecvat de protecție în țările terțe (articolul 41 alineatul (2)). Totodată, se propune ca decizia privind nivelul adecvat să fie luată de Comisie printr-un act delegat,iar nu printr-un act de punere în aplicare, pentru a permite Consiliului și Parlamentului European să-și exercite dreptul de control [articolul 41 alineatele (3) și (5)].
În absența unei decizii privind nivelul adecvat, în vederea asigurării unei protecții corespunzătoare și a garanțiilor aferente, operatorul sau persoana împuternicită de acesta ar trebui să ia măsurile necesare, precum coduri de conduită obligatorii, clauze standard de protecție a datelor adoptate de Comisie sau de o autoritate de supraveghere. Amendamentele la articolele 41 alineatul (1a) și la articolul 42 clarifică și detaliază măsurile esențiale de protecție pe care ar trebui să le conțină aceste instrumente.
Se propune un nou articol 43a pentru a reglementa solicitările de acces din partea autorităților publice sau a instanțelor din țări terțe la bazele de date cu caracter personal administrate și prelucrate în UE. Transferul de date ar trebui permis de către autoritatea pentru protecția datelor doar după verificarea faptului că respectivul transfer respectă prezentul regulament, mai ales articolul 44 alineatul (1) literele (d) sau (e). Această situație va deveni și mai importantă odată ce informatica dematerializată se va dezvolta și, prin urmare, trebuie prevăzută.
Sinteză
Raportorul sprijină consolidarea dreptului la protecția datelor cu caracter personal, cu asigurarea unui cadru juridic uniform și reducerea sarcinilor administrative pentru operatorii de date. Raportorul propune limitarea la minimum a rolului Comisiei în punerea în aplicare, prin clarificarea unor elemente esențiale în textul propriu-zis al regulamentului și lăsând punerea în aplicare efectivă în seama mecanismului de cooperare a autorităților pentru protecția datelor. Raportorul propune sublinierea în continuare a utilizării de măsuri tehnologice pentru protejarea datelor cu caracter personal și asigurarea respectării dispozițiilor, combinat cu stimulente pentru operatorii de date în utilizarea unor astfel de măsuri. Conform principiului responsabilității, este consolidat rolul responsabililor cu protecția datelor, reducându-se totodată cerințele de consultare prealabilă a autorităților de supraveghere. Instituțiile Uniunii, organismele și agențiile acesteia ar trebui să fie integrate, pe termen mediu, în același cadru juridic. Dacă aceste elemente beneficiază de acordul Parlamentului European, al Consiliului și al Comisiei, noul cadru juridic pentru protecția datelor va aduce îmbunătățiri atât pentru cetățeni, cât și pentru operatori, și se va dovedi solid în anii ce vor urma.
În cursul colaborării intense cu raportorii alternativi din celelalte grupuri politice și cu raportorii pentru avize, raportorul a integrat un număr important de amendamente ce reflectă dezbaterile dintre toți colegii implicați. Prezentul raport integrează o suită de compromisuri politice, mai ales cu privire la principii, la temeiul juridic al prelucrării datelor cu caracter personal, la drepturile persoanelor vizate, la dispozițiile privind operatorii și persoanele împuternicite de aceștia, la mecanismul pentru asigurarea coerenței și la sancțiuni. Raportorul consideră că propunerile sale vor constitui o bază solidă pentru un acord rapid în Parlamentul European și pentru negocierile cu Consiliul pe durata președinției irlandeze.
AVIZ al Comisiei pentru ocuparea forței de muncă și afaceri sociale (4.3.2013)
destinat Comisiei pentru libertăți civile, justiție și afaceri interne
referitor la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulamentul general privind protecția datelor)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Raportoare pentru aviz: Nadja Hirsch
JUSTIFICARE SUCCINTĂ
Raportoarea salută în mod expres prezentul regulament și obiectivul său de a armoniza în continuare protecția datelor în Uniunea Europeană (UE).
Prezentul aviz are următorul obiectiv: este evident faptul că o protecție europeană cuprinzătoare a datelor angajaților nu poate fi reglementată printr-un singur articol. Mai degrabă este vorba despre stabilirea unor fundamente. Pentru a realiza o autentică piață europeană a muncii și piața unică se poate examina în continuare posibilitatea de a reglementa la nivel european protecția datelor angajaților. Acest lucru ar fi posibil în temeiul articolului 288 din TFUE.
Deși o mare parte a prelucrării datelor în UE se referă la raporturile de muncă, regulamentul acordă doar un spațiu limitat protecției datelor angajaților. În plus, nivelul de abstractizare al reglementului îngreunează adesea reinterpretarea normelor în contextul ocupării forței de muncă.
Raportoarea consideră că se poate ține cont cel mai bine de provocările privind protecția datelor angajaților din prezentul regulament prin axarea avizului pe articolul 82. Aceasta oferă posibilitatea unei extinderi de fond și a unificării diferitelor articole relevante privind protecția datelor din cuprinsul regulamentului.
Articolul 82 alineatul (1) și considerentul 124
În forma sa actuală, și mai ales în domeniul protecției datelor angajaților, prezentul regulament poate oferi doar un nivel minim de protecție. Fiecare stat membru trebuie să aibă în continuare posibilitatea de a stabili standarde mai favorabile pentru angajați. De asemenea, ar trebui să fie posibilă stabilirea unor astfel de standarde în acordurile colective. Formularea „în limitele prezentului regulament” trebuie respinsă din mai multe motive. În primul rând, aceasta contravine derogării generale de la articolul 82 și ar putea conduce, în conjuncție cu actele delegate propuse de Comisie la articolul 82, la o situație extrem de confuză. În al doilea rând, acest lucru ar putea însemna în cel mai rău caz că statele membre nu pot adopta norme mai ambițioase. În fine, această formulare pare să fie aleasă în mod arbitrar aici, deoarece în alte dispoziții de excepție, cum ar fi în domeniul presei, nu se prevede o astfel de restricție.
Articolul 82 alineatul (1b)
Dat fiind faptul că Comisia nu a prezentat o propunere proprie privind protecția datelor angajaților și având în vedere puținele puncte de fond privind protecția datelor angajaților din cuprinsul regulamentului, este necesar să se stabilească câteva standarde minime europene referitoare la nivelul de protecție. Cele patru subpuncte prezentate aici trebuie privite nu ca o listă definitivă, ci ca un fundament pentru o legislație europeană cuprinzătoare în materie de protecție a datelor.
Articolul 82 alineatul (1c)
Responsabilul cu protecția datelor are un rol extrem de important. De aceea, trebuie să fie clar că acesta își poate exercita atribuțiile fără teama de presiune sau influențe externe și în beneficiul angajaților. O protecție specială împotriva concedierii și interzicerea discriminării sunt, prin urmare, adecvate.
Articolul 82 alineatul (1e) și considerentul 124a
Propunerea Comisiei nu specifică îndeajuns cerințele pentru transferurile de date în cadrul unui grup de întreprinderi în UE. Amendamentele vizează remedierea acestei omisiuni, protejând în același timp interesele angajaților.
Articolul 82 alineatul (1f) și considerentul 34
O excludere completă a consimțământului ca bază a prelucrării nu este oportună în raporturile de muncă. Prin urmare, raportoarea propune ca, și în situații de dezechilibru, consimțământul să fie posibil, dacă acesta aduce avantaje de ordin juridic și economic pentru angajat.
Articolul 82 alineatul (3)
Potrivit raportoarei, actele delegate ar trebui utilizate doar dacă elemente neesențiale ale prezentului regulament trebuie adaptate în mod rapid și flexibil la inovații tehnice și de siguranță. Formularea Comisiei este prea generală. În plus, pe lângă alineatul (1) și noul alineat (1c) ar trebui să poată face obiectul actelor delegate.
Articolul 82 alineatul (3a)
Această clauză de revizuire permite o nouă evaluare.
AMENDAMENTELE
Comisia pentru ocuparea forței de muncă și afaceri sociale recomandă Comisiei pentru libertăți civile, justiție și afaceri interne, competentă în fond, să includă în raportul său următoarele amendamente:
Amendamentul 1 Propunere de regulament Considerentul 34 | |
|
Textul propus de Comisie |
Amendamentul |
|
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident de putere între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În contextul ocupării forței de muncă, prelucrarea datelor care are în mod evident consecințe juridice sau economice avantajoase pentru angajat constituie o excepție. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
Amendamentul 2 Propunere de regulament Considerentul 75 | |
|
Textul propus de Comisie |
Amendamentul |
|
(75) În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea este efectuată de o întreprindere de mari dimensiuni sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Acești responsabilii cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent. |
(75) În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea este efectuată de o întreprindere sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Acești responsabilii cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent. Prelucrarea ar trebui realizată de o persoană juridică și implică peste 250 de persoane vizate pe an. |
Amendamentul 3 Propunere de regulament Considerentul 124 | |
|
Textul propus de Comisie |
Amendamentul |
|
(124) Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă. Prin urmare, pentru a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă, statele membre ar trebui să aibă posibilitatea, în limitele stabilite de prezentul regulament, de a adopta pe cale legislativă norme specifice de prelucrare a datelor cu caracter personal în sectorul ocupării forței de muncă.
|
(124) Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă. Statele membre ar trebui să aibă posibilitatea de a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă în conformitate cu normele și standardele minime stabilite prin prezentul regulament. În măsura în care în statul membru respectiv există un temei juridic pentru reglementarea aspectelor legate de ocuparea forței de muncă printr-un acord între reprezentanții angajaților și conducerea întreprinderii sau a întreprinderii care exercită controlul asupra unui grup de întreprinderi (acord colectiv) sau în temeiul Directivei 2009/38/CE a Parlamentului European și a Consiliului din 6 mai 2009 privind instituirea unui comitet european de întreprindere sau a unei proceduri de informare și consultare a lucrătorilor în întreprinderile și grupurile de întreprinderi de dimensiune comunitară1, prelucrarea datelor cu caracter personal în contextul ocupării forței de muncă poate fi reglementată și printr-un astfel de acord. În acest caz deosebit, există posibilitatea derogărilor și a excepțiilor în conformitate cu legislația și practicile naționale. |
|
|
________________ |
|
|
1 JO L 122, 16.5.2009, p. 28. |
Amendamentul 4 Propunere de regulament Considerentul 124 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(124a) Pentru a proteja interesele întreprinderii care sunt direct legate de raportul de muncă, sunt permise transmiterea și prelucrarea datelor cu caracter personal ale angajaților în cadrul grupurilor de întreprinderi. Interesele legitime ale persoanei vizate nu ar trebui să afecteze acest lucru. Datele angajaților cuprind toate tipurile de date cu caracter personal ale persoanei vizate care sunt direct legate de raportul de muncă. Dispozițiile articolului 82 alineatul (1e) țin seama de practica larg răspândită a prelucrării datelor angajaților în cadrul grupurilor de întreprinderi. |
Amendamentul 5 Propunere de regulament Articolul 3 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care nu își au reședința în Uniune de către un operator sau o persoană împuternicită de acesta stabiliți în Uniune, prin activitățile economice desfășurate în una sau mai multe țări terțe. |
Amendamentul 6 Propunere de regulament Articolul 6 – alineatul 1 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de partea terță ori părțile terțe cărora le sunt divulgate datele, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
Justificare | |
Pentru ca sistemul de negociere colectivă să funcționeze în mod adecvat, sindicatele ar trebui să aibă posibilitatea de a monitoriza respectarea acordurilor colective. În prezent, acest lucru se realizează în temeiul articolului 7 litera (f) din Directiva 95/46/CE. Articolul 7 litera (f) recunoaște interesul legitim al unei părți terțe de a prelucra datele cu caracter personal. În general, angajatorul este considerat ca fiind operatorul, iar sindicatul ca parte terță. | |
Amendamentul 7 Propunere de regulament Articolul 6 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor. |
eliminat |
Justificare | |
Dispozițiile privind legalitatea prelucrării constituie nucleul normelor referitoare la protecția datelor cu caracter personal. Întrucât dispozițiile privind actele delegate trebuie să fie limitate la elemente neesențiale ale regulamentului, articolul 5 trebuie eliminat. | |
Amendamentul 8 Propunere de regulament Articolul 9 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. |
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența și activitățile sindicale, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. |
Amendamentul 9 Propunere de regulament Articolul 14 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele cu caracter personal. |
(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele cu caracter personal. Acestea ar include date obținute în mod ilegal de la o terță parte și transmise operatorului. |
Amendamentul 10 Propunere de regulament Articolul 17 – alineatul 6 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(6a) Fără a aduce atingere cerințelor referitoare la date din prezentul regulament, în special în ceea ce privește respectarea vieții private încă din stadiul de proiectare, dispozițiile de la alineatele (4) și (6) din prezentul articol nu modifică dreptul autorităților publice de a stoca date pentru a deține dovezi bazate pe documente cu privire la un anumit caz. |
Amendamentul 11 Propunere de regulament Articolul 28 – alineatul 4 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) întreprinderilor sau organizațiilor cu mai puțin de 250 de angajați care prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale. |
(b) întreprinderilor sau organizațiilor care prelucrează date cu caracter personal doar ca o activitate auxiliară activităților lor principale. |
Justificare | |
Limita de 250 de angajați plasează angajatorii pe poziții inegale, este discriminatorie față de întreprinderile mai mari și nu este deloc necesară pentru atingerea scopului. Nu există o corelație între numărul angajaților și tipul sau volumul datelor cu caracter personal deținute de organizație. O organizație mică cu doar câțiva angajați poate controla un volum enorm de date cu caracter personal delegate și invers. În plus, limita nu este ușor interpretabilă în toate aspectele ei. | |
Amendamentul 12 Propunere de regulament Articolul 35 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când: |
(1) Operatorul și persoana împuternicită de către operator desemnează, după aprobarea de către reprezentanții intereselor personalului întreprinderii, un responsabil cu protecția datelor atunci când: |
Amendamentul 13 Propunere de regulament Articolul 35 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) prelucrarea este efectuată de o autoritate sau de un organism public; sau |
(a) prelucrarea este efectuată de o autoritate sau de un organism public în numele lor; sau |
Amendamentul 14 Propunere de regulament Articolul 35 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea este efectuată de o întreprindere cu 250 de angajați sau mai mult; sau |
(b) prelucrarea este efectuată de o persoană juridică și implică peste 250 de persoane vizate pe an; sau |
Amendamentul 15 Propunere de regulament Articolul 35 – alineatul 1 – litera ba (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ba) datele prelucrate sunt deosebit de sensibile, de exemplu, în cazul datelor medicale; sau |
Amendamentul 16 Propunere de regulament Articolul 35 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul menționat la alineatul (1) litera (b), un grup de întreprinderi poate numi un responsabil unic cu protecția datelor. |
(2) Un grup de organizații menționat la alineatul (1) literele (a) și (b), poate numi un responsabil unic cu protecția datelor, dacă acest lucru se aplică unei singure jurisdicții. |
Justificare | |
În multe domenii, autoritățile publice acționează în prezent ca cvasi-întreprinderi. Regulamentul nu ar trebui să interzică posibilitatea de a numi un singur responsabil cu protecția datelor pentru un grup de entități provenind deopotrivă din sectorul public și privat. | |
Amendamentul 17 Propunere de regulament Articolul 82 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Prelucrarea în contextul ocupării unui loc de muncă |
Standarde minime pentru prelucrarea datelor în contextul ocupării unui loc de muncă |
Amendamentul 18 Propunere de regulament Articolul 82 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În limitele prezentului regulament, statele membre pot adopta pe cale legislativă norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării, îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. |
(1) În conformitate cu prevederile prezentului regulament și ținând cont de principiul proporționalității, statele membre pot adopta prin dispoziții juridice norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul, dar nu numai, al recrutării și al solicitărilor de angajare în cadrul grupului de întreprinderi, al îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege și prin acorduri colective, al acordurilor colective și la nivel de întreprindere în conformitate cu legislația și practica națională, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. |
|
|
Nivelul de protecție acordat prin prezentul regulament nu poate fi redus. Fără a aduce atingere tezei anterioare, atunci când se adoptă măsuri prin intermediul acordurilor între reprezentanții angajaților și conducerea întreprinderii sau a întreprinderii care exercită controlul asupra unui grup de întreprinderi, nivelul de protecție acordat prin prezentul regulament nu poate fi redus în mod semnificativ. |
|
|
Nu se aduce atingere dreptului statelor membre sau al partenerilor sociali acordat prin acordurile colective de a prevedea dispoziții de protecție mai favorabile angajaților cu privire la prelucrarea datelor cu caracter personal în contextul ocupării unui loc de muncă. |
Amendamentul 19 Propunere de regulament Articolul 82 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Scopul prelucrării unor astfel de date trebuie să fie direct legat de motivul pentru care au fost colectate și să se realizeze strict în contextul ocupării unui loc de muncă. Crearea de profiluri sau utilizarea pentru scopuri auxiliare nu este permisă. |
Amendamentul 20 Propunere de regulament Articolul 82 – alineatul 1 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1b) Fără a aduce atingere celorlalte prevederi ale prezentului regulament, dispozițiile legislative naționale menționate la alineatul (1) includ cel puțin următoarele standarde minime: |
|
|
(a) prelucrarea datelor unui angajat fără înștiințarea acestuia nu este permisă. Fără a aduce atingere primei teze, statele membre pot permite o astfel de practică prin lege, cu garantarea unor termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt adecvate scopului. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă; |
|
|
(b) este interzisă supravegherea audio și/sau video deschisă prin mijloace electronice a părților întreprinderii inaccesibile publicului, care sunt utilizate de angajat în primul rând pentru activități private, mai ales toaletele, vestiarele, încăperile pentru odihnă și dormitoarele. Supravegherea ascunsă este în orice caz interzisă; |
|
|
(c) dacă întreprinderile sau autoritățile colectează sau prelucrează date cu caracter personal în cadrul examinărilor medicale și/sau al testelor de aptitudini, acestea trebuie să explice înainte candidatului sau angajatului în ce scop sunt utilizate datele respective și să se asigure că ulterior îi vor fi comunicate împreună cu rezultatele și, la cerere, vor fi explicate. Colectarea datelor pentru teste și analize genetice este în principiu interzisă; |
|
|
(d) acordurile colective pot reglementa dacă și în ce măsură utilizarea telefonului, a e-mailului, a internetului și a altor servicii de telecomunicații este permisă și în scopuri private. În cazul în care nu există posibilitatea reglementării printr-un acord colectiv, angajatorul ajunge la un acord direct cu angajatul. Dacă utilizarea privată este permisă, se admite prelucrarea datelor aferente privind traficul, în special pentru a garanta securitatea datelor, pentru a asigura buna funcționare a rețelelor și serviciilor de telecomunicații și în vederea facturării. Prin derogare de la a treia teză, statele membre pot permite o astfel de practică prin lege, cu garantarea unor termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt adecvate scopului. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă; |
|
|
(e) datele cu caracter personal ale angajaților, și în special datele sensibile, cum ar fi orientarea politică, apartenența și activitățile sindicale nu pot fi în niciun caz utilizate pentru a înscrie angajații pe așa-numite „liste negre”, a efectua verificări asupra lor sau a-i împiedica să-și găsească un loc de muncă în viitor. Este interzisă prelucrarea, utilizarea în contextul ocupării forței de muncă, elaborarea și difuzarea listelor negre de angajați. Statele membre realizează controale și adoptă sancțiuni adecvate pentru a asigura punerea în aplicare eficace a acestei dispoziții. |
Amendamentul 21 Propunere de regulament Articolul 82 – alineatul 1 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1c) Pe lângă dispozițiile din capitolul IV secțiunea 4, responsabilul cu protecția datelor beneficiază de o protecție specială împotriva concedierii în cadrul exercitării atribuțiilor sale și nu poate face obiectul discriminării. Autoritățile și întreprinderile garantează că responsabilul cu protecția datelor își poate desfășura toate activitățile în mod independent în conformitate cu articolul 36 alineatul (2) și are acces la formare, costurile aferente fiind suportate de operator sau persoana împuternicită de acesta. Dacă întreprinderile își au sediul în mai multe state membre, responsabilul cu protecția datelor este ușor accesibil pentru toți lucrătorii săi în fiecare dintre aceste state membre. |
|
|
Pe lângă dispozițiile din capitolul IV secțiunea 4, responsabilul cu protecția datelor are la dispoziție timpul necesar pentru îndeplinirea sarcinilor relevante, atunci când acestea se adaugă celor generale. Comitetele naționale și europene de întreprindere sunt consultate cu privire la numirea responsabilului cu protecția datelor și au dreptul permanent de consultare. |
Amendamentul 22 Propunere de regulament Articolul 82 – alineatul 1 d (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1d) Fără a aduce atingere drepturilor de informare și participare decurgând din dreptul național al muncii, reprezentanții intereselor personalului întreprinderii și comitetul de întreprindere european beneficiază de următoarele drepturi: |
|
|
(a) dreptul de a participa la desemnarea responsabilului cu protecția datelor (articolul 35 și următoarele); |
|
|
(b) dreptul la consultare și informare periodică din partea responsabilului cu protecția datelor; |
|
|
(c) dreptul la reprezentare a angajaților vizați în fața unei instanțe naționale ordinare (articolul 73), precum și posibilitatea unei plângeri colective (articolul 75); |
|
|
(d) dreptul la consultare în elaborarea de reguli corporatiste obligatorii (articolul 43). |
Amendamentul 23 Propunere de regulament Articolul 82 – alineatul 1 e (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1e) Transmiterea și prelucrarea datelor cu caracter personal ale angajaților între întreprinderi distincte din punct de vedere juridic în cadrul unui grup de întreprinderi și profesioniștilor care asigură consiliere juridică și fiscală este permisă, în măsura în care este relevantă pentru desfășurarea activității întreprinderii și pentru realizarea demersurilor și procedurilor administrative cu scop precis și nu contravine intereselor legitime ale persoanei vizate. Dacă datele angajaților sunt transmise într-o țară terță și/sau către o organizație internațională, se aplică capitolul V. |
Amendamentul 24 Propunere de regulament Articolul 82 – alineatul 1 f (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1f)Articolul 7 alineatul (4) nu se aplică dacă prelucrarea datelor are consecințe juridice sau economice avantajoase pentru angajat. |
Amendamentul 25 Propunere de regulament Articolul 82 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează. |
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile juridice pe care le-a adoptat în temeiul alineatelor (1) și (1b) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează. |
Amendamentul 26 Propunere de regulament Articolul 82 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 exclusiv în scopul detalierii criteriilor și cerințelor pentru garantarea celor mai noi standarde tehnice și de siguranță în ceea ce privește prelucrarea datelor cu caracter personal privind scopurile menționate la alineatele (1) și (1e). În acest sens trebuie avute în vedere costurile și beneficiile punerii în aplicare, riscurile care decurg din activitățile de prelucrare, precum și necesitatea corespunzătoare de protejare a datelor. |
Amendamentul 27 Propunere de regulament Articolul 82 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) La propunerea Comisiei, Parlamentul European și Consiliul reexaminează articolul 82 cel târziu la 2 ani de la data menționată la articolul 91 alineatul (2). Acestea iau o decizie cu privire la propunere în conformitate cu procedura prevăzută la articolul 294 din Tratatul privind funcționarea Uniunii Europene. |
PROCEDURĂ
|
Titlu |
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) |
||||
|
Referințe |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Comisie competentă în fond Data anunțului în plen |
LIBE 16.2.2012 |
|
|
|
|
|
Aviz emis de către Data anunțului în plen |
EMPL 24.5.2012 |
||||
|
Raportor/Raportoare pentru aviz: Data numirii |
Nadja Hirsch 20.4.2012 |
||||
|
Examinare în comisie |
28.11.2012 |
23.1.2013 |
20.2.2013 |
|
|
|
Data adoptării |
21.2.2013 |
|
|
|
|
|
Rezultatul votului final |
+: –: 0: |
35 3 6 |
|||
|
Membri titulari prezenți la votul final |
Regina Bastos, Edit Bauer, Heinz K. Becker, Jean-Luc Bennahmias, Phil Bennion, Pervenche Berès, Philippe Boulland, Alejandro Cercas, Ole Christensen, Derek Roland Clark, Minodora Cliveti, Emer Costello, Frédéric Daerden, Sari Essayah, Richard Falbr, Thomas Händel, Marian Harkin, Nadja Hirsch, Stephen Hughes, Danuta Jazłowiecka, Jean Lambert, Patrick Le Hyaric, Verónica Lope Fontagné, Olle Ludvigsson, Thomas Mann, Elisabeth Morin-Chartier, Csaba Őry, Konstantinos Poupakis, Sylvana Rapti, Licia Ronzulli, Elisabeth Schroedter, Nicole Sinclaire, Joanna Katarzyna Skrzydlewska, Jutta Steinruck, Traian Ungureanu, Inês Cristina Zuber |
||||
|
Membri supleanți prezenți la votul final |
Georges Bach, Sergio Gutiérrez Prieto, Ria Oomen-Ruijten, Antigoni Papadopoulou, Csaba Sógor |
||||
|
Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final |
Alexander Alvaro, Nirj Deva, Pat the Cope Gallagher |
||||
AVIZ al Comisiei pentru industrie, cercetare și energie (26.2.2013)
destinat Comisiei pentru libertăți civile, justiție și afaceri interne
referitor la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Raportor pentru aviz: Seán Kelly
JUSTIFICARE SUCCINTĂ
La 25 ianuarie 2012, Comisia Europeană a prezentat o reformă cuprinzătoare a regimului de protecție a datelor în UE. Regulamentul propus vizează armonizarea dreptului la respectarea vieții private pe internet și garantarea liberei circulații a acestor date în interiorul Uniunii Europene.
Propunerea de regulament urmărește, de asemenea:
· adaptarea regimului de protecție a datelor la exigențele modificate ale lumii digitale, știut fiind faptul că actualele dispoziții au fost adoptate cu 17 ani în urmă, când mai puțin de 1% dintre europeni utilizau internetul;
· prevenirea actualelor discrepanțe în implementarea dispozițiilor din 1995 de către diferitele state membre și garantarea faptului că dreptul fundamental la protecția datelor cu caracter personal este aplicat în mod uniform în toate domeniile de activitate ale Uniunii;
· consolidarea încrederii consumatorilor în serviciile online, însoțită de o mai bună informare cu privire la drepturi și protecția datelor odată cu introducerea dreptului la rectificare, la ștergere și la eliminare, portabilitatea datelor și dreptul de a formula obiecții;
· impulsionarea pieței unice digitale prin reducerea actualei fragmentări și a sarcinilor administrative și, în mod mai general, asumarea unui rol important în cadrul Strategiei Europa 2020.
În comparație cu actuala Directivă 95/46/CE, regulamentul propus introduce obligativitatea desemnării unui responsabil cu protecția datelor pentru sectorul public și, în sectorul privat, pentru întreprinderile mari cu peste 250 de angajați și pentru acele întreprinderi ale căror activități principale constau în prelucrarea datelor cu caracter personal.
Au fost, de asemenea, efectuate îmbunătățiri în ceea ce privește transferul de date cu caracter personal către țări terțe sau organizații internaționale.
Actuala propunere instituie Comitetul european pentru protecția datelor și prevede sancțiuni, penalizări și dreptul la despăgubiri în cazul încălcării regulamentului.
Raportorul sprijină cu fermitate principalele obiective ale propunerii Comisiei.
Modificările propuse ar trebui să contribuie la evitarea sarcinilor administrative excesive pentru întreprinderi, în special pentru acele întreprinderi care au încorporate clauze privind protecția vieții private, și să garanteze un anumit nivel de flexibilitate în ceea ce privește anumite dispoziții din regulament, în special cele vizând mecanismul de responsabilitate și notificarea autorității de supraveghere. Unele definiții și aspecte din textul original trebuie, de asemenea, clarificate, contextualizate și simplificate.
Raportorul a acordat prioritate unei abordări calitative, mai degrabă decât uneia cantitative, în ceea ce privește protecția datelor, care se concentrează asupra guvernanței corporative, bazată pe principiul responsabilității menționat mai sus, spre deosebire de utilizarea excesivă a procedurilor de aprobare sau documentare birocratică, acestea având și ele, totuși, un rol în protecția datelor.
Este, de asemenea, important să fie subliniat rolul soluțiilor tehnice precum protecția datelor începând cu momentul conceperii, pseudonimizarea și anonimizarea datelor, prioritizarea protecției datelor sensibile și măsuri de conformitate orientate.
Raportorul dorește să evidențieze importanța evitării consecințelor nedorite, care ar putea avea consecințe negative în domenii precum libertatea presei, cercetarea în domeniul sănătății, combaterea criminalității financiare și a fraudei în sport și inovarea în domeniul livrării de rețele energetice și sisteme de transport inteligente.
Un alt aspect al propunerii privește numărul considerabil de acte delegate. Raportorul consideră că utilizarea actelor delegate este excesivă și propune eliminarea majorității acestora.
AMENDAMENTELE
Comisia pentru industrie, cercetare și energie recomandă Comisiei pentru libertăți civile, justiție și afaceri interne, competentă în fond, să includă în raportul său următoarele amendamente:
Amendamentul 1 Propunere de regulament Referirea 1 a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
având în vedere Carta drepturilor fundamentale a Uniunii Europene și, în special, articolele 7 și 8, |
Amendamentul 2 Propunere de regulament Referirea 1 b (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
având în vedere Convenția europeană a drepturilor omului și, în special, articolul 8, |
Amendamentul 3 Propunere de regulament Considerentul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Libertatea de exprimare și de informare reprezintă un drept fundamental, în conformitate cu articolul 11 din Carta drepturilor fundamentale a Uniunii Europene. Acest drept cuprinde libertatea de opinie și libertatea de a primi sau de a transmite informații sau idei fără amestecul autorităților publice și fără a ține seama de frontiere. Libertatea și pluralismul mijloacelor de informare în masă ar trebui respectate. |
Justificare | |
Ar trebui făcută o referire explicită la libertatea de informare și la dreptul la liberă exprimare, care sunt drepturi fundamentale în Uniunea Europeană, în conformitate cu articolul 11 din Carta drepturilor fundamentale a UE. | |
Amendamentul 4 Propunere de regulament Considerentul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Protecția vieții private a persoanelor ar trebui să fie punctul de plecare pentru modul de tratare a datelor cu caracter personal în registrele publice. |
Amendamentul 5 Propunere de regulament Considerentul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Principiile accesului liber la informații care caracterizează statele membre prin tradițiile lor constituționale nu ar trebui subminate, iar libertatea de exprimare și libertatea presei, astfel cum sunt exprimate de constituțiile statelor membre, ar trebui protejate. |
Amendamentul 6 Propunere de regulament Considerentul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea schimbului și a colectării de date a crescut spectaculos. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor. Din ce în ce mai multe persoane fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și necesită facilitarea în continuare a liberei circulații a datelor în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal. |
(5) Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea schimbului și a colectării de date a crescut spectaculos. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor. Din ce în ce mai multe persoane fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și necesită protecții juridice îmbunătățite, care să faciliteze libera circulație a datelor în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal. |
Justificare | |
Cât timp regulamentul are două scopuri – protecția datelor cu caracter personal și permiterea liberei circulații a acestora în cadrul Uniunii – primul obiectiv ar trebui subliniat mai mult, dat fiind faptul că acesta este un drept fundamental | |
Amendamentul 7 Propunere de regulament Considerentul 5 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(5a) Alături de alte tehnologii, cloud computing are potențialul de a transforma economia europeană, cu condiția luării unor măsuri adecvate de siguranță și de protecție a datelor. Pentru a asigura cel mai înalt nivel de siguranță a datelor cu caracter personal, este esențial să se înțeleagă drepturile și obligațiile operatorilor de date și ale persoanelor împuternicite de către operator în cadrul prezentului regulament. |
Amendamentul 8 Propunere de regulament Considerentul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
(8) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. |
(8) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre și identic, atunci când este posibil. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. |
Justificare | |
Normele privind prelucrarea datelor sunt „echivalente” deja din punct de vedere teoretic în toate statele membre. Eșecul acestei abordări constă în logica din spatele acestei propuneri care este un regulament. Acest considerent ar trebui să reflecte în mod adecvat această gândire. | |
Amendamentul 9 Propunere de regulament Considerentul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
(10) Articolul 16 alineatul (2) din tratat mandatează Parlamentul European și Consiliul să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum și normele privind libera circulație a acestor date. |
(10) Articolul 16 alineatul (2) din tratat mandatează Parlamentul European și Consiliul să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către instituțiile, organele și agențiile Uniunii, precum și de către statele membre în exercitarea activităților care fac parte din domeniul de aplicare al dreptului Uniunii, precum și normele privind libera circulație a acestor date. |
Amendamentul 10 Propunere de regulament Considerentul 11 | |
|
Textul propus de Comisie |
Amendamentul |
|
(11) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderile și întreprinderile mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi garantate din punct de vedere juridic, de obligații și de responsabilități pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea efectivă a autorităților de supraveghere ale diferitelor state membre. Pentru a se lua în considerare situația specifică a microîntreprinderilor și a întreprinderilor mici și mijlocii, prezentul regulament include mai multe derogări. În plus, instituțiile și organismele Uniunii, statele membre și autoritățile lor de supraveghere sunt încurajate să ia în considerare necesitățile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii în aplicarea prezentului regulament. Noțiunea de microîntreprinderi și de întreprinderi mici și mijlocii ar trebui să se bazeze pe Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii. |
(11) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderile și întreprinderile mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi garantate din punct de vedere juridic, de obligații și de responsabilități pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea efectivă a autorităților de supraveghere ale diferitelor state membre. Atunci când se demonstrează că este necesar și fără a submina protecția datelor cu caracter personal și nici principiile pieței interne, pentru a se lua în considerare situația specifică a microîntreprinderilor și a întreprinderilor mici și mijlocii, prezentul regulament include mai multe derogări. În plus, instituțiile și organismele Uniunii, statele membre și autoritățile lor de supraveghere sunt încurajate să ia în considerare necesitățile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii în aplicarea prezentului regulament, în urma unor consultări cu părțile implicate, și, de asemenea, să ia în considerare principiul „Gândiți mai întâi la scară mică”, astfel încât interesele microîntreprinderilor și ale întreprinderilor mici și mijlocii să fie luate în considerare într-un stadiu foarte incipient al elaborării politicilor. Noțiunea de microîntreprinderi și de întreprinderi mici și mijlocii ar trebui să se bazeze pe Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii. |
Amendamentul 11 Propunere de regulament Considerentul 12 | |
|
Textul propus de Comisie |
Amendamentul |
|
(12) Protecția conferită de prezentul regulament vizează persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal. Referitor la prelucrarea datelor care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și detaliile de contact ale persoanei juridice, protecția conferită de prezentul regulament nu ar trebui să poată fi invocată de nicio persoană. Aceasta ar trebui să se aplice, de asemenea, în cazul în care numele persoanei juridice conține numele uneia sau mai multor persoane fizice. |
(12) Protecția conferită de prezentul regulament vizează persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal. Referitor la prelucrarea datelor care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și detaliile de contact ale persoanei juridice, protecția conferită de prezentul regulament ar trebui să poată fi invocată în egală măsură. |
Amendamentul 12 Propunere de regulament Considerentul 16 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(16a) Prezentul regulament nu este izolat de celelalte acte juridice ale Uniunii. Limitele de răspundere ale Directivei privind comerțul electronic au o structură orizontală și se aplică, prin urmare, tuturor informațiilor. Prezentul regulament definește ce anume constituie o încălcare a protecției datelor, în vreme ce Directiva privind comerțul electronic stabilește condițiile în care furnizorul de servicii de informare răspunde pentru încălcarea legii de către un terț. |
Justificare | |
Este necesar să se explice suplimentar, într-un considerent, motivele referirii la limitele de răspundere ale Directivei privind comerțul electronic. | |
Amendamentul 13 Propunere de regulament Considerentul 23 | |
|
Textul propus de Comisie |
Amendamentul |
|
(23) Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă. |
(23) Principiile protecției ar trebui să se aplice doar informațiilor specifice referitoare la o persoană identificată sau identificabilă. Pentru a se stabili dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare: (i) doar mijloacele care pot fi utilizate fie de către operator, fie de către orice altă persoană fizică sau juridică în scopul identificării persoanei fizice respective și (ii) probabilitatea ca o persoană să fie identificată. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă pe baza datelor, luând în considerare pe deplin „stadiul actual al tehnologiei” și tendințele tehnologice. |
Amendamentul 14 Propunere de regulament Considerentul 23 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(23a) Prezentul regulament recunoaște că pseudonimizarea este în beneficiul tuturor persoanelor vizate, dat fiind faptul că, potrivit definiției, datele cu caracter personal sunt modificate astfel încât acestea nu pot fi atribuite unei persoane vizate fără utilizarea unor date suplimentare. Prin aceasta, operatorii sunt încurajați să practice date pseudonimizate. |
Amendamentul 15 Propunere de regulament Considerentul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele. |
(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați date cu caracter personal în toate circumstanțele. |
Amendamentul 16 Propunere de regulament Considerentul 25 | |
|
Textul propus de Comisie |
Amendamentul |
|
(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. |
(25) Consimțământul ar trebui acordat în mod clar prin orice metodă corespunzătoare în contextul unui produs sau serviciu oferit care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație, fie printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. |
Amendamentul 17 Propunere de regulament Considerentul 25 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(25a) Prezentul regulament recunoaște că pseudonimizarea datelor poate contribui la minimizarea riscurilor în ceea ce privește viața privată a persoanelor vizate. În măsura în care un operator pseudonimizează date, această prelucrare este considerată justificată ca interes legitim al operatorului conform articolului 6 alineatul (1) litera (f). |
Amendamentul 18 Propunere de regulament Considerentul 26 | |
|
Textul propus de Comisie |
Amendamentul |
|
(26) Datele cu caracter personal referitoare la sănătate ar trebui să includă, în special, toate datele având legătură cu starea de sănătate a persoanei vizate; informații privind înscrierea persoanei fizice pentru acordarea de servicii medicale; informații privind plățile pentru asistență medicală efectuate de persoana fizică sau privind eligibilitatea acesteia pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri medicale; orice informații privind persoana fizică respectivă colectate în cadrul furnizării de servicii de sănătate pentru aceasta; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv eșantioane de material biologic; identificarea unei persoane ca furnizor de asistență medicală pentru persoana fizică respectivă sau orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate, indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. |
(26) Datele cu caracter personal referitoare la sănătate ar trebui să includă, în special, toate datele cu caracter personal având legătură cu starea de sănătate a persoanei vizate, inclusiv informațiile genetice; informații privind înscrierea persoanei fizice pentru acordarea de servicii medicale; informații privind plățile pentru asistență medicală efectuate de persoana fizică sau privind eligibilitatea acesteia pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri medicale; orice informații privind persoana fizică respectivă colectate în cadrul furnizării de servicii de sănătate pentru aceasta; date cu caracter personal rezultate din testarea sau examinarea unei părți a corpului, a unei substanțe corporale sau a unui eșantion de material biologic; identificarea unei persoane ca furnizor de asistență medicală pentru persoana fizică respectivă sau orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate, indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. |
Amendamentul 19 Propunere de regulament Considerentul 27 | |
|
Textul propus de Comisie |
Amendamentul |
|
(27) Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de către operator ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune. |
(27) Atunci când un operator sau o persoană împuternicită de operator are mai multe sedii în Uniune, inclusiv, dar nelimitându-se la cazurile în care operatorul sau persoana împuternicită de operator este un grup de întreprinderi, sediul principal al unui operator în Uniune, în sensul prezentului regulament, ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. |
Amendamentul 20 Propunere de regulament Considerentul 28 | |
|
Textul propus de Comisie |
Amendamentul |
|
(28) Un grup de întreprinderi ar trebui cuprindă o întreprindere care exercită controlul și întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui să fie întreprinderea care poate exercita o influență dominantă asupra celorlalte întreprinderi, de exemplu, în temeiul proprietății, al participării financiare sau al regulilor care o reglementează sau al competenței de a pune în aplicare normele în materie de protecție a datelor cu caracter personal. |
(28) Un grup de întreprinderi ar trebui cuprindă o întreprindere care exercită controlul și întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui să fie întreprinderea care poate exercita o influență dominantă asupra celorlalte întreprinderi, de exemplu, în temeiul proprietății, al participării financiare sau al regulilor care o reglementează sau al competenței de a pune în aplicare normele în materie de protecție a datelor cu caracter personal. Un grup de întreprinderi poate desemna un singur sediu principal în Uniune. |
Amendamentul 21 Propunere de regulament Considerentul 29 | |
|
Textul propus de Comisie |
Amendamentul |
|
(29) Copii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului. |
(29) Copii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Această protecție este importantă în special în contextul rețelelor sociale, caz în care copiii ar trebui să fie informați cu privire la identitățile persoanelor cu care comunică. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului. Nicio referință la protecția copiilor din prezentul regulament nu ar trebui înțeleasă ca o instrucție implicită potrivit căreia protecția datelor cu caracter personal ale adulților ar trebui tratată cu mai puțină grijă decât ar fi fost cazul, dacă referința nu a fost inclusă. |
Amendamentul 22 Propunere de regulament Considerentul 30 | |
|
Textul propus de Comisie |
Amendamentul |
|
(30) Orice prelucrare a datelor cu caracter personal ar trebui să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor. Datele ar trebui să fie adecvate, relevante și limitate la minimum necesar scopurilor în care datele sunt prelucrate; aceasta necesită, în special, asigurarea faptului că datele colectate nu sunt excesive și că perioada pentru care datele sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. |
(30) Orice prelucrare a datelor cu caracter personal ar trebui să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor. Datele ar trebui să fie adecvate, relevante și să nu fie excesive în raport cu scopurile în care datele sunt prelucrate; aceasta necesită, în special, asigurarea faptului că datele colectate nu sunt excesive și că perioada pentru care datele sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. |
Amendamentul 23 Propunere de regulament Considerentul 31 | |
|
Textul propus de Comisie |
Amendamentul |
|
(31) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei în cauză sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament. |
(31) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza unuia dintre motivele legitime, prevăzute de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament. |
Justificare | |
Amendamentul încurajează o utilizare adecvată a consimțământului, ca un temei egal cu celelalte pentru legalitatea prelucrării, prevăzută la articolul 6. | |
Amendamentul 24 Propunere de regulament Considerentul 32 | |
|
Textul propus de Comisie |
Amendamentul |
|
(32) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. |
(32) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. Pentru a respecta principiul minimizării datelor, această sarcină a probei nu ar trebui înțeleasă nici ca o solicitare a unei identificări pozitive a persoanelor vizate, decât dacă acest lucru este necesar, nici ca generator de mai multe date de prelucrat decât ar fi fost cazul în caz contrar. |
Amendamentul 25 Propunere de regulament Considerentul 33 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(33a) Consimțământul poate să nu fie modalitatea principală sau cea mai de dorit pentru legitimizarea prelucrării datelor cu caracter personal. Utilizarea consimțământului în contextul adecvat este crucială, dar ar trebui să se recurgă la acesta ca bază legitimă pentru prelucrare doar atunci când persoanele vizate își pot acorda și revoca în mod rezonabil și simplu consimțământul. Atunci când este utilizat în contexte inadecvate, consimțământul își pierde valoarea și încarcă persoana vizată cu o povară inutilă. De exemplu, consimțământul nu reprezintă o justificare adecvată atunci când prelucrarea este necesară pentru un serviciu solicitat de utilizator sau atunci când persoanele nu pot refuza acordarea consimțământului fără ca acest lucru să aibă un impact asupra serviciului de bază. În acest context și în altele similare, operatorii de date ar trebui să încerce să garanteze legalitatea prelucrării pe baza unui alt motiv legitim. |
Justificare | |
Amendamentul aliniază textul la Avizul Grupului de lucru „articolul 29” 15/2011 privind definiția consimțământului (p. 10) prin consolidarea ideii potrivit căreia poate fi inutil sau chiar dăunător protecției vieții private atunci când este utilizat în mod excesiv, în special în cadrul serviciilor de informare. | |
Amendamentul 26 Propunere de regulament Considerentul 34 | |
|
Textul propus de Comisie |
Amendamentul |
|
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
Justificare | |
Consimțământul pentru prelucrarea datelor în contextul ocupării unui loc de muncă nu ar trebui tratat la modul general, pentru că de multe ori acesta este acordat pentru domenii în care este chiar în interesul angajatului respectiv ca datele sale cu caracter personal să fie prelucrate. | |
Amendamentul 27 Propunere de regulament Considerentul 36 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(36a) Sarcini realizate în interesul public sau în cadrul exercitării autorității oficiale includ prelucrarea datelor cu caracter personal pentru gestionarea și funcționarea autorităților respective. |
Justificare | |
Este necesară o indicație suplimentară cu privire la ceea ce poate fi acoperit de obligația legală sau de sarcinile realizate în interesul public sau în cadrul exercitării autorității publice. | |
Amendamentul 28 Propunere de regulament Considerentul 38 | |
|
Textul propus de Comisie |
Amendamentul |
|
(38) Interesele legitime ale unui operator pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
(38) Interesele legitime ale unui operator sau ale părții sau părților terțe în interesul cărora sunt prelucrate datele pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Pentru a asigura claritatea, Comitetul european pentru protecția datelor ar trebui să stabilească orientări cuprinzătoare cu privire la ceea ce poate fi definit ca „interes legitim”. Prelucrarea ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
Amendamentul 29 Propunere de regulament Considerentul 40 | |
|
Textul propus de Comisie |
Amendamentul |
|
(40) Prelucrarea datelor cu caracter personal în alte scopuri ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile în care datele au fost inițial colectate, în special în cazul în care prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică. În cazul în care celălalt scop nu este compatibil cu scopul inițial în care datele sunt colectate, operatorul ar trebuie să obțină consimțământul persoanei vizate cu privire la acest alt scop sau ar trebui să întemeieze prelucrarea legală pe un alt motiv legitim, în special în cazul în care acest fapt este prevăzut de dreptul Uniunii sau de legislația statului membru care se aplică operatorului. În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri ar trebui să fie garantată. |
(40) Prelucrarea datelor cu caracter personal în alte scopuri ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile în care datele au fost inițial colectate, precum în cazul în care prelucrarea este necesară în scopuri istorice, statistice sau științifice. În cazul în care celălalt scop nu este compatibil cu scopul inițial în care datele sunt colectate, operatorul ar trebui să obțină consimțământul persoanei vizate cu privire la acest alt scop. În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri ar trebui să fie garantată. |
Amendamentul 30 Propunere de regulament Considerentul 40 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(40a) Prelucrarea datelor în măsura în care este strict necesară în scopul asigurării că întreprinderile din sectorul energiei electrice sau al gazelor sau operatorii sistemelor de distribuție, astfel cum sunt definiți în Directiva 2009/72/CE și în Directiva 2009/73/CE, pot satisface necesitățile sistemului, ale rețelei sau pe cele operaționale sau punerea în aplicare a programelor de răspuns la cerere, de gestionare energetică sau de eficiență energetică, ar trebui să fie permisă cu condiția ca întreprinderea de electricitate sau de gaz sau operatorul sistemului de distribuție să solicite prin contract ca operatorul să îndeplinească cerințele prevăzute de prezentul regulament. |
Amendamentul 31 Propunere de regulament Considerentul 41 | |
|
Textul propus de Comisie |
Amendamentul |
|
(41) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, necesită o protecție specifică. Astfel de date nu ar trebui să fie prelucrate, cu excepția cazului în care persoana vizată își dă consimțământul explicit. Cu toate acestea, derogări de la interdicția respectivă ar trebui prevăzute în mod explicit în ceea ce privește nevoile specifice, în special atunci când prelucrarea este efectuată în cadrul activităților legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale. |
(41) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, necesită o protecție specifică. Astfel de date nu ar trebui să fie prelucrate, cu excepția cazului în care persoana vizată își dă consimțământul în cunoștință de cauză. Cu toate acestea, derogări de la interdicția respectivă ar trebui prevăzute în mod explicit în ceea ce privește nevoile specifice, în special atunci când prelucrarea este efectuată în cadrul activităților legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale ale persoanelor vizate în cauză.
|
Amendamentul 32 Propunere de regulament Considerentul 45 | |
|
Textul propus de Comisie |
Amendamentul |
|
(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. |
(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. Operatorul de date nu ar trebui să invoce o posibilă lipsă de informații pentru a refuza o cerere de acces, atunci când aceste informații pot fi furnizate de persoana vizată pentru a permite un astfel de acces. |
Amendamentul 33 Propunere de regulament Considerentul 48 | |
|
Textul propus de Comisie |
Amendamentul |
|
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata stocării datelor, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. |
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata stocării datelor și criteriile de stabilire a acesteia, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. |
Amendamentul 34 Propunere de regulament Considerentul 49 | |
|
Textul propus de Comisie |
Amendamentul |
|
(49) Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării sau, în cazul în care datele nu sunt colectate de la persoana vizată, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele sunt divulgate pentru prima dată destinatarului. |
(49) Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării sau, în cazul în care datele nu sunt colectate de la persoana vizată, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele pot fi divulgate în mod legitim unui alt destinatar, fără consimțământul persoanei vizate sau consimțământul reînnoit al acesteia, persoana vizată ar trebui informată atunci când datele sunt divulgate pentru prima dată destinatarului, în cazul în care persoana vizată solicită aceste informații. |
Justificare | |
În cazul în care datele sunt divulgate în mod legitim unui alt destinatar, nu ar trebui să fie necesar un proces constant, repetitiv de informare a persoanei vizate. Aceasta poate avea consecințe nedorite, cum ar fi retragerea de către persoana vizată a consimțământului privind prelucrarea legitimă, sau, chiar mai rău, desensibilizarea persoanelor vizate față de informațiile referitoare la statutul datelor lor cu caracter personal. | |
Amendamentul 35 Propunere de regulament Considerentul 51 | |
|
Textul propus de Comisie |
Amendamentul |
|
(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, pentru ce perioadă, identitatea destinatarilor datelor, care este logica de prelucrare a datelor și care ar putea fi, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
(51) Orice persoană ar trebui să aibă dreptul de acces la datele cu caracter personal colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele cu caracter personal, pentru ce perioadă, identitatea destinatarilor datelor cu caracter personal, care este logica de prelucrare a datelor cu caracter personal și care ar putea fi consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale, precum în legătură cu drepturile de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
Amendamentul 36 Propunere de regulament Considerentul 52 | |
|
Textul propus de Comisie |
Amendamentul |
|
(52) Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei persoane vizate care solicită acces la date, în special în contextul serviciilor online și al identificatorilor online. Un operator nu ar trebui să rețină datele cu caracter personal în scopul exclusiv de a fi în măsură să reacționeze la cereri potențiale. |
(52) Operatorul ar trebui să ia toate măsurile rezonabile în contextul produsului sau al serviciului furnizat sau altfel în contextul legăturii dintre operator și persoana vizată și sensibilitatea datelor cu caracter personal, prelucrate pentru a verifica autenticitatea cererii de acces la date a unei persoane, în special în contextul serviciilor online și al identificatorilor online. Un operator nu ar trebui să rețină, nici să fie forțat să colecteze datele cu caracter personal în scopul exclusiv de a fi în măsură să reacționeze la cereri potențiale. |
Amendamentul 37 Propunere de regulament Considerentul 53 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(53a) O persoană vizată ar trebui să dispună întotdeauna de opțiunea de a-și da consimțământul general pentru utilizarea datelor sale în scopuri de cercetare istorică, statistică sau științifică și de a-și retrage consimțământul în orice moment. |
Justificare | |
Broad consent is a necessity for conducting research in fields of medicine that rely on biobanks and tissue banks among other forms. Biobanks are collections of biological samples and data, accumulated over a period of time, used for medical research and diagnostic purposes. These repositories store data from millions of data subjects, which is used by scientists to perform research. The option of broad consent given to a data subject at their first encounter with a doctor allows the researchers to use this data without having to go back to the data subject for every minor research they are conducting and is thus a necessary and practical solution for protecting and fostering public health research. | |
Amendamentul 38 Propunere de regulament Considerentul 58 | |
|
Textul propus de Comisie |
Amendamentul |
|
(58) Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează pe crearea de profiluri prin mijloace de prelucrare automată a datelor. Cu toate acestea, o astfel de măsură ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține intervenție umană, iar o astfel de măsură nu ar trebui să se refere la un minor. |
(58) Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează pe crearea de profiluri prin mijloace de prelucrare automată a datelor și care afectează în mod vizibil sau produce efecte juridice în ceea ce privește persoana fizică respectivă. Efectele reale ar trebui să aibă o intensitate comparabilă cu cea a efectelor juridice pentru a intra în domeniul de aplicare al prezentului regulament. Cele de mai sus nu se aplică măsurilor vizând comunicarea comercială, de exemplu în domeniul gestionării relațiilor cu clienții sau al atragerii de clienți. Cu toate acestea, o măsură bazată pe crearea de profiluri prin prelucrarea automată a datelor și care afectează în mod semnificativ sau produce efecte juridice în ceea ce privește o persoană fizică ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține intervenție umană, iar o astfel de măsură nu ar trebui să se refere la un minor. |
Justificare | |
Amendamentul clarifică faptul că comunicarea comercială, de exemplu în domeniul gestionării relațiilor cu clienții sau al atragerii de clienți, nu afectează în mod semnificativ o persoană fizică în sensul articolului 20 alineatul (1). Efectele reale trebuie să aibă o intensitate comparabilă cu cea a efectelor juridice care intră în domeniul de aplicare al prezentei dispoziții. | |
Amendamentul 39 Propunere de regulament Considerentul 60 | |
|
Textul propus de Comisie |
Amendamentul |
|
(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. |
(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său în vederea asigurării răspunderii. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. Prelucrarea datelor care nu este necesară din alte puncte de vedere nu poate fi justificată pe baza necesității respectării prezentei obligații. |
Amendamentul 40 Propunere de regulament Considerentul 61 | |
|
Textul propus de Comisie |
Amendamentul |
|
(61) Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, atât în momentul conceperii prelucrării, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. În scopul asigurării și al demonstrării conformității cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri corespunzătoare, care să respecte, în special, principiul luării în considerare a protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. |
(61) Pentru a satisface așteptările consumatorilor și ale întreprinderilor în raport cu protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal, ar trebui să se adopte măsuri organizatorice corespunzătoare, atât în momentul conceperii prelucrării și a tehnologiilor aflate la baza sa, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. Măsurile care au ca scop creșterea gradului de informare a consumatorilor și facilitarea alegerii ar trebui să fie încurajate prin cooperare cu industria și prin încurajarea soluțiilor, a produselor și a serviciilor inovatoare. Protecția datelor încă din stadiul de proiectare este procesul prin care protecția datelor și viața privată sunt integrate în dezvoltarea de produse și servicii, atât prin măsuri tehnice, cât și organizatorice. Protecția implicită a datelor înseamnă că produsele și serviciile sunt implicit configurate într-un mod care limitează prelucrarea și, în special, dezvăluirea datelor cu caracter personal. În special, datele cu caracter personal nu ar trebui dezvăluite unui număr limitat de persoane prestabilit. |
Amendamentul 41 Propunere de regulament Considerentul 61 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(61a) Prezentul regulament ar trebui să încurajeze întreprinderile să dezvolte programe interne care vor identifica operațiunile de prelucrare care pot prezenta riscuri specifice la adresa drepturilor și libertăților persoanelor vizate prin natura lor, prin sfera lor de aplicare sau scopurile lor și să aplice garanții adecvate de protecție a datelor și să dezvolte soluții inovatoare de protecție a datelor începând cu momentul conceperii și tehnici de sporire a protecției datelor. Întreprinderile ar demonstra atunci public și proactiv conformitatea lor cu dispozițiile și spiritul prezentului regulament și, astfel, ar spori încrederea cetățenilor europeni. Responsabilitatea întreprinderilor privind protecția datelor cu caracter personal nu poate scuti întreprinderile de orice obligație prevăzută de prezentul regulament. |
Amendamentul 42 Propunere de regulament Considerentul 62 | |
|
Textul propus de Comisie |
Amendamentul |
|
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. |
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. |
Amendamentul 43 Propunere de regulament Considerentul 65 | |
|
Textul propus de Comisie |
Amendamentul |
|
(65) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să documenteze fiecare operațiune de prelucrare. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare respective. |
(65) În vederea demonstrării conformității cu prezentul regulament, operatorul ar trebui să documenteze fiecare operațiune de prelucrare aflată sub răspunderea sa. Fiecare operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare respective. |
Amendamentul 44 Propunere de regulament Considerentul 66 | |
|
Textul propus de Comisie |
Amendamentul |
|
(66) În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, Comisia ar trebui să promoveze neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, cooperarea cu țările terțe. |
(66) În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. În special, operatorul sau persoana împuternicită de operator ar trebui să ia în considerare în mod corespunzător riscurile mai mari survenite în urma prelucrării de date cu caracter personal ale persoanei vizate, ca urmare a caracterului sensibil al datelor. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, ar trebui promovate neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, ar trebui încurajată cooperarea cu țările terțe. |
Amendamentul 45 Propunere de regulament Considerentul 67 | |
|
Textul propus de Comisie |
Amendamentul |
|
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în termen de 24 de ore. În cazul în care termenul de 24 de ore nu este respectat, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată. În cazul în care încălcarea nu este notificată într-un termen rezonabil, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
Amendamentul 46 Propunere de regulament Considerentul 70 | |
|
Textul propus de Comisie |
Amendamentul |
|
(70) Directiva 95/46/CE prevede o obligație generală de a notifica prelucrarea datelor cu caracter personal autorităților de supraveghere. Cu toate că obligația respectivă generează sarcini administrative și financiare, aceasta nu contribuie întotdeauna la îmbunătățirea protecției datelor cu caracter personal. Prin urmare, o astfel de obligație de notificare generală nediferențiată ar trebui să fie abrogată și înlocuită cu proceduri și mecanisme eficace care să pună accentul, în schimb, pe operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura lor, prin domeniul lor de aplicare sau prin scopurile lor. În astfel de cazuri, operatorul sau persoana împuternicită de către operator ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor, care ar trebui să includă, în special, măsurile avute în vedere, garanții și mecanisme pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu prezentul regulament. |
(70) Directiva 95/46/CE prevede o obligație generală de a notifica prelucrarea datelor cu caracter personal autorităților de supraveghere. Cu toate că obligația respectivă generează sarcini administrative și financiare, aceasta nu contribuie întotdeauna la îmbunătățirea protecției datelor cu caracter personal. Prin urmare, o astfel de obligație de notificare generală nediferențiată ar trebui să fie abrogată și înlocuită cu proceduri și mecanisme eficace care să pună accentul, în schimb, pe operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura lor, prin domeniul lor de aplicare sau prin scopurile lor. În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor, care ar trebui să includă, în special, măsurile avute în vedere, garanții și mecanisme pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu prezentul regulament. |
Justificare | |
Ar trebui să fie la latitudinea operatorilor de date evaluarea impactului asupra vieții private, dat fiind faptul că aceștia vor determina scopurile prelucrării. | |
Amendamentul 47 Propunere de regulament Considerentul 70 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(70a) Directiva 2002/58/CE stabilește obligativitatea notificării încălcării securității datelor cu caracter personal în ceea ce privește prelucrarea datelor cu caracter personal în legătură cu furnizarea de servicii de comunicații electronice destinate publicului în rețelele de comunicații publice din Uniune. În cazul în care furnizorii de servicii de comunicații electronice destinate publicului furnizează și alte servicii, aceștia continuă să facă obiectul obligativității notificării încălcării prevăzută în Directiva 2002/58/CE, și nu dispozițiilor prezentului regulament. Astfel de furnizori ar trebui să facă obiectul unui regim unic de notificare a încălcării securității datelor cu caracter personal, atât în ceea ce privește datele cu caracter personal prelucrate în legătură cu furnizarea de servicii de comunicații electronice destinate publicului, cât și orice alte date în privința cărora îndeplinesc funcția de operatori. |
Justificare | |
Furnizorii de servicii de comunicații electronice ar trebui să facă obiectul unui regim unic de notificare a oricăror încălcări legate de datele pe care le prelucrează, și nu unor regimuri multiple care depind de serviciul oferit. Aceasta garantează condiții de concurență echitabile în rândul jucătorilor din sectorul industrial. | |
Amendamentul 48 Propunere de regulament Considerentul 76 | |
|
Textul propus de Comisie |
Amendamentul |
|
(76) Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare. |
(76) Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare. Aceste coduri ar trebui să facă mai facilă conformitatea cu prezentul regulament pentru industrie. |
Justificare | |
Ar trebui să se clarifice faptul că aceste coduri de conduită sunt benefice pentru industrie și nu un gest care trebuie să se bucure de reciprocitate printr-o supraveghere mai diminuată din partea APD. | |
Amendamentul 49 Propunere de regulament Considerentul 77 | |
|
Textul propus de Comisie |
Amendamentul |
|
(77) Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci în materie de protecție a datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor aferent produselor și serviciilor relevante. |
(77) Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci în materie de protecție a datelor, care să permită persoanelor vizate să evalueze rapid, în mod fiabil și verificabil nivelul de protecție a datelor aferent produselor și serviciilor relevante. |
Justificare | |
Astfel de instrumente pot fi testate cu rigurozitate, învățând din succesele și eșecurile experimentate de această abordare. | |
Amendamentul 50 Propunere de regulament Considerentul 80 | |
|
Textul propus de Comisie |
Amendamentul |
|
(80) Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară. |
(80) Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară. Comisia poate să decidă, de asemenea, după trimiterea unei notificări și a unei justificări complete țării terțe, să anuleze o astfel de decizie. |
Justificare | |
Ar fi ilogic să ne imaginăm că situația privind protecția datelor într-o astfel de țară terță ar avea cum să nu se deterioreze ulterior. | |
Amendamentul 51 Propunere de regulament Considerentul 84 | |
|
Textul propus de Comisie |
Amendamentul |
|
(84) Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze, atât timp acestea cât nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către Comisie sau de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. |
(84) Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze, atât timp acestea cât nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către Comisie sau de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. În unele situații, poate fi adecvată încurajarea operatorilor și a persoanelor împuternicite de operatori să furnizeze garanții chiar mai solide prin angajamente contractuale suplimentare care să suplimenteze clauzele standard privind protecția datelor. |
Justificare | |
Acest amendament ar încuraja organizațiile să depășească cerințele de reglementare de bază în sensul respectării unor regimuri precum „data seal” (sigiliul datelor) sau „trust mark” (marcă de încredere). | |
Amendamentul 52 Propunere de regulament Considerentul 85 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(85a) Un grup de întreprinderi care intenționează să prezinte spre aprobare reguli corporatiste obligatorii poate propune o autoritate de supraveghere în calitate de autoritate principală. Autoritatea principală ar trebui să fie autoritatea de supraveghere din statul membru în care se află sediul principal al operatorului sau al persoanei împuternicite de operator. |
Justificare | |
Grupul de lucru înființat în temeiul articolului 29 a introdus un sistem de recunoaștere reciprocă a regulilor corporatiste obligatorii (GL 107 din 14 aprilie 2005). Prezentul regulament ar trebui să includă sistemul de recunoaștere reciprocă respectiv. Criteriul de desemnare a autorității competente ar trebui să fie sediul unității principale, care este cel enunțat la articolul 51 alineatul (2) din regulament. | |
Amendamentul 53 Propunere de regulament Considerentul 87 | |
|
Textul propus de Comisie |
Amendamentul |
|
(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor. |
(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială, între organismele responsabile cu combaterea fraudei în sport sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor. Transferul de date personale pentru astfel de motive importante de interes public ar trebui utilizat doar pentru transferuri ocazionale. În toate situațiile, este necesară realizarea unei evaluări atente a tuturor circumstanțelor transferului. |
Amendamentul 54 Propunere de regulament Considerentul 94 | |
|
Textul propus de Comisie |
Amendamentul |
|
(94) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, de localuri și de infrastructura necesară pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. |
(94) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, acordând atenție specială asigurării unor abilități tehnice adecvate ale personalului, de localuri și de infrastructură, necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. |
Justificare | |
Strong, independent supervisory authorities are one of the necessary conditions for effective data protection. They should be free from external influence, as confirmed by the ECJ (C-518/07 and C-614/10), and should have the necessary resources – financial and human – to ensure enforcement of data protection legislation. These changes aim to provide supervisory authorities with the independence and resources they need to effectively protect the fundamental right to data protection. Supervisory authorities are needed to ensure enforcement of data protection legislation. As Article 16(2) TFEU states, they shall be independent in the exercise of their duties. Experience with the current framework has shown that this level of independence is not always provided in practice. It should be noted that this should not only be seen as referring to interference by Member States, but also by the Commission. Independence on paper alone is not enough, supervisory authorities also need the means to put their powers into action. This implies a need for appropriate resources and skilled staff, including staff with technical expertise. The increasing technical challenges facing supervisory authority staff must be recognised and addressed. | |
Amendamentul 55 Propunere de regulament Considerentul 95 | |
|
Textul propus de Comisie |
Amendamentul |
|
(95) Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru și să includă dispoziții privind calificarea personală și funcția membrilor respectivi. |
(95) Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru, având în vedere minimizarea posibilității de interferență politică, și să includă dispoziții privind calificarea personală, evitarea conflictelor de interes și funcția membrilor respectivi. |
Justificare | |
Strong, independent supervisory authorities are one of the necessary conditions for effective data protection. They should be free from external influence, as confirmed by the ECJ (C-518/07 and C-614/10), and should have the necessary resources – financial and human – to ensure enforcement of data protection legislation. These changes aim to provide supervisory authorities with the independence and resources they need to effectively protect the fundamental right to data protection. Supervisory authorities are needed to ensure enforcement of data protection legislation. As Article 16(2) TFEU states, they shall be independent in the exercise of their duties. Experience with the current framework has shown that this level of independence is not always provided in practice. It should be noted that this should not only be seen as referring to interference by Member States, but also by the Commission. Independence on paper alone is not enough, supervisory authorities also need the means to put their powers into action. This implies a need for appropriate resources and skilled staff, including staff with technical expertise. | |
Amendamentul 56 Propunere de regulament Considerentul 97 | |
|
Textul propus de Comisie |
Amendamentul |
|
(97) În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile operatorului sau ale persoanei împuternicite de către operator în întreaga Uniune și de a adopta deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de către operatori. |
(97) În cazul în care prelucrarea datelor cu caracter personal se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile operatorului sau ale persoanei împuternicite de către operator în întreaga Uniune și de a adopta deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de către operatori. |
Justificare | |
Principiul ghișeului unic ar trebui să se aplice în mod consecvent, atât operatorilor stabiliți în UE, cât și celor care nu sunt stabiliți în UE supuși legii. | |
Amendamentul 57 Propunere de regulament Considerentul 98 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(98a) Atunci când prelucrarea datelor cu caracter personal este supusă unei plângeri înaintate de o persoană vizată, autoritatea competentă, care furnizează ghișeul unic, ar trebui să fie autoritatea de supraveghere a statului membru în care persoana vizată își are reședința principală. Atunci când persoanele vizate înaintează plângeri similare împotriva unei astfel de prelucrări la autoritățile de supraveghere din diverse state membre, autoritatea competentă ar trebui să fie prima confiscată. |
Justificare | |
Este oportun să se permită persoanei vizate să își exercite măsura administrativă față de autoritatea de supraveghere cea mai apropiată de reședința sa principală și din același stat membru în care acesta/aceasta poate lua măsuri juridice dacă este necesar, în vederea consolidării accesibilității și coerenței recursului persoanei vizate și, de asemenea, în vederea evitării sarcinii administrative. | |
Amendamentul 58 Propunere de regulament Considerentul 105 | |
|
Textul propus de Comisie |
Amendamentul |
|
(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. |
(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care autoritatea de supraveghere competentă intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. |
Amendamentul 59 Propunere de regulament Considerentul 121 | |
|
Textul propus de Comisie |
Amendamentul |
|
(121) Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice, artistice sau literare ar trebui să îndeplinească criteriile pentru aplicarea unor derogări de la cerințele anumitor dispoziții din prezentul regulament, în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta drepturilor fundamentale a Uniunii Europene. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal din domeniul audiovizualului, precum și din arhivele de știri și din bibliotecile de ziare. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Astfel de excepții și derogări ar trebui să fie adoptate de statele membre în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, precum și cooperarea și coerența. Acest lucru nu trebuie totuși să determine statele membre să stabilească derogări de la celelalte dispoziții ale prezentului regulament. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg. Prin urmare, în scopul excepțiilor și derogărilor care urmează să fie stabilite în prezentul regulament, statele membre ar trebui să clasifice drept „jurnalistice” activitățile al căror scop este de a comunica publicului informații, opinii și idei, indiferent de suportul utilizat pentru transmiterea acestora. Aceste activități nu ar trebui să se limiteze la cele desfășurate de societăți de media și pot include activități cu sau fără scop lucrativ. |
(121) Prelucrarea datelor cu caracter personal în scopuri jurnalistice, artistice sau literare ar trebui să îndeplinească criteriile pentru aplicarea unor derogări de la cerințele anumitor dispoziții din prezentul regulament, în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta drepturilor fundamentale a Uniunii Europene. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal din domeniul audiovizualului, precum și din arhivele de știri și din bibliotecile de ziare. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg și indiferent de suportul utilizat pentru transmiterea acestora. |
Amendamentul 60 Propunere de regulament Considerentul 121 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(121a) Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale în aplicarea dispozițiilor prevăzute de acesta. Datele cu caracter personal din documentele deținute de o autoritate publică sau un organism public pot fi dezvăluite de această autoritate sau organism în conformitate cu legislația statului membru căreia i se supune autoritatea publică sau organismul public. O astfel de legislație ar trebui să coreleze dreptul la protecția datelor cu caracter personal cu principiul accesului public la documente oficiale. |
Justificare | |
Este esențial să se asigure că vizibilitatea publică a afacerilor publice nu este afectată în mod nejustificat de normele privind protecția datelor. Astfel cum se arată în avizele AEPD, ale Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și ale FRA, ar trebui să fie garantat principiul accesului public la documente oficiale. | |
Amendamentul 61 Propunere de regulament Considerentul 123 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(123a) Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date, poate fi necesară în scopuri de cercetare istorică, statistică sau științifică. Prin urmare, prezentul regulament ar trebui să garanteze că armonizarea condițiilor prevăzute pentru prelucrarea datelor cu caracter personal privind sănătatea, sub rezerva unor garanții specifice și corespunzătoare menite să protejeze drepturile fundamentale și datele cu caracter personal ale persoanelor, nu acționează ca o barieră în calea cercetării translaționale, clinice și din domeniul sănătății publice. |
Justificare | |
Ensuring seamless access to medical data is crucial for public health research. This Regulation makes it essential to find a balance between protecting individual data and respecting public health researchers enough to provide them with the means to conduct medical research. One of the aims of this Regulation is to harmonize data protection across different sectors. It is thus important to note that any harmonization of data protection across countries or sectors must protect public health research sector and not constitute a barrier to crucial research addressing the great societal challenges. | |
Amendamentul 62 Propunere de regulament Considerentul 129 | |
|
Textul propus de Comisie |
Amendamentul |
|
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; specificarea criteriilor și a condițiilor aplicabile cererilor în mod vădit excesive și taxelor pentru exercitarea drepturilor persoanelor vizate; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului și protecția datelor începând cu momentul conceperii și protecția implicită a datelor; persoana împuternicită de operator; criteriile și cerințele privind documentația și securitatea prelucrării; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; codurile de conduită; criteriile și cerințele privind mecanismele de certificare; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; sancțiunile administrative; prelucrarea în scopuri medicale; prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu. |
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei, în anumite circumstanțe limitate. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu. |
Amendamentul 63 Propunere de regulament Considerentul 130 | |
|
Textul propus de Comisie |
Amendamentul |
|
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisiei ar trebui să i se acorde competențe de executare. La punerea în aplicare a dispozițiilor prezentului regulament ar trebui să se asigure faptul că produselor și serviciilor, inclusiv echipamentelor de comunicații electronice terminale și de alt tip, nu li se aplică nicio cerință obligatorie cu privire la caracteristicile tehnice specifice, care ar putea împiedica introducerea pe piață și libera circulație a acestor echipamente în statele membre și între acestea. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii în urma unor consultări cu părțile implicate, dat fiind faptul că aceste măsuri nu ar trebui să supună unor sarcini excesive aceste întreprinderi. |
Amendamentul 64 Propunere de regulament Considerentul 139 | |
|
Textul propus de Comisie |
Amendamentul |
|
(139) Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta drepturilor fundamentale a Uniunii Europene consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică. |
(139) Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și cu progresele reale și potențiale ale științei, sănătății și tehnologiei, dar și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta drepturilor fundamentale a Uniunii Europene consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la proprietate și în special protecția proprietății intelectuale, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică. |
Justificare | |
Prelucrarea adreselor IP este adesea un element constitutiv esențial al investigațiilor în domeniul abuzurilor IPR în temeiul Directivei 2004/48/CE și nu ar trebui să fie împiedicate de regulament. | |
Amendamentul 65 Propunere de regulament Articolul 1 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal. |
(1). Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice și juridice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal. |
Amendamentul 66 Propunere de regulament Articolul 1 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Prezentul regulament asigură protecția drepturilor și a libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal. |
(2) Prezentul regulament asigură protecția drepturilor și a libertăților fundamentale ale persoanelor fizice și juridice, în special dreptul acestora la protecția datelor cu caracter personal. |
Amendamentul 67 Propunere de regulament Articolul 1 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Libera circulație a datelor cu caracter personal în cadrul Uniunii nu poate fi limitată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. |
(3) Libera circulație a datelor cu caracter personal în cadrul Uniunii nu poate fi limitată sau interzisă din motive legate de protecția persoanelor fizice și juridice în ceea ce privește prelucrarea datelor cu caracter personal. |
Amendamentul 68 Propunere de regulament Articolul 1 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Prezentul regulament nu influențează sau restricționează libertatea presei și libertatea de exprimare care sunt consacrate în constituțiile statelor membre și derivă din tradiția libertății de exprimare și libertatea presei care caracterizează societățile libere și deschise. Nici drepturile cetățenilor și accesul la informații oferite de autoritățile publice nu sunt afectate sau deteriorate. Dreptul statelor membre și responsabilitatea de a proteja viața privată a persoanelor în ceea ce privește tratarea registrelor publice printr-o legislație specială, de asemenea, nu sunt afectate de prezentul regulament. |
Amendamentul 69 Propunere de regulament Articolul 2 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor. |
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, fără o discriminare între astfel de mijloace de prelucrare și tehnologia utilizată, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor. |
Amendamentul 70 Propunere de regulament Articolul 2 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) de către instituțiile, organele, oficiile și agențiile Uniunii; |
eliminat |
Amendamentul 71 Propunere de regulament Articolul 2 – alineatul 2 – litera e a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ea) în scopuri de cercetare istorică, statistică și științifică |
Amendamentul 72 Propunere de regulament Articolul 2 – alineatul 2 – litera eb (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(eb) în cadrul unei activități care poate fi atribuită activității profesionale sau comerciale a unei persoane vizate |
Amendamentul 73 Propunere de regulament Articolul 2 – alineatul 2 – litera ec (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ec) realizate de angajator ca parte a tratamentului datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă |
Justificare | |
În general, este important ca un angajator să poată continua să prelucreze datele referitoare la angajați, de exemplu, în legătură cu salariul, concediul, avantajele, ziua de naștere, educația, starea de sănătate, condamnările penale etc. În prezent, angajatul poate consimți faptul că angajatorul prelucrează aceste date. Cu toate acestea, formularea regulamentului ar putea fi interpretată ca și când, în viitor, ar urma să se stabilească un dezechilibru între angajator și angajat. | |
Amendamentul 74 Propunere de regulament Articolul 2 – alineatul 2 – litera ed (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ed) date anonime în sensul articolului 4 alineatul (2b) |
Amendamentul 75 Propunere de regulament Articolul 3 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care își au reședința în Uniune de către un operator care nu este stabilit în Uniune, atunci când activitățile de prelucrare sunt legate de: |
(2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care își au domiciliul în Uniune de către un operator care nu este stabilit în Uniune, atunci când activitățile de prelucrare sunt legate de: |
Justificare | |
Clarificarea termenului „rezident”. | |
Amendamentul 76 Propunere de regulament Articolul 4 – punctul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
1. „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective; |
1. „persoană vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, care lucrează împreună cu operatorul, în special prin referire la un număr de identificare sau la un alt identificator unic, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității de gen, fizice, fiziologice, genetice, psihice, economice, culturale sau sociale sau orientării sexuale a persoanei respective și care nu acționează în capacitatea sa profesională; |
Amendamentul 77 Propunere de regulament Articolul 4 – punctul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
2a. „date pseudonime” înseamnă orice date cu caracter personal care au fost colectate, modificate sau prelucrate în alt mod, astfel încât, în sine, să nu poată fi atribuite unei persoane vizate fără a se utiliza date suplimentare care fac obiectul unor controale separate și distincte de natură tehnică și organizațională pentru a garanta că această atribuire nu are loc; |
Amendamentul 78 Propunere de regulament Articolul 4 – punctul 2 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
2b. „număr de identificare” înseamnă orice cod numeric, alfanumeric sau similar utilizat de obicei într-un spațiu online, excluzând codurile atribuite de o autoritate publică sau controlată de stat pentru a identifica o persoană fizică sau un individ; |
Amendamentul 79 Propunere de regulament Articolul 4 – punctul 2 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
2c. „date anonime” înseamnă orice date cu caracter personal care au fost colectate, modificate sau prelucrate sub o altă formă, astfel încât nu mai pot fi atribuite unei persoane vizate; datele anonime nu se consideră drept date cu caracter personal; |
Amendamentul 80 Propunere de regulament Articolul 4 – punctul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
5. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
5. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile prelucrării datelor cu caracter personal; atunci când scopurile prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
Amendamentul 81 Propunere de regulament Articolul 4 – punctul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
6. „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului; |
6. „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului; poate accesa date cu caracter personal într-un mod fezabil din punct de vedere tehnic, fără un efect disproporționat și este posibil în mod rezonabil să obțină informații cu privire la conținutul acestora; |
Justificare | |
Această modificare este în conformitate cu modificarea la considerentul 24a (nou). | |
Amendamentul 82 Propunere de regulament Articolul 4 – punctul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
8. „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate; |
8. „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, exprimată în cunoștință de cauză și clară, prin care persoana vizată acceptă ca datele sale cu caracter personal să fie prelucrate. Tăcerea sau lipsa de acțiune nu exprimă, ca atare, consimțământul; |
Amendamentul 83 Propunere de regulament Articolul 4 – punctul 9 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
9a. „categorii speciale de date cu caracter personal” înseamnă informații care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și datele genetice, datele privind sănătatea sau viața sexuală și datele privind condamnările penale sau măsurile de securitate conexe; |
Justificare | |
Prelucrarea „categoriilor speciale de date cu caracter personal” face deja obiectul unor cerințe specifice (a se vedea articolul 9). Acest grup de date sensibile ar trebui, din motive legate de proporționalitate, să fie, de asemenea, luat în considerare atunci când sunt determinate alte obligații ale operatorului (a se vedea amendamentul la articolul 31). Adăugarea acestei definiții creează mai multă securitate juridică. | |
Amendamentul 84 Propunere de regulament Articolul 4 – punctul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
10. „date genetice” înseamnă toate datele, indiferent de tipul acestora, referitoare la caracteristicile unei persoane, care sunt moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală; |
10. „date genetice” înseamnă informații privind caracteristicile ereditare sau modificarea acestora, a unei persoane identificate sau identificabile, obținute printr-o analiză privind acidul nucleic; |
Justificare | |
Definiția propusă ar trebui să fie în conformitate cu definițiile utilizate în alte documente, precum definiția „datelor genetice ale omului” utilizată în Declarația Internațională a Națiunilor Unite privind datele genetice ale omului. | |
Amendamentul 85 Propunere de regulament Articolul 4 – punctul 12 | |
|
Textul propus de Comisie |
Amendamentul |
|
12. „date privind sănătatea” înseamnă orice informații legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective; |
12. „date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective; |
Amendamentul 86 Propunere de regulament Articolul 4 – punctul 13 | |
|
Textul propus de Comisie |
Amendamentul |
|
13. „sediu principal” înseamnă, în ceea ce privește operatorul, locul de stabilire al acestuia pe teritoriul Uniunii, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul în care se desfășoară principalele activități de prelucrare în cadrul activităților unui sediu al unui operator din Uniune. În ceea ce privește persoana împuternicită de operator, „sediu principal” înseamnă locul administrației sale centrale din Uniune; |
13. „sediu principal” înseamnă locul, așa cum este determinat de către operatorul de date sau de către persoana împuternicită de operator, pe baza următoarelor criterii transparente și obiective: locul sediului central european al grupului, sau locul întreprinderii din cadrul grupului care are responsabilități delegate în domeniul protecției datelor, sau locul întreprinderii care se află în poziția cea mai bună (în ceea ce privește funcția managerială, capacitatea administrativă etc.) pentru a aborda și aplica normele prevăzute în prezentul regulament, sau locul unde sunt luate principalele decizii pentru grupul regional în ceea ce privește scopurile prelucrării; |
Justificare | |
Amendamentul încearcă să asigure claritate, reflectând situația reală a întreprinderilor care își desfășoară activitatea în mai multe jurisdicții. Aceasta nu ar trebui interpretată drept o cartă pentru „forum shopping” (căutarea instanței celei mai favorabile), deoarece întreprinderea trebuie să prezinte criterii transparente și obiective pentru a justifica locul sediului principal în sensul prezentului regulament. | |
Amendamentul 87 Propunere de regulament Articolul 4 – punctul 13 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
13a. „autoritate de supraveghere competentă” înseamnă autoritatea de supraveghere care este singura competentă să supravegheze operatorul în conformitate cu articolul 51 alineatele (2), (3) și (4); |
Amendamentul 88 Propunere de regulament Articolul 4 – punctul 14 | |
|
Textul propus de Comisie |
Amendamentul |
|
14. „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care acționează și poate fi contactată în locul operatorului de către orice autoritate de supraveghere și alte organisme din Uniune, în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament; |
14. „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care acționează și este contactată de către orice autoritate de supraveghere competentă în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament; |
Amendamentul 89 Propunere de regulament Articolul 4 – punctul 19 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
19a. „criminalitate financiară” înseamnă infracțiuni legate de criminalitatea organizată, racket, terorism, finanțări teroriste, trafic de ființe umane, trafic ilegal de migranți, exploatare sexuală, trafic de stupefiante și substanțe psihotrope, trafic ilicit de arme, trafic cu bunuri furate, corupție, mită, fraudă, falsificarea de monedă, contrafacerea și pirateria produselor, infracțiuni împotriva mediului, răpirea, lipsirea de libertate în mod ilegal și luarea de ostateci, furturile calificate, furturile mărunte, contrabandă, infracțiuni legate de sistemul de fiscalitate, extorcare, falsificare, piraterie, tranzacții bazate pe informații privilegiate și manipularea pieței. |
Justificare | |
Este necesară adăugarea unei definiții a „criminalității financiare”, ce are la bază recomandările Grupului de acțiune financiară, întrucât prelucrarea datelor cu caracter personal va fi permisă pentru a preveni, investiga sau detecta criminalitatea financiară. | |
Amendamentul 90 Propunere de regulament Articolul 5 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri; |
(b) să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod ireconciliabil cu aceste scopuri; |
Amendamentul 91 Propunere de regulament Articolul 5 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal; |
(c) să fie adecvate, pertinente, proporționale și neexcesive în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal; |
Amendamentul 92 Propunere de regulament Articolul 5 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) să fie exacte și actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere; |
(d) să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârzieri nejustificate; |
Amendamentul 93 Propunere de regulament Articolul 5 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică, în conformitate cu normele și condițiile prevăzute la articolul 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea; |
(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri istorice, statistice sau științifice, în conformitate cu normele și condițiile prevăzute la articolul 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea; |
Amendamentul 94 Propunere de regulament Articolul 5 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) să fie prelucrate sub răspunderea operatorului, care asigură și demonstrează conformitatea fiecărei operațiuni de prelucrare cu dispozițiile prezentului regulament. |
(f) să fie prelucrate sub răspunderea operatorului, care asigură și, dacă i se solicită acest lucru, demonstrează autorității de supraveghere competente în temeiul articolului 51 alineatul (2) conformitatea prelucrării de către operator cu dispozițiile prezentului regulament. |
Amendamentul 95 Propunere de regulament Articolul 6 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice; |
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal; |
Amendamentul 96 Propunere de regulament Articolul 6 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate; |
(b) prelucrarea este necesară pentru executarea unui contract sau a unor acorduri colective și la nivel de întreprindere la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate; |
Justificare | |
În Germania, acordurile colective sunt echivalente cu contractele reglementate de legislația națională și, prin urmare, pot reprezenta și fundamentul unei prelucrări legitime a datelor. | |
Amendamentul 97 Propunere de regulament Articolul 6 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; |
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale, norme de reglementare, orientări, cod de bune practici industriale, atât pe plan intern, cât și pe plan internațional, care îi revine operatorului, inclusiv cerințele autorităților de supraveghere; |
Justificare | |
Prezenta dispoziție ar trebui să asigure includerea reglementării financiare interne sau a codurilor de conduită. | |
Amendamentul 98 Propunere de regulament Articolul 6 – alineatul 1 – litera da (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(da) prelucrarea este necesară pentru a asigura securitatea rețelelor și a informațiilor; |
Justificare | |
Prezentul amendament încorporează în text garanțiile stabilite la considerentul 39 prin clarificarea într-un articol obligatoriu din punct de vedere juridic a faptului că prelucrarea datelor în scopul securității rețelelor și a informațiilor este considerată prelucrare legală. | |
Amendamentul 99 Propunere de regulament Articolul 6 – alineatul 1 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; |
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care rezultă din exercitarea autorității publice cu care este învestit operatorul, sau în interes public; |
Amendamentul 100 Propunere de regulament Articolul 6 – alineatul 1 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de sau în numele unui operator ori al unei persoane împuternicite de operator sau de terțul ori terții în interesul cărora se prelucrează datele, inclusiv pentru securitatea prelucrării, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Interesele sau drepturile și libertățile fundamentale ale persoanei vizate nu primează asupra prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor sau de către întreprinderi în exercitarea obligațiilor lor legale, sau pentru a proteja împotriva comportamentului fraudulos. |
Amendamentul 101 Propunere de regulament Articolul 6 – alineatul 1 – litera fa (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fa) prelucrarea este limitată la date pseudonimizate, în cazul cărora persoana vizată beneficiază de o protecție adecvată și destinatarul serviciului beneficiază de dreptul de opoziție în temeiul articolului 19 alineatul (3a). |
Amendamentul 102 Propunere de regulament Articolul 6 – alineatul 1 – litera fb (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fb) datele sunt colectate din registre, liste sau documente publice; |
Amendamentul 103 Propunere de regulament Articolul 6 – alineatul 1 – litera fc (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fc) în cazul în care operatorul a încredințat date cu caracter personal unui terț, acesta este responsabil împreună cu operatorul de respectarea prezentului regulament; |
Amendamentul 104 Propunere de regulament Articolul 6 – alineatul 1 – litera fd (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fd) prelucrarea este strict necesară pentru reacția adecvată la incidentele detectate cu privire la securitatea rețelei și/sau a informațiilor, încălcări sau atacuri; |
Amendamentul 105 Propunere de regulament Articolul 6 – alineatul 1 – litera fe (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fe) prelucrarea este necesară în scopul anonimizării sau pseudonimizării datelor cu caracter personal; |
Amendamentul 106 Propunere de regulament Articolul 6 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Prelucrarea datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83. |
(2) Prelucrarea ulterioară a datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83. |
Justificare | |
Este important să se specifice și să se permită prelucrarea ulterioară (de exemplu, corelarea, corectarea și adăugarea de date referitoare la o persoană vizată), întrucât cercetarea modernă și inovatoare în domeniul sănătății publice se va baza pe seturi multiple de date și serii istorice. | |
Amendamentul 107 Propunere de regulament Articolul 6 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Prelucrarea datelor pseudonimizate pentru protejarea intereselor legitime urmărite de operatorul de date este legală, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
Justificare | |
Regulamentul nu recunoaște încă existența unor categorii distincte de date și tratamentul diferit al acestora. | |
Amendamentul 108 Propunere de regulament Articolul 6 – alineatul 3 – paragraful 1 – litera ba (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ba) convențiile internaționale la care Uniunea sau un stat membru este parte. |
Justificare | |
Un interes public poate fi, de asemenea, exprimat în cadrul convențiilor internaționale, chiar în absența unei legislații specifice naționale sau a UE. Astfel de convenții ar trebui în continuare să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit. În plus, orice prelucrare pe această bază a datelor cu caracter personal ar trebui, în mod evident, să respecte, de asemenea, toate celelalte aspecte ale regulamentului. | |
Amendamentul 109 Propunere de regulament Articolul 6 – alineatul 3 – paragraful 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit. |
Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți. De asemenea, legislația statului membru trebuie să respecte substanța dreptului de protecție a datelor cu caracter personal din prezentul regulament și tratatele internaționale la care respectivul stat membru este parte. În ultimul rând, statul membru evaluează și decide dacă legislația națională este proporțională cu obiectivul legitim urmărit sau dacă un obiectiv legitim poate fi realizat apelându-se la soluții care invadează într-o mai mică măsura sfera vieții private. |
Justificare | |
Article 6, paragraph 1, indent e states that processing is lawful if the following applies: “processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller”. Seen in connection with the above mentioned paragraph 3 this leaves Member States a very wide room for eroding citizens’ protection of data mentioned in this regulation using national legislation. The harmonisation among Member States will come under pressure because national interests will result in many different examples of legislation. Citizens’ data will be processed differently in the different countries. This is not satisfying. Similar arguments can be found in relation to article 21. | |
Amendamentul 110 Propunere de regulament Articolul 6 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (e). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract. |
(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (f). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract. |
Justificare | |
Este importantă includerea, de asemenea, a intereselor legitime, cum ar fi exemplul specific sectorului de realizare a unui lanț de aprovizionare cu energie mai eficient prin intermediul rețelelor inteligente. În vreme ce consumul energetic al unei persoane vizate poate să nu fi fost în mod explicit colectat în scopul furnizării unei aprovizionări generale mai eficiente, dacă utilizarea acestei informații în vederea îndeplinirii acestui obiectiv este în interesul legitim al furnizorului de servicii, ar trebui să existe flexibilitate pentru a garanta că acest lucru este posibil. | |
Amendamentul 111 Propunere de regulament Articolul 6 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor. |
eliminat |
Amendamentul 112 Propunere de regulament Articolul 7 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate. |
eliminat |
Justificare | |
Superfluu, întrucât sarcina probei se aplică în prezent în conformitate cu dreptul procedural normal. | |
Amendamentul 113 Propunere de regulament Articolul 7 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Forma de consimțământ dobândită în scopul prelucrării datelor cu caracter personal ale unei persoane vizate este proporțională în raport cu tipul de date prelucrate și cu scopul prelucrării, astfel cum sunt determinate printr-o evaluare a impactului asupra protecției datelor desfășurată în mod adecvat, așa cum este descrisă la articolul 33. |
Justificare | |
Amendamentul stabilește legătura dintre identificarea consimțământului proporțional și rezultatele evaluărilor de impact, fapt ce va încuraja utilizarea acestora. În cazul în care nu a fost realizată nicio evaluare a impactului asupra protecției datelor, se va aplica în continuare în mod automat o cerință privind consimțământul explicit. | |
Amendamentul 114 Propunere de regulament Articolul 7 – alineatul 1 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1b) Cu excepția cazului în care o altă formă de consimțământ este determinată ca fiind proporțională de către o astfel de evaluare de impact, consimțământul este dobândit printr-o declarație specifică, informată și explicită sau printr-o altă acțiune afirmativă clară. |
Justificare | |
Amendamentul stabilește legătura dintre identificarea consimțământului proporțional și rezultatele evaluărilor de impact, fapt ce va încuraja utilizarea acestora. În cazul în care nu a fost realizată nicio evaluare a impactului asupra protecției datelor, se va aplica în continuare în mod automat o cerință privind consimțământul explicit. | |
Amendamentul 115 Propunere de regulament Articolul 7 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază de celălalt aspect. |
(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o evidențiază de celălalt aspect. |
Justificare | |
Persoanelor vizate ar trebui să li se ofere condiții clare și lipsite de ambiguitate pentru acordarea consimțământului. Dacă se intenționează garantarea faptului că limba aferentă consimțământului nu se pierde în mijlocul jargonului tehnic, poate că nu ar trebui utilizat termenul „diferențiază”, ci, în locul acestuia, termenul „evidențiază”. Ar trebui evidențiat, nu diferențiat. | |
Amendamentul 116 Propunere de regulament Articolul 7 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. |
(3) Persoana vizată are dreptul să își retragă în orice moment consimțământul. În cazul în care consimțământul face parte dintr-o relație contractuală sau statutară, retragerea depinde de condițiile contractuale sau juridice. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. |
Amendamentul 117 Propunere de regulament Articolul 7 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Consimțământul nu reprezintă un temei juridic pentru prelucrare atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului. |
(4) Consimțământul unui angajat nu reprezintă un temei juridic pentru prelucrarea datelor de către angajator atunci când consimțământul nu a fost acordat în mod liber. Legalitatea prelucrării este evaluată în conformitate cu articolul 6 alineatul (1) literele (a)-(f) și articolul 6 alineatele (2)-(5). În temeiul articolului 6 alineatul (1) litera (a), consimțământul individual poate fi înlocuit de acorduri colective ca temei juridic, îndeosebi prin contractele colective de muncă sau acordurile între angajator și personal. |
Amendamentul 118 Propunere de regulament Articolul 8 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) În cazul în care un serviciu al societății informaționale pune la dispoziția copiilor facilități de socializare online, acesta ia măsuri explicite pentru protejarea bunăstării lor, inclusiv prin asigurarea faptului că, în măsura în care este posibil, aceștia cunosc identitatea persoanelor cu care comunică. |
Amendamentul 119 Propunere de regulament Articolul 8 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor referitoare la metodele de a obține consimțământul verificabil menționate la alineatul (1). În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
eliminat |
Amendamentul 120 Propunere de regulament Articolul 9 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. |
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale, infracțiunile penale, inclusiv infracțiunile și chestiunile care nu au condus la o condamnare, problemele sociale semnificative sau măsurile de securitate conexe. |
Amendamentul 121 Propunere de regulament Articolul 9 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate sau |
(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii sau al unor acorduri colective de pe piața muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate legate de drepturile fundamentale și interesele persoanei vizate sau or |
Amendamentul 122 Propunere de regulament Articolul 9 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate sau |
(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație, organizații de pe piața forței de muncă sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate; or |
Justificare | |
Este important ca organizațiile de pe piața forței de muncă să poată continua să prelucreze și să schimbe informații cu caracter personal despre membrii lor. | |
Amendamentul 123 Propunere de regulament Articolul 9 – alineatul 2 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
(g) prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public, executate în baza dreptului Uniunii sau a legislației unui stat membru, care prevede măsurile corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate sau |
(g) prelucrarea și schimbul sunt necesare pentru îndeplinirea unei sarcini de interes public, executate în baza dreptului Uniunii, a legislației unui stat membru, a convențiilor internaționale la care Uniunea sau un stat membru este parte, care prevede măsurile corespunzătoare pentru protejarea drepturilor fundamentale și a intereselor legitime ale persoanei vizate sau |
Amendamentul 124 Propunere de regulament Articolul 9 – alineatul 2 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) prelucrarea datelor privind sănătatea este necesară în scopuri legate de sănătate și sub rezerva condițiilor și a garanțiilor prevăzute la articolul 81 sau |
(h) prelucrarea și schimbul datelor privind sănătatea este necesară în scopuri legate de sănătate, inclusiv de cercetare istorică, statistică sau științifică și sub rezerva condițiilor și a garanțiilor prevăzute la articolul 81 sau |
Justificare | |
Clarificarea este necesară pentru a salvgarda prelucrarea datelor medicale utilizate în scopuri legate de cercetarea istorică, statistică sau științifică. Oamenii de știință se bazează în mare măsură pe registrele pacienților și pe băncile biologice pentru a desfășura cercetarea epidemiologică, clinică și translațională, făcând, astfel, necesară asigurarea prelucrării datelor cu caracter personal în scopuri legate de sănătate. | |
Amendamentul 125 Propunere de regulament Articolul 9 – alineatul 2 – litera i | |
|
Textul propus de Comisie |
Amendamentul |
|
(i) prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83 sau |
(i) prelucrarea și schimbul sunt necesare în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83; sau |
Amendamentul 126 Propunere de regulament Articolul 9 – alineatul 2 – litera j | |
|
Textul propus de Comisie |
Amendamentul |
|
(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate. Un registru complet al condamnărilor penale este ținut numai sub controlul autorității publice. |
(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub rezerva condițiilor și garanțiilor menționate la articolul 83a, fie sub supravegherea unei autorități de supraveghere, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală, de reglementare sau cu acordurile colective de pe piața muncii care îi revin operatorului, sau pentru a evita încălcarea acestora, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate legate de drepturile fundamentale ale persoanei vizate. Un registru complet al condamnărilor penale este ținut numai sub controlul autorității publice. |
Amendamentul 127 Propunere de regulament Articolul 9 – alineatul 2 – litera ja (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ja) prelucrarea datelor privind sănătatea este necesară pentru protecția socială privată, în special prin asigurarea securității veniturilor sau a instrumentelor pentru a gestiona riscurile care sunt în interesul persoanei vizate sau al persoanelor dependente și a activelor acesteia, sau prin consolidarea echității între generații prin intermediul distribuției. |
Amendamentul 128 Propunere de regulament Articolul 9 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor, condițiilor și garanțiilor corespunzătoare pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2). |
(3) Comitetului european pentru protecția datelor i se acordă sarcina de a formula recomandări cu privire la criteriile, condițiile și garanțiile corespunzătoare pentru protecția categoriilor speciale de date cu caracter personal în temeiul alineatului (2). |
Amendamentul 129 Propunere de regulament Articolul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
În cazul în care datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul nu are obligația de a obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții ale prezentului regulament. |
În cazul în care datele prelucrate de către un operator nu îi permit acestuia să identifice, prin mijloacele utilizate de operator, o persoană vizată, îndeosebi atunci când sunt anonime sau pseudonime, operatorul de date nu obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții ale prezentului regulament. |
|
|
Operatorul bazelor de date pentru cercetare furnizează informații generale cu privire la sursele de date originale ale bazei de date pentru cercetare. |
Amendamentul 130 Propunere de regulament Articolul 11 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul aplică politici transparente și ușor de accesat în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate. |
(1) Operatorul aplică politici transparente în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate și, la cerere, în acest scop, furnizează tuturor informațiile prevăzute la articolul 28 alineatul (2) literele (a)-(g), în mod corespunzător. |
Amendamentul 131 Propunere de regulament Articolul 11 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 11a |
|
|
Articolul 12 din Directiva 2002/58/CE și articolul 20 și articolul 21 alineatul (3) litera (e) din Directiva 2002/22/CE reprezintă o aplicare a dreptului persoanelor vizate la informații transparente și comunicare, care impune operatorului să informeze persoanele vizate referitor la drepturile lor cu privire la utilizarea informațiilor lor personale și atrage atenția asupra prezenței unor sisteme dezvoltate în conformitate cu principiile de respectare a vieții private din momentul proiectării. |
Justificare | |
Articolul 12 din Directiva asupra confidențialității și comunicațiilor electronice și articolul 20 și articolul 21 din Directiva privind serviciul universal vizează serviciile de informații privind abonații, în cadrul domeniului de aplicare a serviciilor universale. Bazele de date ale furnizorilor de servicii de informații privind abonații trebuie să fie „complete” și, prin urmare, includerea datelor de abonat este importantă, asemenea necesității ca abonații să fie clar informați cu privire la toate opțiunile lor, indiferent de modelul adoptat de un stat membru (consimțământ, excepție sau opțiune hibrid). | |
Amendamentul 132 Propunere de regulament Articolul 12 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică. |
(1) Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul poate prevedea, de asemenea, modalitățile de introducere a cererilor pe cale electronică. |
Amendamentul 133 Propunere de regulament Articolul 12 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de o lună de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15 - 19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. |
(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de o lună de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15 - 19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris. |
Justificare | |
Dacă ar fi necesară utilizarea unor mecanisme electronice care să garanteze că procedura a fost efectuată pe cale electronică, acest lucru ar presupune un volum enorm de birocrație, în special pentru IMM-uri. | |
Amendamentul 134 Propunere de regulament Articolul 12 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate să nu ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special ca urmare a volumului ridicat al acestora, a complexității sau a caracterului lor repetitiv, operatorul poate percepe o taxă adecvată, prin care nu urmărește obținerea unui profit, pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate refuza să ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
Justificare | |
Furnizarea de date deținute într-o bază de date are un cost. Solicitarea unei contribuții adecvate în vederea accesului la date din partea persoanelor vizate, prin care nu se urmărește obținerea unui profit, ar favoriza limitarea cererilor frivole, fiind vitală pentru împiedicarea defraudatorilor de la obținerea unor mari volume de date privind creditele consumatorilor, care ar putea fi utilizate în scopuri frauduloase. | |
Amendamentul 135 Propunere de regulament Articolul 12 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și condițiilor privind cererile vădit excesive și taxele menționate la alineatul (4). |
eliminat |
Amendamentul 136 Propunere de regulament Articolul 12 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate stabili formulare tip și proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
(6) Comisia stabilește formulare tip și specifică proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
Justificare | |
Trebuie stabilite formulare tip și proceduri standard pentru a garanta că această măsură este aplicată în mod corect, în special de microîntreprinderi și de întreprinderile mici și mijlocii. | |
Amendamentul 137 Propunere de regulament Articolul 14 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) scopurile în care sunt prelucrate datele cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și interesele legitime urmărite de operator în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (f); |
(b) scopurile în care sunt prelucrate datele cu caracter personal și interesele legitime urmărite de operator în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (f); |
Justificare | |
Cerința de a comunica condițiile contractului și condițiile generale reprezintă un aspect reglementat în mod adecvat de dreptul civil. Din perspectiva protecției datelor, nu este, prin urmare, nevoie decât de furnizarea informațiilor referitoare la scopurile sau interesele legitime ale prelucrării. | |
Amendamentul 138 Propunere de regulament Articolul 14 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) perioada în care vor fi stocate datele cu caracter personal; |
(c) perioada estimată în care vor fi stocate datele cu caracter personal; |
Amendamentul 139 Propunere de regulament Articolul 14 – alineatul 1 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere; |
(e) dreptul de a depune o plângere în fața autorității de supraveghere; |
Justificare | |
Datoria de a specifica datele de contact ale autorității de supraveghere aferente responsabilității în ceea ce privește orice informații greșite ar necesita o revizuire continuă a informațiilor relevante, care ar fi disproporțională în special pentru întreprinderile mici și mijlocii. | |
Amendamentul 140 Propunere de regulament Articolul 14 – alineatul 1 – litera ga (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ga) informații cu privire la măsurile de securitate specifice luate pentru a proteja datele cu caracter personal; |
Amendamentul 141 Propunere de regulament Articolul 14 – alineatul 1 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) orice altă informație necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate datele cu caracter personal. |
eliminat |
Justificare | |
Extinderea uniformă, tip clauză, a obligațiilor deja substanțiale privind informațiile poate avea drept consecință o insecuritate juridică considerabilă. Nici întreprinderea în cauză, nici consumatorul nu pot deduce în condiții de securitate juridică din această formulare care informații anume trebuie făcute disponibile în fiecare caz individual. | |
Amendamentul 142 Propunere de regulament Articolul 14 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau voluntar al furnizării datelor cu caracter personal, precum și la eventualele consecințe ale refuzului de a furniza aceste date. |
(2) În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu al furnizării datelor cu caracter personal. |
Justificare | |
The information needs of data subjects are adequately taken into account, if they are informed whether the data provision is obligatory. Where this is not indicated, the provision of the data is consequently optional. The consumer is already accustomed to this practice. There is no reason to change this effective and functioning system. Information about whether the provision of information is mandatory or optional and the possible consequences of the refusal of the data would unnecessarily expand the information requirements. It is also unnecessary in many cases because it is already obvious from the context. In the course of ordering a product it is for example necessary to specify a shipping address, so that the product can actually be delivered. | |
Amendamentul 143 Propunere de regulament Articolul 14 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele cu caracter personal. |
(3) În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în măsura posibilului, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele cu caracter personal, cu excepția cazului în care datele provin dintr-o sursă disponibilă public sau atunci când transferul este prevăzut de lege sau prelucrarea este utilizată în scopuri legate de activitățile profesionale ale persoanei în cauză. |
Amendamentul 144 Propunere de regulament Articolul 14 – alineatul 4 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea acestora către un alt destinatar, și cel târziu în momentul în care datele sunt comunicate pentru prima dată. |
(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea acestora către un alt destinatar, și cel târziu în momentul în care datele sunt comunicate pentru prima dată, sau, dacă datele urmează să fie utilizate pentru a comunica cu persoana în cauză, cel târziu în momentul în care are loc prima comunicare cu persoana respectivă. |
Justificare | |
Dreptul persoanei vizate la autodeterminare informațională este luat în considerare în mod adecvat dacă informațiile relevante sunt furnizate în acest moment. | |
Amendamentul 145 Propunere de regulament Articolul 14 – alineatul 5 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat sau |
(b) datele nu sunt colectate de la persoana vizată, sau prelucrarea datelor nu permite verificarea identității, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat, de exemplu generând o sarcină administrativă excesivă, îndeosebi atunci când prelucrarea este efectuată de IMM-uri sau |
Amendamentul 146 Propunere de regulament Articolul 14 – alineatul 5 – litera d a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(da) datele provin din surse aflate la dispoziția publicului. |
Amendamentul 147 Propunere de regulament Articolul 14 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
(7) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, în consultare cu părțile interesate relevante, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
Justificare | |
Utilizarea actelor delegate prezintă un risc de opacitate care ar trebui evitat, pentru a garanta că elaborarea lor se va face în strânsă colaborare cu părțile care vor face obiectul acestor acte. | |
Amendamentul 148 Propunere de regulament Articolul 15 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Persoana vizată are dreptul de a obține din partea operatorului, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate. În cazul în care aceste date cu caracter personal sunt prelucrate, operatorul furnizează următoarele informații: |
(1) Persoana vizată are dreptul de a obține din partea operatorului, într-un limbaj clar și simplu, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate. Cu excepția datelor utilizate în scopuri istorice, statistice sau științifice, operatorul furnizează următoarele informații la momentul prelucrării datelor cu caracter personal: |
Amendamentul 149 Propunere de regulament Articolul 15 – alineatul 1 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) perioada în care vor fi stocate datele cu caracter personal; |
(d) perioada maximă în care vor fi stocate datele cu caracter personal. |
Justificare | |
Perioada de stocare variază în mod considerabil pentru toate categoriile de date și deseori nu poate fi determinată cu precizie de la început. Totuși, perioada maximă de stocare a datelor cu caracter personal ar trebui precizată. | |
Amendamentul 150 Propunere de regulament Articolul 15 – alineatul 1 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date; |
(e) existența dreptului de a solicita operatorului rectificarea, în conformitate cu articolul 16, sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date; |
Amendamentul 151 Propunere de regulament Articolul 15 – alineatul 1 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere; |
(f) dreptul de a depune o plângere în fața autorității de supraveghere; |
Justificare | |
Datoria de a specifica datele de contact ale autorității de supraveghere aferente responsabilității în ceea ce privește orice informații greșite ar necesita o revizuire continuă a informațiilor relevante, determinând, astfel, eforturi disproporționale în special pentru întreprinderile mici și mijlocii. | |
Amendamentul 152 Propunere de regulament Articolul 15 – alineatul 1 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) importanța și consecințele preconizate ale prelucrării, cel puțin în cazul măsurilor menționate la articolul 20. |
(h) importanța și consecințele preconizate ale prelucrării. |
Amendamentul 153 Propunere de regulament Articolul 15 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Persoana vizată are dreptul de a obține din partea operatorului, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate într-o bază de date pentru cercetare, în temeiul articolului 10. |
Justificare | |
Data in research databases will most often be considered personal data according to a high threshold of the definition of data considered personal. For linked research databases it would involve a disproportionate effort for the controller of the linked data to back track data on individual data subjects, since information on the single data subject may be build on data from different data sources, and data may not directly identifiable when the Key ID is kept with the controller of the original data source. Article 10 solves the paradox that in order to notify data subjects on data about him or her in the database, the controller should do what he is not allowed to, namely to identify that data subject. | |
Amendamentul 154 Propunere de regulament Articolul 15 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind comunicarea către persoana vizată a conținutului datelor cu caracter personal menționate la alineatul (1) litera (g). |
eliminat |
Amendamentul 155 Propunere de regulament Articolul 16 | |
|
Textul propus de Comisie |
Amendamentul |
|
Persoana vizată are dreptul de a obține de la operator rectificarea datelor sale cu caracter personal care sunt inexacte. Persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații corective suplimentare. |
(Nu privește versiunea în limba română.)(( |
Amendamentul 156 Propunere de regulament Articolul 17 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul de a fi uitat și de a fi șters |
Dreptul la ștergere |
Amendamentul 157 Propunere de regulament Articolul 17 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea difuzării acestor date, în special în ceea ce privește datele cu caracter personal care sunt puse la dispoziție de către persoana vizată atunci când era minor, în cazul în care se aplică unul dintre următoarele motive: |
(1) Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea prelucrării acestor date, cu excepția cazului în care operatorul este o autoritate publică sau o entitate acreditată de o autoritate publică sau care acționează în alt mod în numele autorității publice, inclusiv în ceea ce privește datele cu caracter personal care sunt puse la dispoziție de către persoana vizată atunci când era minor, în cazul în care se aplică unul dintre următoarele motive: |
Amendamentul 158 Propunere de regulament Articolul 17 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate; |
(a) datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate ulterior, iar perioada legală de păstrare obligatorie minimă a expirat; |
Amendamentul 159 Propunere de regulament Articolul 17 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de stocare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea datelor; |
(b) persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de păstrare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea sau stocarea datelor; |
Amendamentul 160 Propunere de regulament Articolul 17 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Operatorul ia toate măsurile rezonabile pentru a comunica orice ștergere tuturor entităților juridice cărora le-au fost comunicate datele. |
Amendamentul 161 Propunere de regulament Articolul 17 – alineatul 1 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1b) Alineatul (1) se aplică doar în cazul în care operatorul de date poate confirma identitatea persoanei vizate care adresează cerere de ștergere. |
Amendamentul 162 Propunere de regulament Articolul 17 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal, acesta ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective. |
eliminat |
Justificare | |
Dată fiind natura internetului și posibilitățile de a posta informații pe diferite site-uri în întreaga lume, această dispoziție este impracticabilă. | |
Amendamentul 163 Propunere de regulament Articolul 17 – alineatul 3 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Operatorul efectuează ștergerea fără întârziere, cu excepția cazului în care păstrarea datelor cu caracter personal este necesară: |
(3) Operatorul efectuează ștergerea fără întârzieri nejustificate, cu excepția cazului în care păstrarea și difuzarea datelor cu caracter personal este necesară: |
Amendamentul 164 Propunere de regulament Articolul 17 – alineatul 3 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81; |
(b) din motive de interes public în domeniul sănătății publice și în scopuri medicale, în conformitate cu articolul 81; |
Amendamentul 165 Propunere de regulament Articolul 17 – alineatul 3 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte esența dreptului la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit; |
(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; |
Justificare | |
Ar putea exista legi ale altor state membre care impun operatorului să refuze „dreptul de a fi uitat”. Ar putea fi necesar, de exemplu, ca datele să facă obiectul unor norme de raportare financiară din motive de contabilitate. | |
Amendamentul 166 Propunere de regulament Articolul 17 – alineatul 3 – litera ea (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ea) pentru preîntâmpinarea sau detectarea fraudelor, confirmarea identității și/sau stabilirea solvabilității sau a capacității de plată. |
Amendamentul 167 Propunere de regulament Articolul 17 – alineatul 4 – litera da (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(da) operatorul trebuie să stocheze datele cu caracter personal pentru a garanta că, pe baza unei obiecții în conformitate cu articolul 19, este exclusă prelucrarea în continuare a datelor respective. |
Justificare | |
O obiecție față de prelucrarea datelor cu caracter personal în conformitate cu articolul 19 exclude în mod periodic prelucrarea datelor respective în viitor. Pentru a garanta că datele respective nu sunt de fapt utilizate în vederea unor măsuri viitoare vizând prelucrarea datelor, acestea nu trebuie eliminate, ci blocate sau marcate în alt fel. | |
Amendamentul 168 Propunere de regulament Articolul 17 – alineatul 6 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(6a) Solicitările de rectificare, ștergere sau blocare a datelor cu caracter personal nu aduc atingere prelucrării necesare pentru a asigura, proteja și menține flexibilitatea unuia sau a mai multor sisteme de informații. În plus, dreptul de rectificare și/sau ștergere a datelor cu caracter personal nu se aplică datelor cu caracter personal care trebuie păstrate dintr-o obligație legală sau pentru a proteja drepturile operatorului, ale persoanei împuternicite de către operator sau ale părților terțe. |
Justificare | |
Există circumstanțe în care dreptul persoanei vizate de a rectifica sau de a șterge date cu caracter personal nu ar trebui să se aplice – de exemplu, în conformitate cu legislațiile statelor membre ale UE și alte jurisdicții care necesită păstrarea anumitor tipuri de date cu caracter personal din motive de securitate națională sau pentru anchetarea de potențiale activități ilicite. | |
Amendamentul 169 Propunere de regulament Articolul 17 – alineatul 9 | |
|
Textul propus de Comisie |
Amendamentul |
|
(9) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul de a detalia: |
eliminat |
|
(a) criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor; |
|
|
(b) condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2); |
|
|
(c) criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4). |
|
Amendamentul 170 Propunere de regulament Articolul 18 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care datele cu caracter personal sunt prelucrate electronic într-un format structurat care este utilizat în mod curent, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor care fac obiectul prelucrării electronice într-un format electronic structurat care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date. |
(1) În cazul în care datele cu caracter personal sunt prelucrate electronic într-un format structurat care este utilizat în mod curent, persoana vizată are dreptul să obțină, la cerere, din partea operatorului, atunci când acest lucru este fezabil din punct de vedere tehnic, o copie a datelor care fac obiectul prelucrării electronice într-un format electronic, interoperabil și structurat care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date. |
Amendamentul 171 Propunere de regulament Articolul 18 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care persoana vizată a furnizat datele cu caracter personal și prelucrarea se bazează pe consimțământul acesteia sau pe un contract, persoana vizată are dreptul de a transmite aceste date cu caracter personal, precum și orice altă informație furnizată de persoana vizată și păstrată de un sistem automatizat de prelucrare, într-un alt sistem, într-un format electronic care este utilizat în mod curent, fără ca operatorul de la care sunt retrase datele cu caracter personal să poată împiedica acest lucru. |
(2) În cazul în care persoana vizată a furnizat datele cu caracter personal și prelucrarea se bazează pe consimțământul acesteia sau pe un contract, persoana vizată are dreptul de a transmite aceste date cu caracter personal, precum și orice altă informație furnizată de persoana vizată, atunci când acest lucru este fezabil din punct de vedere tehnic, și păstrată de un sistem automatizat de prelucrare. |
Amendamentul 172 Propunere de regulament Articolul 18 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Drepturile menționate la alineatele (1) și (2) nu aduc atingere drepturilor și libertăților altora, inclusiv secretului comercial sau drepturilor de proprietate intelectuală. Considerațiile de mai sus nu au drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
Justificare | |
Utilizează formularea din considerentul 51 în ceea ce privește accesul la date. Trebuie acordată atenția cuvenită limitelor la portabilitatea datelor, în special în legătură cu interesele legitime ale întreprinderilor, pentru a proteja secretele comerciale și drepturile de proprietate intelectuală, în limite rezonabile. | |
Amendamentul 173 Propunere de regulament Articolul 18 – alineatul 2 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2b) Drepturile menționate la alineatele (1) și (2) nu aduc atingere obligației de a șterge date atunci când nu mai sunt necesare în temeiul articolului 5 litera (e). |
Amendamentul 174 Propunere de regulament Articolul 18 – alineatul 2 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2c) Alineatul (1) și alineatul (2) nu se aplică prelucrării datelor anonime sau sub pseudonim, în măsura în care persoana vizată nu poate fi identificată suficient de ușor pe baza acestor date, sau identificarea ar necesita ca operatorul să anuleze procesul de punere sub pseudonim. |
Amendamentul 175 Propunere de regulament Articolul 18 – alineatul 2 d (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2d) Alineatul (1) și alineatul (2) nu se aplică în cazul în care un operator poate demonstra în mod rezonabil că nu este posibil să se separe datele persoanei vizate de datele altor persoane vizate. |
Amendamentul 176 Propunere de regulament Articolul 18 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia poate specifica formatul electronic prevăzut la alineatul (1), precum și normele tehnice, modalitățile și procedurile de transmitere a datelor cu caracter personal în conformitate cu alineatul (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
(3) Formatul electronic, funcționalitățile conexe și procedurile de transmitere a datelor cu caracter personal în conformitate cu alineatul (2) sunt determinate de operator făcând referire la cele mai adecvate standarde industriale disponibile sau astfel cum sunt definite de părțile interesate din sectorul industrial sau de organismele de standardizare. Comisia promovează și asistă sectorul industrial, părțile interesate și organismele de standardizare în aplicarea și adoptarea standardelor tehnice, a modalităților și a procedurilor de transmitere a datelor cu caracter personal în conformitate cu alineatul (2). |
Amendamentul 177 Propunere de regulament Articolul 18 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 18a |
|
|
Operatorii se asigură că s-a primit o documentație suficientă pentru dovedirea identității unei persoane vizate, atunci când aceasta își exercită drepturile prevăzute la articolele 14 - 19 din prezentul regulament. |
Justificare | |
Cetățenii trebuie să își documenteze identitatea pentru a asigura respectarea drepturilor, cu scopul de a se asigura că nu poate apărea nicio formă de furt de identitate. | |
Amendamentul 178 Propunere de regulament Articolul 19 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În orice moment, persoana vizată are dreptul de a se opune, pe motive legate de situația specială în care se află, prelucrării datelor cu caracter personal pe care se bazează pe articolul 6 alineatul (1) literele (d), (e) și (f), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. |
(1) În orice moment, persoana vizată are dreptul de a se opune, în cazurile menționate la articolul 6 alineatul (1) literele (d), (e) și (f), pe motive predominante și demne de protecție legate de situația specială în care se află, prelucrării datelor lor cu caracter personal. În cazul unei obiecții justificate, prelucrarea de către operator nu mai poate face referire la aceste date. |
Justificare | |
Modificările reflectă dispoziția efectivă și dovedită privind obiecția menționată la articolul 14 litera (a) din Directiva 95/46/CE. Nu există niciun motiv pentru a schimba actualul sistem. Nu se cunosc probleme de ordin practic în acest domeniu, fapt ce ar justifica o modificare legislativă. Acest lucru este cu atât mai valabil cu cât regulamentul se va aplica acum direct, deci fără flexibilitatea directivei. | |
Amendamentul 179 Propunere de regulament Articolul 19 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune gratuit prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații. |
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct sau când prelucrarea se bazează pe articolul 6 alineatul (1) litera (f), persoana vizată are dreptul de a se opune gratuit prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, folosind un limbaj clar și simplu, adaptat persoanei vizate, îndeosebi pentru informațiile adresate în mod specific unui minor, și care să se poată distinge în mod clar de alte informații. |
Amendamentul 180 Propunere de regulament Articolul 19 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) În cazul în care date pseudonime sunt prelucrate în temeiul articolului 6 alineatul (1) litera (g), persoana vizată are dreptul de a se opune gratuit prelucrării. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații. |
Amendamentul 181 Propunere de regulament Articolul 20 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice persoană fizică are dreptul de a nu fi supusă unei măsuri care produce efecte juridice privind această persoană fizică sau care o afectează în mod semnificativ și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană fizică sau să analizeze ori să prevadă, în special, performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acestuia. |
(1) O persoană vizată are dreptul de a nu fi supusă unei măsuri care o afectează în mod negativ, atât online, cât și offline, și care se bazează exclusiv pe prelucrarea automată a datelor menită să evalueze anumite aspecte personale privind o persoană vizată sau să analizeze ori să prevadă, în special, performanțele persoanei vizate la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acesteia. |
Amendamentul 182 Propunere de regulament Articolul 20 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) În scopul publicității, al cercetării de piață sau al adaptării telemedia, se pot crea profiluri de utilizator cu ajutorul unor date pseudonimizate, cu condiția ca persoana în cauză să nu se opună. Persoana în cauză trebuie să fie informată cu privire la dreptul său de opoziție. Profilurile de utilizator nu pot fi combinate cu datele referitoare la purtătorul pseudonimului. |
Justificare | |
Formularea inițială a articolului 20 ar putea conduce la obligativitatea obținerii de către întreprinderi a consimțământului pentru orice formă de prelucrare a datelor cu caracter personal. Cu toate acestea, pentru a nu distruge în special modelele de afaceri ale multor întreprinderi europene mici și mijlocii și, astfel, pentru a nu acorda prioritate întreprinderilor mari din SUA, anumite forme de prelucrare a datelor ar trebui permise cu condiția protejării datelor cu caracter personal. | |
Amendamentul 183 Propunere de regulament Articolul 20 – alineatul 1 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1b) Operatorii de date notifică persoana vizată în cazul în care are loc o prelucrare în sensul alineatului (1) și acordă individului dreptul de a revizui o astfel de decizie. |
Justificare | |
Crearea de profiluri pentru evaluarea bonității ar trebui să fie clar diferențiată de alte scopuri, cu atât mai mult cu cât această creare de profiluri este clar comunicată individului în avans. | |
Amendamentul 184 Propunere de regulament Articolul 20 – alineatul 2 – litera aa (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(aa) se bazează pe date sub pseudonim; |
Amendamentul 185 Propunere de regulament Articolul 20 – alineatul 2 – litera ab (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ab) se bazează pe interesele legitime urmărite de operatorul de date; |
Amendamentul 186 Propunere de regulament Articolul 20 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) se efectuează în faza de încheiere sau de executare a unui contract, atunci când a fost acceptată cererea de încheiere sau de executare a contractului, depusă de persoana vizată sau atunci când au fost invocate măsuri corespunzătoare intereselor legitime ale persoanei vizate, cum ar fi dreptul de a obține intervenție umană; or |
eliminat |
Amendamentul 187 Propunere de regulament Articolul 20 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate; sau |
eliminat |
Amendamentul 188 Propunere de regulament Articolul 20 – alineatul 2 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare. |
eliminat |
Amendamentul 189 Propunere de regulament Articolul 20 – alineatul 2 – litera ca (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ca) este necesară pentru a proteja interesele vitale ale persoanei vizate sau este în interesul public, așa cum se prevede la articolul 5 literele (d) și (e); |
Amendamentul 190 Propunere de regulament Articolul 20 – alineatul 2 – litera cb (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(cb) se limitează la datele sub pseudonim. Aceste date sub pseudonim nu trebuie să fie comparate cu datele referitoare la purtătorul de pseudonim. Articolul 19 alineatul (3a) se aplică în mod corespunzător; |
Justificare | |
În conformitate cu articolul 15 alineatul (3) din legea germană privind telemedia, care încurajează punerea datelor sub pseudonim și oferă un cadru legislativ clar pentru crearea de profiluri, între altele, în domeniul publicității și al cercetării de piață. | |
Amendamentul 191 Propunere de regulament Articolul 20 – alineatul 2 – litera cc (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(cc) este necesară pentru a proteja drepturile de care dispun alte persoane vizate, de exemplu în scopul detectării fraudei, a iregularităților sau a altor activități ilegale potrivit legislației Uniunii sau a statelor membre; |
Amendamentul 192 Propunere de regulament Articolul 20 – alineatul 2 – litera c d (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(cd) privește datele care au fost anonimizate. |
Justificare | |
Datele care sunt anonimizate pentru totdeauna, conform definiției de la articolul 4 alineatul (1) punctul 2 b (nou). | |
Amendamentul 193 Propunere de regulament Articolul 20 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9. |
eliminat |
Amendamentul 194 Propunere de regulament Articolul 20 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică nu se utilizează pentru identificarea sau individualizarea copiilor. |
Amendamentul 195 Propunere de regulament Articolul 20 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În cazurile menționate la alineatul (2), informațiile pe care operatorul trebuie să le furnizeze în temeiul articolului 14 includ informații despre existența prelucrării, pentru o măsură de tipul celei la care se face referire la alineatul (1), precum și despre efectele preconizate ale acestei prelucrări asupra persoanei vizate. |
eliminat |
Amendamentul 196 Propunere de regulament Articolul 20 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2). |
eliminat |
Amendamentul 197 Propunere de regulament Articolul 21 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Actorii de pe piața forței de muncă pot restrânge printr-o măsură legislativă domeniul de aplicare a obligațiilor și a drepturilor prevăzute la articolul 5 literele (a) - (e), la articolele 11-20 și la articolul 32, atunci când o astfel de restricție a fost convenită prin contracte colective naționale pentru a constitui o măsură necesară și proporțională. |
Justificare | |
Piața forței de muncă este reglementată foarte diferit în diferitele state membre. Unele state membre au o tradiție în materie de legislație, iar altele au un grad ridicat de reglementare care provine din contractele colective de pe piața forței de muncă. | |
Amendamentul 198 Propunere de regulament Articolul 22 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul adoptă politici și pune în aplicare măsuri adecvate pentru a garanta și a putea demonstra că prelucrarea datelor cu caracter personal se efectuează în conformitate cu prezentul regulament. |
(1) Având în vedere stadiul actual al tehnicii, natura procedurii de prelucrare a datelor cu caracter personal și tipul organizației, atât la momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, ar trebui puse în aplicare măsuri și proceduri tehnice și organizatorice adecvate și demonstrabile, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate. |
Justificare | |
Regulamentul ar trebui să prevadă suficientă flexibilitate pentru a permite diferitor organizații să pună în aplicare cele mai eficiente măsuri tehnice și organizatorice, adecvate pentru natura și structura fiecărei organizații respective. | |
Amendamentul 199 Propunere de regulament Articolul 22 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) La cererea autorității competente de protecție a datelor, operatorul sau persoana împuternicită de operator demonstrează existența măsurilor tehnice și organizatorice. |
Amendamentul 200 Propunere de regulament Articolul 22 – alineatul 1 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1b) Un grup de întreprinderi poate aplica măsuri tehnice și organizatorice comune pentru a-și îndeplini obligațiile ce decurg din prezentul regulament. |
Amendamentul 201 Propunere de regulament Articolul 22 – alineatul 1 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1c) Prezentul articol nu se aplică în cazul unei persoane fizice care prelucrează date cu caracter personal fără interes comercial. |
Amendamentul 202 Propunere de regulament Articolul 22 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Măsurile prevăzute la alineatul (1) cuprind în special: |
(2) Astfel de măsuri includ, fără a se limita la: |
Amendamentul 203 Propunere de regulament Articolul 22 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) păstrarea documentației, în conformitate cu articolul 28; |
(a) supravegherea gestionării independente a prelucrării datelor cu caracter personal pentru a asigura existența și eficacitatea măsurilor tehnice și organizatorice; |
Amendamentul 204 Propunere de regulament Articolul 22 – alineatul 2 – litera aa (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(aa) punerea în aplicare a unui sistem de control al gestionării, inclusiv atribuirea responsabilităților, formarea personalului și instrucțiuni adecvate; |
Amendamentul 205 Propunere de regulament Articolul 22 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 30; |
(b) existența unor politici, instrucțiuni sau alte linii directoare adecvate pentru a orienta prelucrarea datelor necesare în vederea conformării cu regulamentul, precum și proceduri și executare pentru a asigura eficiența acestor linii directoare; |
Amendamentul 206 Propunere de regulament Articolul 22 – alineatul 2 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 33; |
(c) existența unor proceduri adecvate de planificare pentru a asigura conformitatea și a aborda prelucrarea potențial riscantă a datelor cu caracter personal înainte de începerea prelucrării; |
Amendamentul 207 Propunere de regulament Articolul 22 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) respectarea cerințelor privind autorizarea prealabilă sau consultarea prealabilă a autorității de supraveghere, în conformitate cu articolul 34 alineatele (1) și (2); |
(d) existența unei documentații corespunzătoare de prelucrare a datelor pentru a permite respectarea obligațiilor care decurg din prezentul regulament; |
Amendamentul 208 Propunere de regulament Articolul 22 – alineatul 2 – litera e a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ea) politici clare și accesibile privind guvernanța datelor, care sunt proporționale cu volumul și tipul de date cu caracter personal prelucrate de către operator și cu riscul de prejudiciere a protecției datelor aferent prelucrării datelor; |
Justificare | |
Secțiunile suplimentare sunt menite să furnizeze bazele unui mecanism de responsabilitate adevărat și aplicabil, care poate fi suficient de flexibil pentru a acomoda atât întreprinderi mari, cât și organizații mai mici. Un astfel de concept respectă cele mai bune practici aflate deja în vigoare în alte regimuri de conformitate, cum ar fi dispozițiile vizând combaterea mitei. | |
Amendamentul 209 Propunere de regulament Articolul 22 – alineatul 2 – litera eb (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(eb) existența unei sensibilizări și a unei formări adecvate a personalului care participă la prelucrarea datelor și deciziile legate de aceasta, în contextul obligațiilor care decurg din prezentul regulament; |
Amendamentul 210 Propunere de regulament Articolul 22 – alineatul 2 – litera e c (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ec) stabilirea și documentarea măsurilor menționate la articolul 11; |
Amendamentul 211 Propunere de regulament Articolul 22 – alineatul 2 – litera ed (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ed) dovezi privind angajamentul conducerii superioare de a implementa politicile de guvernare a datelor în întreaga întreprindere, pentru a garanta respectarea prezentului regulament. |
Justificare | |
Secțiunile suplimentare sunt menite să furnizeze bazele unui mecanism de responsabilitate adevărat și aplicabil, care poate fi suficient de flexibil pentru a acomoda atât întreprinderi mari, cât și organizații mai mici. Un astfel de concept respectă cele mai bune practici aflate deja în vigoare în alte regimuri de conformitate, cum ar fi dispozițiile vizând combaterea mitei. | |
Amendamentul 212 Propunere de regulament Articolul 22 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Orice raport periodic al activităților operatorului cuprinde o descriere a politicilor și măsurilor menționate la alineatul (1). |
Amendamentul 213 Propunere de regulament Articolul 22 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor măsurilor corespunzătoare menționate la alineatul (1), altele decât cele menționate la alineatul (2), condițiile pentru verificare și mecanismele de audit menționate la alineatul (3) și criteriile de proporționalitate prevăzute la alineatul (3), și în scopul de a prevedea măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii. |
eliminat |
Amendamentul 214 Propunere de regulament Articolul 23 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Protecția datelor începând cu momentul conceperii și protecția implicită a datelor |
Protecția datelor începând cu momentul conceperii |
Amendamentul 215 Propunere de regulament Articolul 23 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Având în vedere stadiul actual al tehnicii și costurile de implementare, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate. |
(1) Având în vedere stadiul actual al tehnicii, costurile de implementare și bunele practici la nivel internațional, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri corespunzătoare astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizat |
|
|
Fără a aduce atingere dispozițiilor din primul paragraf, operatorul este însărcinat numai cu măsuri corespunzătoare riscului prelucrării datelor pe care îl reprezintă natura datelor cu caracter personal care trebuie prelucrate. |
Amendamentul 216 Propunere de regulament Articolul 23 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate sau păstrate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane. |
(2) Măsurile și procedurile menționate la alineatul (1): |
|
|
(a) țin seama în mod corespunzător de standardele și reglementările tehnice existente în domeniul siguranței și securității publice; |
|
|
(b) respectă principiul modelului neutru de tehnologie, servicii și afaceri; |
|
|
(c) se bazează pe eforturi și standarde ale sectorului la nivel mondial; |
|
|
(d) iau în considerare în mod corespunzător evoluțiile la nivel internațional. |
Amendamentul 217 Propunere de regulament Articolul 23 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) La punerea în aplicare a dispozițiilor prezentului regulament, se asigură faptul că nu se impun produselor sau serviciilor cerințe obligatorii cu privire la caracteristicile tehnice specifice, inclusiv ale terminalelor sau altor echipamente pentru comunicații electronice, care ar putea împiedica introducerea pe piață de echipamente și libera circulație a acestor echipamente în și între statele membre. |
Amendamentul 218 Propunere de regulament Articolul 23 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor și mecanismelor de certificare menționate la alineatele (1) și (2), în special în ceea ce privește cerințele legate de protecția datelor începând cu momentul conceperii aplicabile în cazul tuturor sectoarelor, al produselor și al serviciilor. |
eliminat |
Amendamentul 219 Propunere de regulament Articolul 23 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia poate stabili standarde tehnice pentru cerințele menționate la alineatele (1) și (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Amendamentul 220 Propunere de regulament Articolul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
Atunci când un operator stabilește, împreună cu alți operatori, scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. |
Atunci când un operator stabilește, împreună cu alți operatori, scopul prelucrării datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. Acordul reflectă în mod corespunzător rolurile și relațiile comune corespunzătoare și efective față de persoanele vizate. |
Justificare | |
Acordul care urmează să fie încheiat între operatorii comuni ar trebui să fie supus în mod expres cerinței de a reflecta în mod corespunzător rolurile și relațiile comune corespunzătoare și efective față de persoanele vizate. Operatorii comuni nu sunt neapărat într-o poziție egală de negociere atunci când vine vorba de acorduri contractuale. În plus, nu toți operatorii comuni beneficiază de o relație directă cu persoana vizată, și nu controlează același tip și volum de date cu caracter personal. | |
Amendamentul 221 Propunere de regulament Articolul 25 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Desemnarea unui reprezentant de către operator nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși. |
eliminat |
Justificare | |
Reprezentantul acționează în numele operatorului, iar în UE este chiar operatorul. Non bis in idem. | |
Amendamentul 222 Propunere de regulament Articolul 26 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care o operațiune de prelucrare se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri. |
(1) În cazul în care o operațiune de prelucrare se realizează în numele operatorului și implică prelucrarea unor date care ar permite persoanei împuternicite să identifice în mod rezonabil persoana vizată, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri. |
Amendamentul 223 Propunere de regulament Articolul 26 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul și care prevede, în special, că persoana împuternicită de către operator: |
(2) Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul. Operatorul și persoana împuternicită de către operator sunt libere să stabilească rolurile și responsabilitățile ce incumbă fiecăruia cu privire la cerințele prezentului regulament și vor asigura următoarele: |
Amendamentul 224 Propunere de regulament Articolul 26 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) acționează numai la instrucțiunile operatorului, în special în cazul în care transferul de date cu caracter personal utilizate este interzis; |
(a) persoana împuternicită acționează numai la instrucțiunile operatorului, în special în cazul în care transferul de date cu caracter personal utilizate este interzis; |
Amendamentul 225 Propunere de regulament Articolul 26 – alineatul 2 – litera b a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ba) ia act de principiul protecției datelor începând cu momentul conceperii; |
Amendamentul 226 Propunere de regulament Articolul 26 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) recrutează o altă persoană împuternicită de către operator numai cu autorizarea prealabilă a operatorului; |
eliminat |
Amendamentul 227 Propunere de regulament Articolul 26 – alineatul 2 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, creează, în acord cu operatorul, condițiile tehnice și organizatorice necesare pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III; |
(e) în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării și capacitatea persoanei împuternicite de operator de a ajuta, prin depunerea unui efort rezonabil, un acord privind condițiile tehnice și organizatorice adecvate și relevante care sprijină abilitatea operatorului de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III; |
Amendamentul 228 Propunere de regulament Articolul 26 – alineatul 2 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 30 34; |
(f) în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, informațiile disponibile persoanei împuternicite de operator și abilitatea acesteia de a ajuta prin depunerea unui efort rezonabil, un acord privind modul în care se va asigura respectarea obligațiilor prevăzute la articolele 30 34; |
Amendamentul 229 Propunere de regulament Articolul 26 – alineatul 2 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
(g) transmite operatorului toate rezultatele după terminarea procesului de prelucrare și nu prelucrează în nici un alt mod datele cu caracter personal; |
(g) transmite operatorului toate rezultatele după terminarea procesului de prelucrare sau le distruge într-un mod acceptat din punct de vedere comercial; |
Amendamentul 230 Propunere de regulament Articolul 26 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În cazul în care o persoană împuternicită de către operator prelucrează datele cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator, persoana împuternicită de către operator este considerată responsabilă de prelucrarea datelor în ceea ce privește prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 24. |
eliminat |
Amendamentul 231 Propunere de regulament Articolul 26 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente responsabilităților, drepturilor și sarcinilor unei persoane împuternicite de către operator în conformitate cu alineatul (1), precum și condițiilor care permit facilitarea procesului de prelucrare a datelor cu caracter personal în cadrul unui grup de întreprinderi, în special pentru verificare și raportare. |
eliminat |
Justificare | |
În conformitate cu principiul responsabilității, detaliile sunt lăsate în sarcina operatorului și a persoanei împuternicite de către operator. | |
Amendamentul 232 Propunere de regulament Articolul 28 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la toate operațiunile de prelucrare derulate sub responsabilitatea sa. |
(1) Fiecare operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația corespunzătoare referitoare la măsurile luate pentru a asigura că prelucrarea datelor cu caracter personal aflate sub responsabilitatea sa respectă dispozițiile prezentului regulament. |
Amendamentul 233 Propunere de regulament Articolul 28 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Documentația cuprinde informațiile de care are nevoie autoritatea de supraveghere pentru a verifica dacă operatorul sau persoana împuternicită de operator a respectat regulamentul, inclusiv o descriere a măsurilor și mecanismelor aplicabile pe plan intern, menite să asigure respectarea articolului 22. |
Justificare | |
Cerința privind documentația prescriptivă pentru fiecare activitate de prelucrare a datelor este nerealizabilă atât pentru întreprinderile multinaționale, cât și pentru întreprinderile mai mici și nu ar duce la o mai mare protecție a vieții private a clienților. Amendamentul propus evită programele de conformitate pentru protecția datelor legaliste și oneroase, care produc documente, dar nu duc la practici operaționale mai bune pe teren. | |
Amendamentul 234 Propunere de regulament Articolul 28 – alineatul 1 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1b) Obligația menționată la alineatele (1) și (1a) nu se aplică IMM-urilor care prelucrează date doar ca activitate auxiliară vânzării de bunuri sau servicii. Activitatea auxiliară este definită ca fiind o activitate de afaceri sau una fără caracter comercial, care nu este asociată cu activitățile fundamentale ale unei întreprinderi. În ce privește protecția datelor, activitățile de prelucrare a datelor care reprezintă mai puțin de 50% din cifra de afaceri sunt considerate auxiliare. |
Amendamentul 235 Propunere de regulament Articolul 28 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Această documentație cuprinde cel puțin următoarele informații: |
eliminat |
|
(a) numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau ale oricărei persoane împuternicite de către operator, dacă este cazul; |
|
|
(b) numele și datele de contact ale responsabilului cu protecția datelor, dacă este cazul; |
|
|
(c) scopul prelucrării datelor, inclusiv interesele legitime urmărite de responsabilul cu prelucrarea, atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (f); |
|
|
(d) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care le privesc; |
|
|
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv operatorii cărora le sunt comunicate datele cu caracter personal în interesul legitim pe care îl urmăresc; |
|
|
(f) dacă este cazul, transferurile de date către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare; |
|
|
(g) o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date; |
|
|
(h) descrierea mecanismelor prevăzute la articolul 22 alineatul (3). |
|
Amendamentul 236 Propunere de regulament Articolul 28 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia. |
(3) Operatorul și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia. |
Amendamentul 237 Propunere de regulament Articolul 28 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului. |
eliminat |
Amendamentul 238 Propunere de regulament Articolul 28 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
(6) Comisia poate, după consultarea Comitetului european pentru protecția datelor, să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
Amendamentul 239 Propunere de regulament Articolul 29 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). |
(1) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pun documentele la dispoziția autorității de supraveghere, pe baza unei cereri care prezintă motivele pentru solicitarea accesului la documente. |
Amendamentul 240 Propunere de regulament Articolul 29 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) În cazul în care operatorul de date și persoana împuternicită de acesta au sedii în mai multe state membre în scopul gestionării complete sau parțiale a datelor, aceștia au posibilitatea de a-și desemna sediul principal. |
Amendamentul 241 Propunere de regulament Articolul 30 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul și persoana împuternicită de către operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate, în concordanță cu riscurile pe care le presupune prelucrarea și cu caracterul datelor cu caracter personal care trebuie protejate, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare. |
(1) Operatorul și persoana împuternicită de către operator pun în aplicare măsuri tehnice și organizatorice adecvate, inclusiv pseudonimizarea, pentru a asigura un nivel de securitate, în concordanță cu riscurile pe care le presupune prelucrarea și cu caracterul datelor cu caracter personal care trebuie protejate, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare. |
|
|
Fără a aduce atingere dispozițiilor din primul paragraf, operatorul și persoana împuternicită de acesta sunt însărcinați numai cu măsuri corespunzătoare riscului prelucrării datelor pe care îl reprezintă natura datelor cu caracter personal care trebuie prelucrate. |
Amendamentul 242 Propunere de regulament Articolul 30 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Obligațiile legale prevăzute la alineatele (1) și (2), care ar necesita prelucrarea datelor cu caracter personal în măsura strict necesară asigurării securității rețelelor și informațiilor, constituie un interes legitim urmărit de către un operator sau de către o persoană împuternicită de acesta, sau în numele acestora, conform prevederilor literei (f) din articolul 6 alineatul (1). |
Amendamentul 243 Propunere de regulament Articolul 30 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor, cu excepția cazului în care se aplică alineatul (4). |
eliminat |
Amendamentul 244 Propunere de regulament Articolul 30 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia poate adopta, dacă este cazul, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special pentru a: |
eliminat |
|
(a) preveni accesul neautorizat la date cu caracter personal; |
|
|
(b) preveni orice act neautorizat de divulgare, citire, copiere, modificare, ștergere sau eliminare a datelor cu caracter personal; |
|
|
(c) asigura verificarea legalității operațiunilor de prelucrare. |
|
|
Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 245 Propunere de regulament Articolul 31 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Notificarea autorității de supraveghere trebuie să fie însoțită de o explicație motivată în cazul în care aceasta nu are loc în termen de 24 de ore. |
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal legată de categorii speciale de date cu caracter personal, date cu caracter personal care fac obiectul secretului profesional, date cu caracter personal referitoare la infracțiuni sau la presupusa comitere a unei infracțiuni penale sau date cu caracter personal referitoare la conturi bancare sau conturi de cărți de credit, care reprezintă o amenințare gravă la adresa drepturilor sau intereselor legitime ale persoanei vizate, operatorul notifică autorității de supraveghere fără întârzieri nejustificate încălcarea securității datelor cu caracter personal. |
Amendamentul 246 Propunere de regulament Articolul 31 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator imediat după ce s-a constatat încălcarea securității datelor cu caracter personal. |
(2) În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator fără întârzieri nejustificate, după ce a fost identificată o încălcare a securității datelor cu caracter personal care este de natură să producă efecte juridice în detrimentul vieții private a persoanei vizate. |
Amendamentul 247 Propunere de regulament Articolul 31 – alineatul 3 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal. |
(e) să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și/sau a limita efectele acesteia. |
Amendamentul 248 Propunere de regulament Articolul 31 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită autorității de supraveghere să verifice conformitatea cu prezentul articol. Documentația respectivă include numai informațiile necesare în acest scop. |
(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să fie suficientă pentru a permite autorității de supraveghere să verifice conformitatea cu prezentul articol. Documentația respectivă include numai informațiile necesare în acest scop. |
Amendamentul 249 Propunere de regulament Articolul 31 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a indica mai detaliat criteriile și cerințele necesare pentru stabilirea încălcării menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal. |
eliminat |
Amendamentul 250 Propunere de regulament Articolul 31 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate stabili un format standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentației la care se face referire la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în această documentație. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
(6) Comisia poate stabili un format standard al notificării adresate autorității de supraveghere și procedurile aplicabile în cazul depunerii rapoartelor.
|
Amendamentul 251 Propunere de regulament Articolul 32 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal și a vieții private a persoanei vizate, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal. |
(1) Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal, a vieții private a persoanei vizate, a drepturilor sau a intereselor sale legitime, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal. Se consideră că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. |
Amendamentul 252 Propunere de regulament Articolul 32 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Informarea persoanei vizate prevăzută la alineatul (1) cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b) și (c). |
(2) Informarea persoanei vizate prevăzută la alineatul (1) este completă, clară și ușor de înțeles de către orice persoană fizică și cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b), (c) și (d). |
Amendamentul 253 Propunere de regulament Articolul 32 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze. |
(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care încălcarea securității datelor nu a produs prejudicii semnificative, iar operatorul a pus în aplicare măsuri tehnologice adecvate de protecție și respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție asigură faptul că datele devin neinteligibile, imposibil de utilizat sau anonime pentru persoanele care nu sunt autorizate să le acceseze. |
Amendamentul 254 Propunere de regulament Articolul 32 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal menționate la alineatul (1). |
eliminat |
Amendamentul 255 Propunere de regulament Articolul 32 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 32a |
|
|
Informarea altor organizații cu privire la încălcarea securității datelor cu caracter personal |
|
|
Un operator care informează o persoană vizată cu privire la încălcarea securității datelor cu caracter personal în temeiul articolului 32 poate notifica o altă organizație, o instituție guvernamentală sau o parte a unei instituții guvernamentale cu privire la încălcarea securității datelor cu caracter personal în cazul în care această organizație, instituție guvernamentală sau parte a instituției guvernamentale poate fi în măsură să reducă riscul de prejudiciu care ar putea rezulta sau să atenueze prejudiciul. Aceste notificări pot fi făcute fără a informa persoana vizată, în cazul în care informațiile sunt comunicate numai în scopul reducerii riscului de prejudiciu adus persoanei vizate, care ar putea rezulta din încălcarea sau atenuarea acestui prejudiciu. |
Justificare | |
În numeroase cazuri, alte organizații sau instituții guvernamentale sunt capabile să asiste la atenuarea prejudiciului care poate afecta o persoană vizată ca urmare a încălcării securității datelor cu caracter personal, în cazul în care acestea sunt informate cu privire la încălcare și la circumstanțele încălcării. | |
Amendamentul 256 Propunere de regulament Capitolul 4 – secțiunea 3 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
EVALUAREA IMPACTULUI PRIVIND PROTECȚIA DATELOR AUTORIZAȚIA PREALABILĂ |
EVALUAREA IMPACTULUI PRIVIND PROTECȚIA DATELOR NOTIFICAREA PREALABILĂ |
Justificare | |
Procedurile care necesită autorizația prealabilă sunt costisitoare și de durată pentru operator, iar valoarea lor adăugată, comparativ cu sistemul notificării prealabile, este îndoielnică din punctul de vedere al protecției datelor. Notificările prealabile, care ar oferi autorității de supraveghere posibilitatea de a reacționa și acționa, sunt suficiente și asigură, de asemenea, o procedură ușor de utilizat privind protecția datelor. | |
Amendamentul 257 Propunere de regulament Articolul 33 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor, operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, trebuie să efectueze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. |
(1) Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor, operatorul efectuează o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică este suficientă pentru abordarea unui set de operațiuni de prelucrare care prezintă riscuri similare. IMM-urile au obligația de a realiza o evaluare a impactului doar după al treilea an de la înființare, în situația în care se consideră că prelucrarea datelor este una dintre activitățile lor principale. |
Amendamentul 258 Propunere de regulament Articolul 33 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Următoarele operațiuni de prelucrare prezintă în special riscurile specifice la care se face referire la alineatul (1): |
(2) Următoarele operațiuni de prelucrare prezintă riscurile specifice la care se face referire la alineatul (1): |
Justificare | |
Pentru a asigura securitatea juridică, este necesară stipularea clară și în mod exhaustiv a riscurilor specifice existente. | |
Amendamentul 259 Propunere de regulament Articolul 33 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică sau care vizează analizarea ori întocmirea de previziuni în special în ceea ce privește situația economică a persoanei fizice, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acesteia, care se bazează pe prelucrarea automată și pe care se bazează măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă; |
(a) o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică sau care vizează analizarea ori întocmirea de previziuni în special în ceea ce privește situația economică a persoanei fizice, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acesteia, care se bazează pe prelucrarea automată și pe care se bazează măsurile care produc efecte juridice în detrimentul persoanei respective, inclusiv orice alte operațiuni de prelucrare de tipul celor menționate la articolul 20 alineatul (1) din prezentul regulament; |
Amendamentul 260 Propunere de regulament Articolul 33 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea informațiilor privind viața sexuală, sănătatea, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase prelucrarea datelor pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă; |
(b) prelucrarea informațiilor privind viața sexuală, sănătatea, opiniile politice, convingerile religioase, condamnările penale, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase, atunci când prelucrarea datelor se efectuează pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă; |
Amendamentul 261 Propunere de regulament Articolul 33 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Evaluarea trebuie să cuprindă cel puțin o descriere generală a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate. |
(3) Evaluarea trebuie să cuprindă cel puțin o descriere generală a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, inclusiv riscul ca discriminarea să fie încorporată sau întărită de către operațiune, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate, precum și tehnologiile și metodele moderne care pot îmbunătăți viața privată a cetățenilor. În situația în care există norme europene, acestea se iau în considerare în cadrul evaluării impactului. |
Amendamentul 262 Propunere de regulament Articolul 33 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Operatorul solicită avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare. |
eliminat |
Justificare | |
A solicita în mod activ avizul persoanelor vizate reprezintă o povară disproporțională asupra operatorilor de date. | |
Amendamentul 263 Propunere de regulament Articolul 33 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Atunci când operatorul este o autoritate sau un organism public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1) - (4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare. |
(5) Atunci când operatorul este o autoritate sau un organism public sau atunci când datele sunt prelucrate de către un alt organism căruia i s-a încredințat responsabilitatea îndeplinirii unor sarcini din sectorul public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1)-(4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare. |
Justificare | |
Natura serviciului furnizat și nu natura organismului care furnizează acest serviciu ar trebui să determine dacă se aplică normele privind evaluarea impactului asupra datelor. De exemplu, organizațiilor private li se încredințează adesea responsabilitatea de a furniza servicii publice. Ar trebui să existe o abordare unică în furnizarea serviciilor publice, indiferent dacă organismul care le furnizează este o autoritate ori un organism public sau o organizație privată care efectuează acest lucru în temeiul unui contract. | |
Amendamentul 264 Propunere de regulament Articolul 33 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind operațiunile de prelucrare care pot prezenta riscurile specifice menționate la alineatele (1) și (2), precum și cerințelor pentru evaluare la care se face referire la alineatul (3), inclusiv condițiile de scalabilitate, de verificare și posibilitatea auditării. În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
eliminat |
Amendamentul 265 Propunere de regulament Articolul 33 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia poate să prevadă standarde și proceduri de realizare, verificare și auditare a evaluării menționate la alineatul (3). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Amendamentul 266 Propunere de regulament Articolul 33 – alineatul 7 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(7a) Evaluările impactului privind protecția datelor sunt considerate comunicări privilegiate. |
Justificare | |
Este important să se stipuleze acest lucru pentru a alunga temerile întreprinderilor că noile procese inovatoare, ce fac obiectul secretelor comerciale, ar putea intra în domeniul public. | |
Amendamentul 267 Propunere de regulament Articolul 34 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Autorizarea prealabilă și consultarea prealabilă |
Consultarea prealabilă |
Justificare | |
Consecvență pe plan intern cu obiectivele stabilite la considerentul 70. | |
Amendamentul 268 Propunere de regulament Articolul 34 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul sau persoana împuternicită de către operator, după caz, obține o autorizație din partea autorității de supraveghere înainte de prelucrarea datelor cu caracter personal, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care un operator sau o persoană împuternicită de către operator adoptă clauzele contractuale prevăzute la articolul 42 alineatul (2) litera (d) sau nu oferă garanții corespunzătoare printr-un instrument obligatoriu din punct de vedere juridic, astfel cum se menționează la articolul 42 alineatul (5) în ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională. |
eliminat |
Justificare | |
Prior authorization or consultation with supervisory authorities will lead to a misallocation of privacy resources and place a significant burden on already overextended supervisory authorities, create significant, inevitable delays in the rollout of new products and services, and generally disincentivise the creation of effective corporate privacy programmes. Requiring enterprises that have invested in these internal programmes to submit to compulsory consultation with the supervisory authority will have an adverse impact on their ability to develop and release to the market new products and services which benefit consumers and the economy. | |
Amendamentul 269 Propunere de regulament Articolul 34 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când: |
(2) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, poate consulta autoritatea de supraveghere înainte de prelucrarea unor categorii speciale de date cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când: |
Amendamentul 270 Propunere de regulament Articolul 34 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor, în conformitate cu alineatul (4). |
(b) autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor. |
Justificare | |
A se vedea justificarea privind eliminarea alineatului (4). | |
Amendamentul 271 Propunere de regulament Articolul 34 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Atunci când consideră că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme. |
(3) Atunci când, în conformitate cu atribuțiile sale, constată că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere competentă interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme. O astfel de decizie poate fi contestată într-o instanță competentă și este posibil să nu poată fi pusă în aplicare pe perioada contestației, cu excepția cazului în care prelucrarea afectează în mod semnificativ și imediat persoanele vizate. |
Amendamentul 272 Propunere de regulament Articolul 34 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Autoritatea de supraveghere întocmește și publică o listă de operațiuni de prelucrare care sunt supuse consultării prealabile în conformitate cu alineatul (2) litera (b). Autoritatea de supraveghere comunică aceste liste Comitetului european pentru protecția datelor. |
eliminat |
Justificare | |
Această dispoziție este prea complexă din punct de vedere administrativ pentru a putea fi aplicată în mod eficient, în special având în vedere că este nevoie de un regulament care să facă față provocărilor viitoare și să nu se adreseze în mod specific niciunui sector. | |
Amendamentul 273 Propunere de regulament Articolul 34 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) În cazul în care lista prevăzută la alineatul (4) cuprinde activități de prelucrare care presupun furnizarea de bunuri și prestarea de servicii către persoane vizate din mai multe state membre sau la monitorizarea comportamentului lor ori pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57 înainte de adoptarea listei. |
(5) În cazul în care activitățile de prelucrare presupun furnizarea de bunuri și prestarea de servicii către persoane vizate din mai multe state membre sau la monitorizarea comportamentului lor ori pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. |
Justificare | |
Acest amendament are drept scop orientarea mecanismului pentru asigurarea coerenței în direcția cea mai adecvată, în conformitate cu amendamentele la articolul 58 alineatul (2). | |
Amendamentul 274 Propunere de regulament Articolul 34 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere evaluarea impactului privind protecția datelor prevăzută la articolul 33 și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și în special a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente. |
(6) Operatorul furnizează autorității de supraveghere evaluarea impactului privind protecția datelor prevăzută la articolul 33 și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și în special a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente. |
Justificare | |
În vederea asigurării securității juridice și a unei mai bune puneri în aplicare de către autoritățile de supraveghere, în conformitate cu considerentul 62, care prevede „o atribuire clară a responsabilităților în temeiul prezentului regulament”, autorizarea prealabilă de către autoritatea de supraveghere și consultarea cu aceasta ar trebui să țină exclusiv de competența operatorului. Astfel, se va stabili un cadru mult mai clar, atât pentru întreprindere, cât și pentru autoritățile de supraveghere. | |
Amendamentul 275 Propunere de regulament Articolul 34 – alineatul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
(8) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind stabilirea gradului înalt de risc specific prevăzut la alineatul 2 litera (a). |
eliminat |
Amendamentul 276 Propunere de regulament Articolul 34 – alineatul 9 | |
|
Textul propus de Comisie |
Amendamentul |
|
(9) Comisia poate elabora formulare și proceduri standard pentru autorizațiile și consultările prealabile menționate la alineatele (1) și (2), precum și formulare și proceduri standard de informare a autorităților de supraveghere, în conformitate cu alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
(9) Comisia poate elabora formulare și proceduri standard pentru consultările prealabile menționate la alineatul (2), precum și formulare și proceduri standard de informare a autorităților de supraveghere, în conformitate cu alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
Amendamentul 277 Propunere de regulament Articolul 35 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când: |
(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor sau o organizație pentru protecția datelor atunci când: |
Amendamentul 278 Propunere de regulament Articolul 35 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura lor, domeniul de aplicare și/sau scopul lor, necesită monitorizarea periodică și sistematică a persoanelor vizate. |
(c) activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura lor, domeniul de aplicare și/sau scopul lor, necesită monitorizarea periodică și sistematică a persoanelor vizate. Activitățile principale se definesc drept activitățile în cazul cărora 50 % din venituri sau din cifra de afaceri anuală obținută din vânzarea de date se datorează acestor date. În ce privește protecția datelor, activitățile de prelucrare a datelor care reprezintă mai puțin de 50% din cifra de afaceri sunt considerate auxiliare. |
Justificare | |
Desemnarea responsabililor cu protecția datelor ar trebui să fie considerată necesară doar atunci când activitățile principale ale unei întreprinderi se referă la prelucrarea de date cu caracter personal. | |
Amendamentul 279 Propunere de regulament Articolul 35 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor poate fi desemnat pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public. |
(3) În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor sau organizația pentru protecția datelor se pot desemna pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public. |
Amendamentul 280 Propunere de regulament Articolul 35 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. |
(5) Operatorul sau persoana împuternicită de către operator poate desemna responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. |
Amendamentul 281 Propunere de regulament Articolul 35 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese. |
(6) Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sau ale organizației pentru protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese. |
Amendamentul 282 Propunere de regulament Articolul 35 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin doi ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă responsabilul cu protecția datelor nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale. |
(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin doi ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. |
Justificare | |
La fel ca în cazul altor angajați, ar trebui să fie posibilă concedierea RPD în cazul în care acesta nu-și îndeplinește sarcinile trasate de conducere. Conducerea decide dacă este mulțumită sau nu de persoana angajată. | |
Amendamentul 283 Propunere de regulament Articolul 35 – alineatul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament. |
(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor sau organizația pentru protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament. |
Amendamentul 284 Propunere de regulament Articolul 35 – alineatul 11 | |
|
Textul propus de Comisie |
Amendamentul |
|
(11) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 cu scopul de a specifica în detaliu criteriile și cerințele pentru activitățile principale ale operatorului sau ale persoanei împuternicite de către operator prevăzute la alineatul (1) litera (c), precum și criteriile privind calitățile profesionale ale responsabilului cu protecția datelor prevăzute la alineatul (5). |
eliminat |
Amendamentul 285 Propunere de regulament Articolul 36 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal. |
(1) Conducerea executivă a operatorului sau a persoanei împuternicite de către operator sprijină responsabilul cu protecția datelor sau organizația pentru protecția datelor în îndeplinirea atribuțiilor acestora și pune la dispoziție personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37. |
Amendamentul 286 Propunere de regulament Articolul 36 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și că nu primește instrucțiuni în privința exercitării funcției. Responsabilul cu protecția datelor răspunde direct în fața conducerii operatorului sau a persoanei împuternicite de către operator. |
(2) Organizația pentru protecția datelor sau responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și răspunde direct în fața conducerii operatorului sau a persoanei împuternicite de către operator. |
Amendamentul 287 Propunere de regulament Articolul 36 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37. |
(3) Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor sau organizația pentru protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37. |
Amendamentul 288 Propunere de regulament Articolul 37 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini: |
(1) Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor sau organizației pentru protecția datelor cel puțin următoarele sarcini: |
Amendamentul 289 Propunere de regulament Articolul 37 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, păstrarea unei evidențe a acestei activități și a răspunsurilor primite; |
(a) sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, păstrarea unei evidențe a acestei activități și a răspunsurilor primite; |
Amendamentul 290 Propunere de regulament Articolul 37 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) monitorizarea aplicării prezentului regulament, în special în ceea ce privește cerințele legate de protecția datelor de la momentul conceperii, de protecția implicită a datelor, de securitatea datelor, de informațiile persoanelor vizate și de cererile acestora în exercitarea drepturilor lor în temeiul prezentului regulament; |
(c) monitorizarea respectării prezentului regulament; |
Amendamentul 291 Propunere de regulament Articolul 37 – alineatul 1 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a prevederilor legate de datele cu caracter personal, în temeiul articolelor 31 și 32; |
(e) elaborarea unor procese pentru a monitoriza, documenta, notifica și comunica cazurile de încălcare a securității datelor cu caracter personal, în temeiul articolelor 31 și 32; |
Amendamentul 292 Propunere de regulament Articolul 37 – alineatul 1 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) monitorizarea efectuării de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de autorizare sau consultare prealabilă, dacă este cazul, în conformitate cu articolele 33 și 34; |
(f) elaborarea unor procese care monitorizează efectuarea de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de autorizare sau consultare prealabilă, dacă este cazul, în conformitate cu articolele 33 și 34; |
Amendamentul 293 Propunere de regulament Articolul 37 – alineatul 1 – litera fa (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fa) garantarea faptului că măsurile de responsabilitate există așa cum au fost definite la articolul 22 alineatul (2) literele (c)-(ed). |
Justificare | |
Clarificarea rolului central al responsabililor cu protecția datelor în sistemul de responsabilitate ce duce la personalul de conducere de nivel superior. | |
Amendamentul 294 Propunere de regulament Articolul 37 – alineatul 1 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
(g) monitorizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor; |
(g) asistență în furnizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor; |
Amendamentul 295 Propunere de regulament Articolul 39 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre și Comisia încurajează, în special la nivel european, instituirea de mecanisme de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Mecanismele de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare. |
(1) Statele membre și Comisia colaborează cu operatorii, cu persoanele împuternicite de către operatori și cu alte părți interesate pentru a încuraja, în special la nivel european, instituirea de mecanisme de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate și autorităților din statele membre să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Mecanismele de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare. |
Justificare | |
Amendamentul încurajează și permite crearea unui sistem în care autoritățile de reglementare acreditează evaluatori independenți, atât pentru evaluările întreprinderilor în ansamblul lor, cât și pentru evaluări specifice de produse sau tehnologice. | |
Amendamentul 296 Propunere de regulament Articolul 39 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Mecanismele de certificare pentru protecția datelor sunt voluntare, accesibile și disponibile prin intermediul unui proces transparent, care nu generează sarcini excesive. Aceste mecanisme sunt neutre din punct de vedere tehnologic, pot fi utilizate la nivel global și contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare. |
Justificare | |
Mecanismele de certificare ar trebui concepute pentru a fi eficiente, fără a genera prea multă birocrație sau prea multe sarcini. | |
Amendamentul 297 Propunere de regulament Articolul 39 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alineatul (1), inclusiv a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe. |
(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alineatul (1), inclusiv a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe, cu condiția ca aceste măsuri să fie neutre din punct de vedere tehnologic. |
Amendamentul 298 Propunere de regulament Articolul 39 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia poate stabili standarde tehnice pentru mecanismele de certificare și pentru sigiliile și mărcile din domeniul protecției datelor, precum și mecanisme de promovare și recunoaștere a mecanismelor de certificare și a sigiliilor și mărcilor din domeniul protecției datelor. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
eliminat |
Amendamentul 299 Propunere de regulament Articolul 41 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate; |
(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, precum și punerea în aplicare a dispozițiilor acestei legislații, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate; |
Amendamentul 300 Propunere de regulament Articolul 41 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) În cazul în care Comisia are motive să considere, pe baza monitorizării oricărei altei surse, că o țară sau o organizație internațională cu privire la care s-a adoptat o decizie în temeiul alineatului (3) nu mai asigură un nivel corespunzător de protecție în sensul alineatului (2), ea revizuiește această decizie. |
Amendamentul 301 Propunere de regulament Articolul 42 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie. |
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41 sau a decis că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu alineatul (5) din articolul respectiv, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale care transferă date la nivel internațional numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie și, după caz, în urma efectuării unei evaluări de impact, în cazul în care operatorul sau persoana împuternicită de acesta s-a asigurat că destinatarul datelor din țara terță aplică standarde ridicate de protecție a datelor. |
|
|
Aceste garanții asigură cel puțin respectarea principiilor privind prelucrarea datelor cu caracter personal prevăzute la articolul 5 și a drepturilor persoanelor vizate, prevăzute în capitolul III. |
Amendamentul 302 Propunere de regulament Articolul 42 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) clauze standard de protecție a datelor adoptate de Comisie. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2); sau |
(b) clauze standard de protecție a datelor, între operator sau persoana împuternicită de către operator și destinatar, care poate fi un subcontractant, pentru datele din afara SEE, care pot include termeni standard privind transferurile ulterioare în afara SEE, adoptate de Comisie. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2); sau |
Justificare | |
Această adăugire este importantă în vederea clarificării relației dintre operatori, persoanele împuternicite de către operatori și subcontractanți în contextul transferurilor internaționale de date. | |
Amendamentul 303 Propunere de regulament Articolul 42 – alineatul 2 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b); sau |
(c) clauze standard de protecție a datelor, între operator sau persoana împuternicită de către operator și destinatar, care poate fi un subcontractant, pentru datele din afara SEE, care pot include termeni standard privind transferurile ulterioare în afara SEE, adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b); sau |
Justificare | |
Această adăugire este importantă în vederea clarificării relației dintre operatori, persoanele împuternicite de către operatori și subcontractanți în contextul transferurilor internaționale de date. | |
Amendamentul 304 Propunere de regulament Articolul 42 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4). |
(d) clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4); sau |
Amendamentul 305 Propunere de regulament Articolul 42 – alineatul 2 – litera da (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(da) clauze contractuale între operator sau persoana împuternicită de operator și destinatarul datelor, suplimentare față de clauzele standard privind protecția datelor menționate la literele (b) și (c) din acest alineat și care sunt autorizate de autoritatea de supraveghere competentă în conformitate cu alineatul (4); |
Justificare | |
Acest amendament ar încuraja organizațiile să depășească cerințele de reglementare de bază în sensul respectării unor regimuri precum „data seal” (sigiliul datelor) sau „trust mark” (marcă de încredere). | |
Amendamentul 306 Propunere de regulament Articolul 42 – alineatul 2 – litera db (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(db) măsurile prevăzute la articolul 83 alineatul (4), în scopuri istorice, statistice sau științifice; |
Amendamentul 307 Propunere de regulament Articolul 42 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Transferul realizat în baza clauzelor standard de protecție a datelor sau a regulilor corporatiste obligatorii menționate la alineatul (2) literele (a), (b) sau (c) nu necesită o altă autorizare suplimentară. |
(3) Transferul realizat în conformitate cu alineatul (2) literele (a), (b), (c) sau (e) nu necesită o altă autorizare suplimentară. |
Justificare | |
Transferurile în scopuri de cercetare ale datelor codificate care nu pot și nu vor fi reidentificate de către destinatarii aflați în țările terțe ar trebui să fie permise fără sarcini administrative suplimentare. | |
Amendamentul 308 Propunere de regulament Articolul 42 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Atunci când transferul se realizează în baza unor clauzele contractuale, astfel cum se menționează în prezentul articol la alineatul (2) litera (d), operatorul sau persoana împuternicită de către operator obține de la autoritatea de supraveghere autorizarea prealabilă pentru clauzele contractuale, în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. |
(4) Operatorul sau persoana împuternicită de către operator obține de la autoritatea de supraveghere competentă autorizarea prealabilă pentru clauzele contractuale, în conformitate cu articolul 34 alineatul (1), pentru transferurile în baza acestui articol. Dacă transferul are legătură cu activitățile de prelucrare care afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere competentă aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. |
Amendamentul 309 Propunere de regulament Articolul 42 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) Un operator sau o persoană împuternicită de către operator poate opta pentru stabilirea transferurilor în funcție de clauzele standard privind protecția datelor menționate la alineatul (2) literele (b) și (c) și poate oferi, suplimentar față de aceste clauze standard, angajamente suplimentare cu forță juridică obligatorie, aplicabile datelor transferate. În aceste cazuri, astfel de angajamente suplimentare fac obiectul unor consultări prealabile cu autoritatea de supraveghere competentă și completează clauzele standard, fără a le contrazice în mod direct sau indirect. Statele membre, autoritățile de supraveghere și Comisia încurajează utilizarea angajamentelor suplimentare cu forță juridică obligatorie, punând la dispoziția operatorilor și a persoanelor împuternicite de către operatori care adoptă aceste garanții superioare un sigiliu, o marcă sau un mecanism de protecție a datelor, adoptate în conformitate cu articolul 39. |
Justificare | |
Operatorii și persoanele împuternicite de către operatori beneficiază deseori de experiențe directe și practice care arată că garanțiile suplimentare pot fi adecvate pentru datele cu caracter personal pe care le transferă. Regulamentul ar trebui să îi încurajeze pe acești operatori și pe persoanele împuternicite de către operatori să ofere garanții suplimentare în situațiile în care acestea sunt adecvate. Aceste angajamente suplimentare nu ar trebui să contravină clauzelor standard. | |
Amendamentul 310 Propunere de regulament Articolul 42 – alineatul 4 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4b) Pentru a încuraja utilizarea clauzelor contractuale suplimentare menționate la alineatul (2) litera (e) din prezentul articol, autoritățile competente pot pune la dispoziția operatorilor și a persoanelor împuternicite de către operatori care adoptă aceste garanții un sigiliu, o marcă sau un mecanism de protecție a datelor, adoptate în conformitate cu articolul 39. |
Justificare | |
Acest amendament are drept scop încurajarea utilizării sigiliilor de protecție a datelor sau a mărcilor de încredere suplimentare. | |
Amendamentul 311 Propunere de regulament Articolul 43 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, autoritatea de supraveghere aprobă regulile corporatiste obligatorii, cu condiția ca acestea: |
(1) Autoritatea de supraveghere competentă autorizează, printr-un singur act de aprobare, regulile corporatiste obligatorii pentru un grup de întreprinderi. Aceste reguli vor permite transferuri internaționale multiple între companii, în interiorul și în afara Europei, cu condiția ca acestea: |
Amendamentul 312 Propunere de regulament Articolul 43 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului sau al persoanei împuternicite de către operator și să includă și pe salariații acestora; |
(a) să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului sau al persoanei împuternicite de către operator și subcontractanților externi ai acestora și să includă și pe salariații acestora; |
Justificare | |
În cadrul serviciilor de „cloud computing” (informatică dematerializată), furnizorii apelează deseori la subcontractanți externi pentru realizarea unei activități specifice în vederea asigurării permanente a serviciilor și întreținerii. Prin urmare, aceste situații ar trebui să fie recunoscute de către autoritatea de supraveghere în regulile corporatiste obligatorii. | |
Amendamentul 313 Propunere de regulament Articolul 43 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) să confere, în mod expres, drepturi opozabile persoanelor vizate; |
(b) să confere, în mod expres, drepturi opozabile persoanelor vizate și să fie transparente pentru acestea; |
Amendamentul 314 Propunere de regulament Articolul 43 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) structura și datele de contact ale grupului de întreprinderi și membrii din componența sa; |
(a) structura și datele de contact ale grupului de întreprinderi și membrii din componența sa, precum și subcontractanții externi ai acestora; |
Amendamentul 315 Propunere de regulament Articolul 43 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză. |
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, inclusiv transparența pentru persoanele vizate, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză. |
Amendamentul 316 Propunere de regulament Articolul 44 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Derogări |
Alte motive legitime pentru transferuri internaționale |
Amendamentul 317 Propunere de regulament Articolul 44 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41, sau a unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care: |
(1) În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41 sau în cazul în care Comisia decide că o țară terță sau un teritoriu ori un sector de prelucrare din respectiva țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu articolul 41 alineatul (5) sau în absența unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care: |
Amendamentul 318 Propunere de regulament Articolul 44 – alineatul 1 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, nu poate fi considerat frecvent sau voluminos, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar. |
(h) transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar. |
Justificare | |
În societatea de astăzi, în care datele ocupă un loc central, nu se justifică evidențierea transferurilor voluminoase sau frecvente, deoarece acest lucru nu corespunde realităților aferente fluxurilor de date și, prin urmare, ar contrazice obiectivul garantării unui flux liber al datelor. | |
Amendamentul 319 Propunere de regulament Articolul 44 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul. |
(5) Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în cadrul convențiilor internaționale, în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul. Această derogare se utilizează doar pentru transferurile ocazionale. În toate situațiile, este necesară realizarea unei evaluări atente a tuturor circumstanțelor transferului. |
Amendamentul 320 Propunere de regulament Articolul 44 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Operatorul sau persoana împuternicită de către operator consemnează evaluarea și garanțiile corespunzătoare oferite prevăzute la alineatul (1) litera (h) de la prezentul articol, în documentele prevăzute la articolul 28 și informează autoritatea de supraveghere cu privire la transfer. |
eliminat |
Amendamentul 321 Propunere de regulament Articolul 44 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii „motivelor importante, de interes public”, în sensul alineatului (1) litera (d), precum și a criteriilor și cerințelor aplicabile garanțiilor corespunzătoare prevăzute la alineatul (1) litera (h). |
eliminat |
Amendamentul 322 Propunere de regulament Articolul 46 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Dispozițiile din fiecare stat membru prevăd că una sau mai multe autorități publice sunt responsabile de monitorizarea aplicării prezentului regulament și de contribuția la aplicarea uniformă a regulamentului în întreaga Uniune, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ale acestora și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii. În acest sens, autoritățile de supraveghere cooperează între ele și cu Comisia. |
(1) Dispozițiile din fiecare stat membru prevăd o autoritate publică principală de supraveghere, responsabilă de monitorizarea aplicării prezentului regulament și de contribuția la aplicarea uniformă a regulamentului în întreaga Uniune, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ale acestora și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii. În acest sens, autoritățile de supraveghere cooperează între ele și cu Comisia. |
Justificare | |
Ar trebui desemnată în mod clar o autoritate principală de supraveghere, pentru a raționaliza implementarea unui adevărat ghișeu unic. | |
Amendamentul 323 Propunere de regulament Articolul 46 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în special cele prevăzute la articolul 79 alineatele (4), (5) și (6). Autoritățile de supraveghere nu pot emite sancțiuni decât pentru operatorii sau persoanele împuternicite de operatori care își au sediul principal în același stat membru sau, în coordonare cu articolele 56 și 57, dacă autoritatea de supraveghere a sediului principal nu ia măsuri. |
Justificare | |
Clarifică și subliniază rolul autorităților de supraveghere în ceea ce privește sancțiunile. | |
Amendamentul 324 Propunere de regulament Articolul 47 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Autoritatea de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate. |
(1) Autoritatea de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate, fără a aduce atingere aranjamentelor privind cooperarea și coerența, menționate la Capitolul VII. |
Justificare | |
Trebuie acordată atenția cuvenită obligațiilor autorităților de supraveghere una față de cealaltă din cadrul mecanismului pentru asigurarea coerenței. | |
Amendamentul 325 Propunere de regulament Articolul 48 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre prevăd dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți fie de parlament, fie de guvernul statului membru în cauză. |
(1) Statele membre prevăd dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți de parlamentul statului membru în cauză. |
Amendamentul 326 Propunere de regulament Articolul 51 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Atunci când prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator, din Uniune, iar operatorul sau persoană împuternicită de către operator are unități pe teritoriul mai multor state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator are competența supravegherii activităților de prelucrare desfășurate de operator sau de persoana împuternicită de către operator în toate statele membre, fără a aduce atingere dispozițiilor capitolului VII din prezentul regulament. |
(2) Atunci când se aplică prezentul regulament în conformitate cu articolul 3 alineatul (1), autoritatea de supraveghere competentă este autoritatea de supraveghere din statul membru sau din teritoriul unde se află principala unitate a operatorului sau a persoanei împuternicite de către operator ce face obiectul prezentului regulament. Litigiile se soluționează în conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, fără a aduce atingere celorlalte dispoziții ale capitolului VII din prezentul regulament. |
Amendamentul 327 Propunere de regulament Articolul 51 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Atunci când se aplică prezentul regulament în conformitate cu articolul 3 alineatul (2), autoritatea de supraveghere competentă este autoritatea de supraveghere din statul membru sau din teritoriul unde operatorul a desemnat un reprezentant în Uniune, în conformitate cu articolul 25. |
Amendamentul 328 Propunere de regulament Articolul 51 – alineatul 2 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2b) Atunci când prezentul regulament se aplică mai multor operatori și/sau persoane împuternicite de către operatori pentru același grup de întreprinderi, în conformitate cu articolul 3 alineatele (1) și (2), este competentă o singură autoritate de supraveghere, ce va fi stabilită în conformitate cu articolul 51 alineatul (2). |
Amendamentul 329 Propunere de regulament Articolul 52 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) La cerere, autoritatea de supraveghere oferă consiliere oricărei persoane vizate în exercitarea drepturilor în conformitate cu prezentul regulament și, dacă este cazul, cooperează cu autoritățile de supraveghere din alte state membre în acest scop. |
(3) La cerere, autoritatea de supraveghere competentă oferă consiliere oricărei persoane vizate în exercitarea drepturilor în conformitate cu prezentul regulament și, dacă este cazul, cooperează cu autoritățile de supraveghere din alte state membre în acest scop. |
Amendamentul 330 Propunere de regulament Articolul 53 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare autoritate de supraveghere este abilitată: |
(1) Autoritatea de supraveghere competentă este abilitată: |
Amendamentul 331 Propunere de regulament Articolul 53 – alineatul 1 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) să asigure respectarea autorizațiilor prealabile și a consultărilor prealabile prevăzute la articolul 34; |
(d) să asigure respectarea consultărilor prealabile prevăzute la articolul 34; |
Amendamentul 332 Propunere de regulament Articolul 53 – alineatul 1 – litera ja (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ja) să informeze operatorul și/sau persoana împuternicită de către operator cu privire la căile de atac disponibile împotriva deciziei sale. |
Justificare | |
Dispozițiile privind competențele autorității de supraveghere împotriva operatorului și/sau a persoanei împuternicite de către operator ar trebui completate cu garanții juridice explicite pentru operatori și/sau persoanele împuternicite de către operator. | |
Amendamentul 333 Propunere de regulament Articolul 53 – alineatul 2 – paragraful 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator: |
(2) Autoritatea de supraveghere competentă are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator: |
Amendamentul 334 Propunere de regulament Articolul 53 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Fiecare autoritate de supraveghere este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2). |
(3) Autoritatea de supraveghere competentă este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2). |
Amendamentul 335 Propunere de regulament Articolul 53 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în special cele prevăzute la articolul 79 alineatele (4), (5) și (6). |
(4) Autoritatea de supraveghere competentă poate sancționa contravențiile de natură administrativă, în special cele prevăzute la articolul 79 alineatele (4), (5) și (6). |
Amendamentul 336 Propunere de regulament Articolul 55 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de autorizare și consultare prealabile, inspecții și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora atunci când persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare. |
(1) Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de consultare prealabilă, inspecții și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora atunci când persoanele vizate în mai multe state membre sunt susceptibile de a produce efecte juridice în dauna persoanelor vizate. |
Amendamentul 337 Propunere de regulament Articolul 55 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Fiecare autoritate de supraveghere ia toate măsurile corespunzătoare necesare pentru a răspunde solicitării din partea altei autorități de supraveghere, fără întârziere și cel târziu în termen de o lună de la data primirii cererii. Aceste măsuri pot include, în special, transmiterea informațiilor relevante privind cursul unei anchete sau măsuri de aplicare a legii pentru a pune capăt sau a interzice operațiunile de prelucrare care încalcă dispozițiile prezentului regulament. |
(2) Fiecare autoritate de supraveghere ia toate măsurile corespunzătoare necesare pentru a răspunde solicitării din partea altei autorități de supraveghere, fără întârziere și cel târziu în termen de o lună de la data primirii cererii. Aceste măsuri pot include, în special, transmiterea informațiilor relevante privind cursul unei anchete sau măsuri de aplicare a legii pentru a pune capăt sau a interzice operațiunile de prelucrare despre care s-a demonstrat că încalcă dispozițiile prezentului regulament. |
Amendamentul 338 Propunere de regulament Articolul 56 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Autoritățile de supraveghere definesc aspectele practice ale acțiunilor specifice de cooperare. |
(4) Autoritățile de supraveghere definesc aspectele practice ale acțiunilor specifice de cooperare în cadrul regulamentelor lor de procedură. Regulamentele de procedură se publică în Jurnalul Oficial al Uniunii Europene. |
Amendamentul 339 Propunere de regulament Articolul 58 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Înainte de a adopta o măsură menționată la alineatul (2), o autoritate de supraveghere comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei. |
(1) Înainte de a adopta o măsură menționată la alineatul (2), autoritatea de supraveghere competentă comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei. |
Amendamentul 340 Propunere de regulament Articolul 58 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) se referă la activități de prelucrare legate de furnizarea de bunuri sau servicii persoanelor vizate în mai multe state membre, sau de monitorizarea comportamentului acestora; sau |
(a) se referă la activități de prelucrare a datelor cu caracter personal legate de furnizarea de bunuri sau servicii persoanelor vizate în mai multe state membre, atunci când operatorul sau persoana împuternicită de către operator din afara SEE nu desemnează un reprezentant pe teritoriul SEE; sau |
Justificare | |
Aceasta ar trebui să determine întreprinderile din afara UE să numească un reprezentant pe teritoriul UE. Nu ar trebui să se facă discriminări împotriva companiilor din afara UE cu sediul în UE. | |
Amendamentul 341 Propunere de regulament Articolul 58 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii; sau |
eliminat |
Amendamentul 342 Propunere de regulament Articolul 58 – alineatul 2 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) vizează adoptarea unei liste de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34 alineatul (5); sau |
eliminat |
Justificare | |
A se vedea amendamentele la articolul 34 privind consultarea prealabilă: cerința de a întocmi liste și de a le supune mecanismului pentru asigurarea coerenței este mult prea birocratică și defavorabilă inovării. | |
Amendamentul 343 Propunere de regulament Articolul 58 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) vizează determinarea clauzelor standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (c); sau |
eliminat |
Amendamentul 344 Propunere de regulament Articolul 58 – alineatul 2 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) vizează autorizarea clauzelor contractuale menționate la articolul 42 alineatul (2) litera (d); sau |
eliminat |
Amendamentul 345 Propunere de regulament Articolul 58 – alineatul 2 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 43. |
eliminat |
Justificare | |
APD-urile ar trebui să aibă competența de a concepe reguli corporatiste obligatorii în temeiul regulamentului, fără a trebui să le supună mecanismului pentru asigurarea coerenței. | |
Amendamentul 346 Propunere de regulament Articolul 58 – alineatul 2 – litera fa (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fa) permite prelucrarea în scopul cercetării, în conformitate cu articolul 81 alineatul (3) și/sau articolul 83 alineatul (3). |
Amendamentul 347 Propunere de regulament Articolul 58 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56. |
(3) Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care autoritatea competentă nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56. |
Amendamentul 348 Propunere de regulament Articolul 58 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței. |
(4) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita din proprie inițiativă și solicită, la cererea unei părți interesate, ca orice chestiune să fie abordată în cadrul mecanismului pentru asigurarea coerenței. |
Justificare | |
Atunci când există incoerențe în aplicarea regulamentului, care pun în pericol aplicarea armonizată și afectează anumite părți interesate, acestea din urmă ar trebui să aibă dreptul de a-și integra preocupările în cadrul mecanismului de asigurare a coerenței. | |
Amendamentul 349 Propunere de regulament Articolul 58 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Președintele Comitetului european pentru protecția datelor informează fără întârziere pe cale electronică membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Președintele Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar. |
(6) Președintele Comitetului european pentru protecția datelor informează fără întârzieri nejustificate pe cale electronică membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Președintele Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar. |
Amendamentul 350 Propunere de regulament Articolul 58 – alineatul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
(8) Autoritatea de supraveghere menționată la alineatul (1) și autoritatea de supraveghere competentă în conformitate cu articolul 51 țin seama de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la avizul președintelui Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. |
(8) Autoritatea de supraveghere competentă menționată la alineatul (1) ține seama de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la avizul președintelui Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. |
Amendamentul 351 Propunere de regulament Articolul 61 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, în special când există pericolul ca exercitarea dreptului persoanei vizate ar putea fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante sau din alte motive, prin derogare de la procedura menționată la articolul 58, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei. |
(1) În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, când există pericolul ca exercitarea dreptului persoanei vizate ar putea fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante, prin derogare de la procedura menționată la articolul 58, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Această autoritate de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, autorității de supraveghere competente, Comitetului european pentru protecția datelor, Comisiei și operatorului sau persoanei împuternicite de operator. |
Amendamentul 352 Propunere de regulament Articolul 61 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care o autoritate de supraveghere a adoptat o măsură în temeiul alineatului (1) și consideră că trebuie adoptate de urgență măsuri definitive, aceasta poate solicita un aviz de urgență din partea Comitetului european pentru protecția datelor, indicând motivele pentru solicitarea unui astfel de aviz, inclusiv pentru caracterul urgent al măsurilor definitive. |
(2) În cazul în care o autoritate de supraveghere a adoptat o măsură în temeiul alineatului (1), aceasta solicită un aviz de urgență din partea Comitetului european pentru protecția datelor, indicând motivele pentru solicitare, inclusiv pentru caracterul urgent al măsurilor definitive. |
Amendamentul 353 Propunere de regulament Articolul 62 – alineatul 1 – paragraful 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) a decide privind aplicarea corectă a prezentului regulament, în conformitate cu obiectivele și cerințele acestuia în ceea ce privește aspectele comunicate de către autoritățile de supraveghere în temeiul articolului 58 sau 61, privind o chestiune în legătură cu care a fost adoptată o decizie motivată în temeiul articolului 60 alineatul (1), sau privind o chestiune în legătură cu care o autoritate de supraveghere nu prezintă un proiect de măsură și respectiva autoritate de supraveghere a indicat că nu intenționează să urmeze avizul Comisiei adoptat în temeiul articolului 59; |
eliminat |
Amendamentul 354 Propunere de regulament Articolul 66 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă sau la solicitarea Comisiei, Comitetul european pentru protecția datelor are, în special, următoarele sarcini: |
(1) Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă, la solicitarea Comisiei sau a altor părți interesate, Comitetul european pentru protecția datelor are, în special, următoarele sarcini: |
Amendamentul 355 Propunere de regulament Articolul 66 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) să ofere Comisiei consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament; |
(a) să ofere instituțiilor europene consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament; |
Amendamentul 356 Propunere de regulament Articolul 66 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi sau la cererea Comisiei, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament; |
(b) să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi, a Comisiei sau a altor părți interesate, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament; |
Amendamentul 357 Propunere de regulament Articolul 66 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) Dacă este cazul, Comitetul european pentru protecția datelor se consultă cu părțile interesate și le oferă oportunitatea de a transmite observații într-un termen rezonabil, în exercitarea sarcinilor sale prevăzute la prezentul articol. Fără a aduce atingere dispozițiilor articolului 72, Comitetul european pentru protecția datelor pune la dispoziția publicului rezultatele procedurii de consultare. |
Justificare | |
Înainte de a adopta avizele și rapoartele, Comitetul ar trebui să consulte părțile interesate și să le ofere oportunitatea de a formula observații într-un termen rezonabil pentru alte domenii de reglementare. | |
Amendamentul 358 Propunere de regulament Articolul 68 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Comitetul european pentru protecția datelor își adoptă propriul regulament de procedură și își organizează propriile mecanisme de funcționare. În special, prevede dispoziții privind continuarea exercitării funcțiilor atunci când mandatul unui membru se încheie sau un membru demisionează, privind crearea de subgrupuri pentru aspecte și sectoare specifice și privind procedurile sale în ceea ce privește mecanismul pentru asigurarea coerenței menționat la articolul 57. |
(2) Comitetul european pentru protecția datelor își adoptă propriul regulament de procedură și își organizează propriile mecanisme de funcționare. În special, prevede dispoziții privind continuarea exercitării funcțiilor atunci când mandatul unui membru se încheie sau un membru demisionează, privind crearea de subgrupuri pentru aspecte și sectoare specifice și privind procedurile sale în ceea ce privește mecanismul pentru asigurarea coerenței menționat la articolul 57 și garanțiile juridice aplicabile operatorilor sau persoanelor împuternicite de operator în cauză. |
Justificare | |
Nu există garanții juridice explicite pentru operatorii sau persoanele împuternicite de operator în cauză. | |
Amendamentul 359 Propunere de regulament Articolul 69 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Mandatul președintelui și al vicepreședinților este de cinci ani și poate fi prelungit. |
(2) Mandatul președintelui și al vicepreședinților este de cinci ani și poate fi reînnoit. Aceștia pot fi revocați printr-o decizie a Parlamentului European adoptată cu o majoritate de două treimi din voturile exprimate și de majoritatea deputaților. |
Amendamentul 360 Propunere de regulament Articolul 73 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal. |
(2) Orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate din rândul membrilor săi, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal și dacă dispune de o finanțare minimă de 80 000 EUR și de o reprezentativitate a membrilor cu o structură corespunzătoare bazată pe reprezentare. |
Justificare | |
O finanțare minimă și o structură bazată pe reprezentare sunt necesare pentru a garanta că măsurile colective nu se utilizează abuziv și pentru a evita o situație în care se creează asociații special în acest scop, precum și pentru a asigura acoperirea minimă a onorariilor avocaților și a costurilor procedurilor judiciare. | |
Amendamentul 361 Propunere de regulament Articolul 75 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică care acționează în exercitarea competențelor sale publice. |
(2) Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică care acționează în exercitarea competențelor sale publice. Derogarea prevăzută la a doua teză nu se aplică în cazul unei autorități publice dintr-o țară terță. |
Amendamentul 362 Propunere de regulament Articolul 76 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74 și 75 în numele uneia sau mai multor persoane vizate. |
(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolul 74 în numele uneia sau mai multor persoane vizate. Cererile prevăzute la articolul 77 nu pot fi formulate de organismele, organizațiile sau asociațiile menționate la articolul 73 alineatul (2). |
Amendamentul 363 Propunere de regulament Articolul 77 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice persoană care a suferit prejudicii ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. |
(1) Orice persoană care a suferit prejudicii ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină despăgubiri de la operator pentru prejudiciul suferit. |
Amendamentul 364 Propunere de regulament Articolul 77 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului. |
(2) În cazul în care la prelucrare au participat mai mulți operatori, fiecare operator este responsabil în mod solidar pentru întreaga valoare a prejudiciului, în măsura în care răspunderea operatorilor asociați nu a fost stabilită în acordul juridic menționat la articolul 24. În cazul unui grup de întreprinderi, întregul grup va fi răspunzător ca entitate economică unitară. |
Amendamentul 365 Propunere de regulament Articolul 77 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Operatorul sau persoana împuternicită de operator poate fi total sau parțial exonerată de această răspundere, în cazul în care operatorul sau persoana împuternicită de acesta dovedește că nu este responsabilă pentru fapta care a provocat prejudiciul. |
(3) Operatorul poate fi total sau parțial exonerat de această răspundere, în cazul în care dovedește că nu este responsabil pentru fapta care a provocat prejudiciul. |
Amendamentul 366 Propunere de regulament Articolul 79 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. |
(1) Autoritatea de supraveghere competentă este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. |
Amendamentul 367 Propunere de regulament Articolul 79 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării. |
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de caracterul sensibil al datelor în cauză, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de prejudiciu creat de încălcare, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării. Deși se prevede o anumită discreție în impunerea acestor sancțiuni, în funcție de circumstanțele menționate mai sus și de alte fapte specifice situației, divergențele în aplicarea sancțiunilor administrative pot face obiectul unui control în conformitate cu mecanismul de asigurare a coerenței. După caz, autoritatea de protecție a datelor este, de asemenea, împuternicită să solicite desemnarea unei persoane responsabile cu protecția datelor în cazul în care organismul, organizația sau asociația a ales să nu facă acest lucru. |
Amendamentul 368 Propunere de regulament Articolul 79 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Circumstanțele agravante care justifică limitele superioare ale amenzilor administrative stabilite la alineatele (4)-(6) includ, în special: |
|
|
(i) încălcări repetate comise cu nesocotirea flagrantă a legislației aplicabile; |
|
|
(ii) refuzul de a coopera sau obstrucționarea unei proceduri de aplicare; |
|
|
(iii) încălcări intenționate, grave și care pot cauza daune importante; |
|
|
(iv) nerealizarea unei evaluări de impact asupra protecției datelor; |
|
|
(v) nedesemnarea unui responsabil cu protecția datelor. |
Amendamentul 369 Propunere de regulament Articolul 79 – alineatul 2 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2b) Circumstanțele atenuante care justifică limitele inferioare ale amenzilor administrative stabilite la alineatele (4)-(6) includ: |
|
|
(i) măsuri adoptate de persoana fizică sau juridică pentru a asigura respectarea obligațiilor pertinente; |
|
|
(ii) o reală incertitudine că activitatea a constituit sau nu o încălcare a obligațiilor pertinente; |
|
|
(iii) încetarea imediată a încălcării la aflarea acesteia; |
|
|
(iv) cooperarea cu orice procedură de aplicare; |
|
|
(v) realizarea unei evaluări de impact asupra protecției datelor; |
|
|
(vi) desemnarea unui responsabil cu protecția datelor. |
Amendamentul 370 Propunere de regulament Articolul 79 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) În cazul primei încălcări neintenționate a dispozițiilor prezentului regulament, se poate transmite o avertizare în scris, fără impunerea vreunei sancțiuni, atunci când: |
(3) Autoritatea de supraveghere poate transmite o avertizare în scris, fără impunerea vreunei sancțiuni. Autoritatea de supraveghere poate impune, în cazul încălcărilor repetate și intenționate, o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 1% din cifra sa de afaceri anuală la nivel mondial. |
|
(a) o persoană fizică prelucrează date cu caracter personal fără vreun interes comercial; sau |
|
|
(b) o întreprindere sau o organizație cu mai puțin de 250 de angajați prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale. |
|
Justificare | |
Trebuie specificată valoarea maximă a amenzii pe care o poate impune o autoritate de supraveghere și care se poate ridica la 1 000 000 EUR sau, în cazul întreprinderilor, la 1% din cifra lor de afaceri anuală mondială. Totodată, trebuie menținută independența autorităților de supraveghere consacrată la articolul 8 alineatul (3) din Carta drepturilor fundamentale a UE. În plus, mecanismul pentru asigurarea coerenței, îndeosebi articolul 58 alineatele (3) și (4), ar putea contribui la o politică armonizată în cadrul UE în materie de sancțiuni administrative. | |
Amendamentul 371 Propunere de regulament Articolul 79 – alineatul 4 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Autoritatea de supraveghere impune o amendă de până la 250.000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
eliminat |
Amendamentul 372 Propunere de regulament Articolul 79 – alineatul 4 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) nu prevede mecanisme care să permită persoanelor vizate să formuleze solicitări sau nu răspunde prompt sau nu în forma adecvată persoanelor vizate, în temeiul articolului 12 alineatele (1) și (2); |
eliminat |
Amendamentul 373 Propunere de regulament Articolul 79 – alineatul 4 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) percepe o taxă pentru informații sau pentru răspunsurile la solicitările persoanelor vizate, încălcând articolul 12 alineatul (4). |
eliminat |
Amendamentul 374 Propunere de regulament Articolul 79 – alineatul 5 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Autoritatea de supraveghere impune o amendă de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
eliminat |
Amendamentul 375 Propunere de regulament Articolul 79 – alineatul 5 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) nu furnizează persoanei vizate informațiile sau furnizează informații incomplete sau nu furnizează informațiile într-un mod suficient de transparent, în conformitate cu articolul 11, articolul 12 alineatul (3) și articolul 14; |
eliminat |
Amendamentul 376 Propunere de regulament Articolul 79 – alineatul 5 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) nu oferă acces persoanei vizate sau nu rectifică datele cu caracter personal în temeiul articolelor 15 și 16 sau nu comunică unui destinatar informațiile relevante, în temeiul articolului 13; |
eliminat |
Amendamentul 377 Propunere de regulament Articolul 79 – alineatul 5 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) nu respectă „dreptul de a fi uitat” ori dreptul la ștergere sau nu instituie mecanisme pentru a asigura că termenele sunt respectate sau nu ia toate măsurile necesare pentru a informa părțile terțe că o persoană vizată solicită ștergerea tuturor linkurilor către datele sale cu caracter personal, sau a tuturor copiilor sau a reproducerilor acestora, în temeiul articolului 17; |
eliminat |
Amendamentul 378 Propunere de regulament Articolul 79 – alineatul 5 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) nu furnizează o copie a datelor cu caracter personal în format electronic sau împiedică persoana vizată să transmită datele cu caracter personal către o altă aplicație, încălcând articolul 18; |
eliminat |
Amendamentul 379 Propunere de regulament Articolul 79 – alineatul 5 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) nu definește sau nu definește suficient responsabilitățile respective cu operatorii asociați în temeiul articolului 24; |
eliminat |
Amendamentul 380 Propunere de regulament Articolul 79 – alineatul 5 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) nu păstrează sau nu păstrează suficient documentația în temeiul articolului 28, articolului 31 alineatul (4) și al articolului 44 alineatul (3); |
eliminat |
Amendamentul 381 Propunere de regulament Articolul 79 – alineatul 5 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
(g) nu respectă, în cazurile în care nu sunt implicate categorii speciale de date, în temeiul articolelor 80, 82 și 83, normele privind libertatea de exprimare sau normele privind prelucrarea în contextul ocupării unui loc de muncă sau condițiile pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică. |
eliminat |
Amendamentul 382 Propunere de regulament Articolul 79 – alineatul 6 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Autoritatea de supraveghere impune o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
eliminat |
Amendamentul 383 Propunere de regulament Articolul 79 – alineatul 6 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) prelucrează datele cu caracter personal fără niciun temei juridic sau fără un temei juridic suficient pentru prelucrare sau nu respectă condițiile privind consimțământul, în temeiul articolelor 6, 7 și 8; |
eliminat |
Amendamentul 384 Propunere de regulament Articolul 79 – alineatul 6 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrează categorii speciale de date, încălcând articolele 9 și 81; |
eliminat |
Amendamentul 385 Propunere de regulament Articolul 79 – alineatul 6 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) nu respectă o opoziție sau nu se conformează cerinței în temeiul articolului 19; |
eliminat |
Amendamentul 386 Propunere de regulament Articolul 79 – alineatul 6 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) nu respectă condițiile legate de măsurile bazate pe crearea de profiluri în temeiul articolului 20; |
eliminat |
Amendamentul 387 Propunere de regulament Articolul 79 – alineatul 6 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) nu adoptă norme interne sau nu pune în aplicare măsuri corespunzătoare pentru a asigura și a demonstra conformitatea în temeiul articolelor 22, 23 și 30; |
eliminat |
Amendamentul 388 Propunere de regulament Articolul 79 – alineatul 6 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) nu desemnează un reprezentant în temeiul articolului 25; |
eliminat |
Amendamentul 389 Propunere de regulament Articolul 79 – alineatul 6 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
(g) prelucrează date cu caracter personal sau dă instrucțiuni de prelucrare a datelor cu caracter personal încălcând obligațiile privind prelucrarea în numele unui operator în temeiul articolelor 26 și 27; |
eliminat |
Amendamentul 390 Propunere de regulament Articolul 79 – alineatul 6 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) nu semnalează sau nu notifică o încălcare a securității datelor cu caracter personal sau nu notifică la timp ori complet autorității de supraveghere sau persoanei vizate încălcarea securității datelor, în temeiul articolelor 31 și 32; |
eliminat |
Amendamentul 391 Propunere de regulament Articolul 79 – alineatul 6 – litera i | |
|
Textul propus de Comisie |
Amendamentul |
|
(i) nu efectuează o evaluare a impactului privind protecția datelor sau prelucrează date cu caracter personal fără autorizare prealabilă sau consultarea prealabilă a autorității de supraveghere în temeiul articolelor 33 și 34; |
eliminat |
Amendamentul 392 Propunere de regulament Articolul 79 – alineatul 6 – litera j | |
|
Textul propus de Comisie |
Amendamentul |
|
(j) nu desemnează un responsabil cu protecția datelor sau nu asigură condițiile pentru îndeplinirea sarcinilor în temeiul articolelor 35, 36 și 37; |
eliminat |
Amendamentul 393 Propunere de regulament Articolul 79 – alineatul 6 – litera k | |
|
Textul propus de Comisie |
Amendamentul |
|
(k) utilizează abuziv sigiliile și mărcile din domeniul protecției datelor, în sensul articolului 39; |
eliminat |
Amendamentul 394 Propunere de regulament Articolul 79 – alineatul 6 – litera l | |
|
Textul propus de Comisie |
Amendamentul |
|
(l) efectuează sau dă instrucțiuni pentru transferarea de date către o țară terță sau o organizație internațională care nu este autorizată printr-o decizie privind caracterul adecvat sau prin garanții adecvate sau printr-o derogare în temeiul articolelor 40-44; |
eliminat |
Amendamentul 395 Propunere de regulament Articolul 79 – alineatul 6 – litera m | |
|
Textul propus de Comisie |
Amendamentul |
|
(m) nu respectă un ordin sau o interdicție temporară sau definitivă privind prelucrarea sau suspendarea fluxurilor de date emisă de autoritatea de supraveghere, în temeiul articolului 53 alineatul (1); |
eliminat |
Amendamentul 396 Propunere de regulament Articolul 79 – alineatul 6 – litera n | |
|
Textul propus de Comisie |
Amendamentul |
|
(n) nu respectă obligațiile de a oferi asistență sau de a răspunde sau de a furniza informațiile relevante autorității de supraveghere sau de a da acesteia acces la clădirile sale, în temeiul articolului 28 alineatul (3), al articolului 29, al articolului 34 alineatul (6) și al articolului 53 alineatul (2); |
eliminat |
Amendamentul 397 Propunere de regulament Articolul 79 – alineatul 6 – litera o | |
|
Textul propus de Comisie |
Amendamentul |
|
(o) nu respectă normele pentru garantarea secretului profesional, în temeiul articolului 84. |
eliminat |
Amendamentul 398 Propunere de regulament Articolul 79 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor amenzilor administrative menționate la alineatele (4), (5) și (6), ținând seama de criteriile menționate la alineatul (2). |
eliminat |
Amendamentul 399 Propunere de regulament Articolul 80 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI și privind cooperarea și coerența de la capitolul VII, pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare. |
(1) Capitolul II (Principiile generale), Capitolul III (Drepturile persoanei vizate), Capitolul IV (Operatorul și persoana împuternicită de către operator), Capitolul V (Transferul datelor cu caracter personal către țări terțe și organizații internaționale), Capitolul VI (Autoritățile de supraveghere independente), Capitolul VII (Cooperarea și coerența), precum și articolele 73, 74, 76 și 79 de la Capitolul VIII (Căi de atac, răspundere și sancțiuni) nu se aplică la prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare. |
Justificare | |
The new draft legislation on data protection takes the form of a regulation and thus is directly applicable. If data protection law applies directly, the freedom of the press exception must also be directly applicable. An implementation by Member States should not lower down the current level of protection. Furthermore, the exemption should be extended to Articles 73, 74, 76 and 79 of Chapter VIII (on Remedies, Liabilities and Sanctions) because these Articles include new elements which go far beyond what is foreseen in the current directive and are not suitable for journalistic activities or pose a serious threat to press freedom. | |
Amendamentul 400 Propunere de regulament Articolul 80 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Comitetul european pentru protecția datelor emite norme cu privire la situațiile în care pot fi necesare astfel de scutiri sau derogări, după consultarea reprezentanților presei, a autorilor și artiștilor, a persoanelor vizate și a organizațiilor relevante ale societății civile. |
Amendamentul 401 Propunere de regulament Articolul 80 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 80a |
|
|
Prelucrarea datelor cu caracter personal și principiul accesului public la documente oficiale |
|
|
Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public pot fi divulgate de către această autoritate sau acest organism în conformitate cu legislația statului membru privind accesul public la documentele oficiale, care stabilește un echilibru între dreptul la protecția datelor cu caracter personal și principiul accesului public la documente oficiale. |
Justificare | |
Este esențial să se asigure că vizibilitatea publică a afacerilor publice nu este afectată în mod nejustificat de normele privind protecția datelor. Astfel cum se arată în avizele AEPD, ale Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și ale FRA, ar trebui să fie garantat principiul accesului public la documente oficiale. | |
Amendamentul 402 Propunere de regulament Articolul 81 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul precizării în continuare a altor motive de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și a unor criterii și cerințe referitoare la garanții în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
eliminat |
Amendamentul 403 Propunere de regulament Articolul 82 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În limitele prezentului regulament, statele membre pot adopta pe cale legislativă norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării, îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. |
(1) Fără a se aduce atingere prezentului regulament, statele membre sau un acord colectiv între angajatori și angajați pot adopta pe cale legislativă sau prin intermediul acordurilor colective dintre angajatori și angajați norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării, îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, al condamnărilor penale, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. |
Amendamentul 404 Propunere de regulament Articolul 82 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
eliminat |
Amendamentul 405 Propunere de regulament Articolul 83 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În limitele prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă: |
(1) Fără a se aduce atingere prezentului regulament, datele cu caracter personal care nu se încadrează în categoriile de date cuprinse la articolul 8 din prezentul regulament pot fi prelucrate în scopuri istorice, statistice sau științifice în conformitate cu articolul 6 alineatul (2) și articolul 9 alineatul (2) litera (i) numai dacă: |
Amendamentul 406 Propunere de regulament Articolul 83 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate; |
(a) aceste scopuri nu pot fi îndeplinite în mod rezonabil prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate; |
Amendamentul 407 Propunere de regulament Articolul 83 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau științifice nu este considerată incompatibilă în temeiul articolului 5 alineatul (1) litera (b), atât timp cât prelucrarea: |
|
|
(a) este supusă condițiilor și garanțiilor din acest articol; și |
|
|
(b) respectă toate celelalte prevederi legislative relevante. |
Amendamentul 408 Propunere de regulament Articolul 83 – alineatul 1 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1b) În limitele prezentului regulament, în special ale prezentului articol, statele membre pot adopta reglementări specifice privind prelucrarea datelor cu caracter personal în scopuri de cercetare științifică, în special de cercetare în domeniul sănătății publice. |
Justificare | |
Reglementările privind protecția datelor la nivelul statelor membre sunt complexe și nuanțate inclusiv în ceea ce privește cercetările în domeniul sănătății publice. Organele legislative din statele membre ar trebui să fie abilitate să mențină sau să adopte măsuri concrete privind controlul etic al cercetărilor în domeniul sănătății publice, desfășurate fără a fi necesar consimțământul persoanei vizate. Controlul etic la nivelul statului membru oferă persoanelor vizate garanția că utilizarea și reutilizarea datelor lor cu caracter personal în scopuri de cercetare este conformă cu valorile societății la momentul respectiv. | |
Amendamentul 409 Propunere de regulament Articolul 83 – alineatul 2 – litera ca (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ca) datele cu caracter personal sunt prelucrate în scopul generării de rapoarte de date agregate, care conțin doar date anonime, date sub pseudonim sau ambele categorii. |
Justificare | |
Scopul acestor rapoarte nu este de a identifica sau de a reidentifica persoanele vizate. Pentru întocmirea unor astfel de rapoarte, seturile de date individuale sunt comasate într-o manieră anonimă, fără niciun impact asupra confidențialității. Datele statistice referitoare la utilizarea internetului sunt un exemplu de rapoarte de date agregate. | |
Amendamentul 410 Propunere de regulament Articolul 83 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Atunci când datele cu caracter personal sunt colectate în scopuri statistice și de sănătate publică, aceste date se anonimizează imediat după sfârșitul colectării datelor, al operațiunilor de verificare și stabilire de corespondențe, cu excepția cazului în care datele de identificare rămân necesare în scopuri statistice1 și de sănătate publică, cum ar fi cercetarea epidemiologică, clinică și translațională. |
|
|
________________________ |
|
|
1 Alineatul (8) din Apendicele la Recomandarea Consiliului nr. R (97) referitoare la protecția datelor personale colectate și prelucrate în scop statistic – Adoptată de Comitetul de Miniștri la 30 septembrie 1997, în cadrul celei de a 602-a reuniuni a miniștrilor adjuncți) |
Justificare | |
Cercetarea epidemiologică se bazează în mare măsură pe utilizarea „datelor conexe” și nu poate fi efectuată cu date complet anonimizate sau pseudonimizate. Cercetarea conexă a reprezentat un lux pentru anumite țări din Uniunea Europeană, în vreme ce măsurile sugerate în prezentul regulament cu caracter obligatoriu fac posibilă încetarea acestui tip de cercetare crucială. | |
Amendamentul 411 Propunere de regulament Articolul 83 – alineatul 2 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2b) Un operator sau o persoană împuternicită de către operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională în scopuri istorice, statistice sau științifice dacă: |
|
|
(a) aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate; |
|
|
(b) destinatarul nu are acces în mod rezonabil la date care permit atribuirea informațiilor unei persoane vizate identificate sau identificabile; și |
|
|
(c) clauzele contractuale dintre operator sau persoana împuternicită de către operator și destinatarul datelor interzic reidentificarea persoanei vizate și limitează prelucrarea în conformitate cu condițiile și garanțiile prevăzute la acest articol. |
Justificare | |
Un destinatar de date codificate, transferate în scopuri de cercetare științifică, nu poate reidentifica persoanele și, conform prezentului amendament, nu are acces la cheia de codificare și i se interzice, prin contract, să reidentifice persoanele vizate. Prezentul amendament ar oficializa un proces care garantează, în mod rezonabil, faptul că datele codificate nu pot și nu vor fi reidentificate de către destinatarii aflați în țările terțe, permițând transferul acestor date fără sarcini administrative suplimentare. | |
Amendamentul 412 Propunere de regulament Articolul 83 – alineatul 2 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2c) Atunci când persoana vizată trebuie să își dea consimțământul pentru prelucrarea datelor medicale exclusiv în scopuri legate de cercetarea în domeniul sănătății publice, persoana vizată poate dispune de opțiunea consimțământului larg în scopuri legate de cercetarea epidemiologică, clinică și translațională. |
Justificare | |
In many fields of medicine and science, it is crucial for researchers to be able to follow the data of a certain patient they have been monitoring. This enables the researchers to understand and constantly improve their search for new treatments and cures. Importantly, epidemiological research involves monitoring populations to decipher trends in lifestyle, genetics, diseases among others, and is crucial for furthering public health research, an example of which is patient registries. Thus record linkage should remain possible, when it comes to the case of using medical data solely for the furthering of public health research, specifically epidemiological, translational and clinical research. With respect to the point on broad consent, the current Directive on Data Protection (95/46/EC) allows for exceptions for the processing of data for public health research and the general aim of the proposed Regulation is to apply the principle of explicit consent for the processing of personal data. For public health research purposes, such as epidemiological, clinical and translational research it becomes virtually impossible to acquire the consent of every single data subject required for research. Public health researchers need to have access to the past, current and future medical records of patients in order to conduct their research. The option of broad consent gives the data subject a measure of control over their data and the option for their data being used for furthering public health research. | |
Amendamentul 413 Propunere de regulament Articolul 83 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul prelucrării datelor cu caracter personal în scopurile menționate la alineatele (1) și (2), precum și a tuturor limitărilor necesare privind drepturile la informare și la acces ale persoanei vizate și care detaliază condițiile și garanțiile pentru drepturile persoanelor vizate în aceste circumstanțe. |
eliminat |
Amendamentul 414 Propunere de regulament Articolul 83 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 83a |
|
|
Prelucrarea datelor referitoare la condamnările penale în scopul prevenirii infracționalității financiare |
|
|
În limitele prezentului regulament și în conformitate cu articolul 9 alineatul (2) litera (j), prelucrarea datelor cu caracter personal referitoare la condamnările penale sau măsurile de securitate aferente este permisă dacă prevede măsurile adecvate pentru a proteja drepturile fundamentale și libertățile persoanelor vizate și are loc: |
|
|
(a) în scopul prevenirii, investigării sau identificării criminalității financiare, sau |
|
|
(a) din motive de interes public, cum ar fi protecția împotriva amenințărilor transfrontaliere ale criminalității financiare, |
|
|
și în orice caz trebuie desfășurată în mod necesar fără a cere consimțământul persoanei vizate, pentru a nu prejudicia aceste scopuri. |
Justificare | |
The amendment adds a provision in order to allow the processing of criminal convictions data for the purpose of the prevention of financial crime. The EU has demonstrated its commitment to fight against financial crime with recent initiatives such as the review of the Anti-Money laundering Directive, the anti-corruption package, the anti-fraud strategy, and the establishment of the European Parliament special committee on organised crime, corruption and money laundering. This provision is therefore a needed complementary measure that will allow an effective fight against financial crime. Finally, no consent should be asked in this scenario as this would not be forthcoming. Actors of financial crime would not be keen in providing consent and this would therefore defeat the purpose of processing the data. | |
Amendamentul 415 Propunere de regulament Articolul 86 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
(2) Delegarea de competențe menționată la articolul 14 alineatul (7), articolul 26 alineatul (5), articolul 33 alineatul (6), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2) și articolul 43 alineatul (3) îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
Amendamentul 416 Propunere de regulament Articolul 89 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Articolul 1 alineatul (2) din Directiva 2002/58/CE se elimină. |
(2) Articolul 1 alineatul (2), articolul 2 literele (b) și (c), articolul 4 alineatele (3), (4) și (5), precum și articolele 6 și 9 din Directiva 2002/58/CE se elimină. |
Amendamentul 417 Propunere de regulament Articolul 90 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Actele delegate și actele de punere în aplicare adoptate de Comisie ar trebui evaluate de către Parlament și Consiliu la fiecare doi ani. |
PROCEDURĂ
|
Titlu |
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) |
||||
|
Referințe |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Comisie competentă în fond Data anunțului în plen |
LIBE 16.2.2012 |
|
|
|
|
|
Aviz emis de către Data anunțului în plen |
ITRE 16.2.2012 |
||||
|
Raportor/Raportoare pentru aviz: Data numirii |
Seán Kelly 14.3.2012 |
||||
|
Examinare în comisie |
31.5.2012 |
28.11.2012 |
23.1.2013 |
|
|
|
Data adoptării |
20.2.2013 |
|
|
|
|
|
Rezultatul votului final |
+: –: 0: |
33 24 1 |
|||
|
Membri titulari prezenți la votul final |
Amelia Andersdotter, Josefa Andrés Barea, Zigmantas Balčytis, Bendt Bendtsen, Jan Březina, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Dimitrios Droutsas, Christian Ehler, Vicky Ford, Gaston Franco, Adam Gierek, Norbert Glante, Fiona Hall, Jacky Hénin, Kent Johansson, Romana Jordan, Krišjānis Kariņš, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Marisa Matias, Angelika Niebler, Jaroslav Paška, Herbert Reul, Teresa Riera Madurell, Michèle Rivasi, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Francisco Sosa Wagner, Konrad Szymański, Britta Thomsen, Patrizia Toia, Evžen Tošenovský, Catherine Trautmann, Marita Ulvskog, Vladimir Urutchev, Adina-Ioana Vălean |
||||
|
Membri supleanți prezenți la votul final |
Lara Comi, Ioan Enciu, Satu Hassi, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Holger Krahmer, Bernd Lange, Werner Langen, Zofija Mazej Kukovič, Vladko Todorov Panayotov, Pavel Poc, Vladimír Remek, Algirdas Saudargas, Silvia-Adriana Țicău |
||||
|
Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final |
Axel Voss |
||||
AVIZ al Comisiei pentru piața internă și protecția consumatorilor (28.1.2013)
destinat Comisiei pentru libertăți civile, justiție și afaceri interne
referitor la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Raportoare pentru aviz: Lara Comi
JUSTIFICARE SUCCINTĂ
Protecția datelor cu caracter personal constituie un drept fundamental. Este necesar ca cetățenii să aibă încredere pentru a beneficia într-o mai mare măsură de mediul online. Abordarea în materie trebuie adusă la zi, pentru a corespunde cu noile instrumente tehnologice și cu fluxurile de date care constituie rezultanta acestora, deoarece dispozițiile în vigoare ale Directivei 95/46/CE nu răspund în întregime nevoilor pieței unice digitale.
Diversitatea care caracterizează modelele de întreprinderi, tehnologiile și serviciile existente, inclusiv cele care prezintă o importanță deosebită în contextul comerțului electronic și al pieței interne, a ridicat o largă gamă de probleme legate de protecția datelor cu caracter personal. Societățile și guvernele utilizează în numeroase cazuri aceste tehnologii fără ca, la nivelul individului, să existe o conștientizare a eventualelor lor consecințe.
La 25 ianuarie 2012, Comisia Europeană a propus un nou regulament[1] și o nouă directivă[2] privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date. Regulamentul propus urmărește să vină în completarea dispozițiilor Directivei privind viața privată și comunicațiile electronice (2002/58/CE) și să acorde o maximă importanță certitudinii și coerenței juridice pentru a se realiza o activitate eficace în acest domeniu la nivelul Uniunii Europene.
Propunerea de regulament urmărește armonizarea drepturilor, asigurarea liberei circulații a informațiilor, reducerea birocrației și o mai bună aplicare. Un climat mai transparent va permite creșterea gradului de încredere, iar noile dispoziții vor spori atractivitatea Uniunii Europene ca destinație pentru întreprinderi. Propunerea de regulament urmărește, de asemenea:
§ să modernizeze sistemul juridic al Uniunii Europene în materie de protecție a datelor cu caracter personal, îndeosebi pentru a răspunde încercărilor care decurg din procesul de globalizare și din utilizarea de noi tehnologii;
§ să consolideze drepturile persoanelor fizice și, totodată, să reducă formalitățile administrative, pentru a asigura o circulație nestingherită a datelor cu caracter personal în UE;
§ să îmbunătățească claritatea și coerența normelor Uniunii Europene în materie de protecție a datelor cu caracter personal și să asigure o aplicare și o respectare consecventă și eficace a acestui drept fundamental în toate domeniile de acțiune ale Uniunii.
Dimensiunea legată de piața internă
Propunerea dispune de un important potențial în ceea ce privește consolidarea pieței interne și crearea unor condiții echitabile de concurență pentru toate întreprinderile care-și desfășoară activitatea în UE. Printre principalele sale elemente figurează:
§ schimbarea instrumentului legislativ (din directivă în regulament);
§ principiul „ghișeului unic” aplicabil autorității de supraveghere competente în cazurile transfrontaliere;
§ principiul pieței (în virtutea căruia standardele Uniunii Europene de protecție a datelor devin aplicabile și pentru întreprinderile stabilite în afara Uniunii Europene în cazul în care desfășoară activități pe teritoriul Uniunii Europene);
§ principiul general al răspunderii publice (care vine în înlocuirea obligației operatorilor sau a persoanelor împuternicite de aceștia de a adresa autorității de reglementare o notificare generală în legătură cu activitățile de prelucrare a datelor cu caracter personal efectuate);
§ consolidarea instrumentelor existente și introducerea unor noi instrumente cu scopul de a se asigura consecvența măsurilor de punere în aplicare și executare din toate statele membre.
Consolidarea drepturilor consumatorilor
În ceea ce privește consolidarea drepturilor consumatorilor, se pare că promovarea transparenței a permis stabilirea unui echilibru între interese opuse, cum ar fi sensibilizarea consumatorilor, autonomia, protecția și piața internă.
S-au adus îmbunătățiri în special în ceea ce privește noțiunea de consimțământ, în calitate de factor de legitimare a prelucrării datelor cu caracter personal, drepturile persoanei vizate, în calitate de instrument puternic de protecție a consumatorilor, și condițiile de garantare a legalității transferurilor de date în afara Uniunii Europene. Cu toate acestea, numeroase secțiuni ale propunerii necesită în continuare perfecționări și clarificări. Această observație este valabilă îndeosebi în ceea ce privește aspectele practice ale punerii în aplicare, mai ales în legătură cu anumite drepturi. Această ambiguitate trebuie depășită, acordându-se o atenție deosebită următoarelor elemente:
§ la articolul 17, trebuie să se precizeze în ce măsură, după ce o persoană vizată a informat un operator de date că dorește să-și exercite dreptul la ștergerea datelor, trebuie șterse și datele deținute de către operatorul de date al terței părți;
§ protecția specifică necesară pentru minorii cu vârste sub 14 ani, întrucât aceștia sunt considerați în continuare drept copii;
§ propunerea de definiție a „datelor cu caracter personal”;
§ rolul pe care anonimizarea și protecția prin utilizarea pseudonimelor îl pot juca în protecția persoanei vizate;
§ perfecționările care ar trebui aduse propunerii în ceea ce privește repartizarea și stabilirea cu precizie a obligațiilor și responsabilităților operatorului de date și ale persoanei împuternicite de către operator;
§ este necesar ca operațiunile de creare de profiluri și diferențele legate de crearea de profiluri în diferite sectoare ale economiei sau în diferite relații juridice ar trebui examinate cu atenție, luându-se în considerare și consecințele unei reglementări excesiv de restrictive în acest domeniu.
Pe baza considerentelor enunțate anterior, raportoarea ar dori să se concentreze asupra următoarelor aspecte:
§ definițiile;
§ drepturile persoanei vizate;
§ obligațiile operatorului de date și ale persoanei împuternicite de acesta în ceea ce privește drepturile consumatorilor;
§ consecvența.
Raportoarea ar dori, de asemenea, să adopte o viziune mai amplă a neutralității tehnologice și să abordeze:
§ principiul limitării scopului;
§ utilizarea actelor delegate și a actelor de punere în aplicare în asociere cu pachetul de măsuri propus; precum și
§ modalitățile practice de punere în aplicare a dispozițiilor.
AMENDAMENTELE
Comisia pentru piața internă și protecția consumatorilor recomandă Comisiei pentru libertăți civile, justiție și afaceri interne, competentă în fond, să includă în raportul său următoarele amendamente:
Amendamentul 1 Propunere de regulament Considerentul 6 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(6a) Trebuie asigurat un echilibru adecvat între protecția vieții private și respectarea pieței unice. Normele referitoare la protecția datelor nu ar trebui să aducă atingere competitivității, inovării și noilor tehnologii. |
Amendamentul 2 Propunere de regulament Considerentul 13 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(13a) Neutralitatea tehnologică ar trebui să presupună, de asemenea, că acte similare, săvârșite în condiții similare și care produc consecințe similare ar trebui să fie echivalente din punct de vedere juridic, indiferent dacă au loc online sau fără conectare la internet, mai puțin în cazul în care diversele dinamici create de prelucrarea datelor în astfel de medii duc la apariția unor diferențe de substanță între acestea. |
Justificare | |
Se impunea un considerent care să stabilească o diferență mai clară între mediul online și cel offline. În lipsa acestuia, unii actori economici ar putea considera că prezentul regulament este destinat expres abordării problematicii specifice mediului online și îndeosebi rețelelor de comunicare socială. | |
Amendamentul 3 Propunere de regulament Considerentul 15 | |
|
Textul propus de Comisie |
Amendamentul |
|
(15) Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale sau casnice, cum ar fi corespondența și repertoriul de adrese, fără niciun scop lucrativ și, prin urmare, fără nicio legătură cu o activitate profesională sau comercială. Exceptarea ar trebui, de asemenea, să nu aplice operatorilor sau persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau casnice. |
(15) Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale sau casnice, cum ar fi corespondența și repertoriul de adrese, fără niciun scop lucrativ și, prin urmare, fără nicio legătură cu o activitate profesională sau comercială și care nu implică acordarea accesului la datele respective unui număr nedeterminat de persoane. Exceptarea ar trebui, de asemenea, să nu aplice operatorilor sau persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau casnice. |
Justificare | |
Este oportun să se clarifice domeniul de aplicare al acestei excepții, mai ales ca urmare a dezvoltării rețelelor sociale care permit împărtășirea informațiilor unor sute de persoane. Curtea de Justiție a Uniunii Europene (CJUE) (cauzele C-101/01 și C-73/07) preconizează accesibilitatea de către „un număr nedeterminat de persoane” drept criteriu de aplicare a acestei excepții. Autoritatea Europeană pentru Protecția Datelor (AEPD) este de aceeași părere. | |
Amendamentul 4 Propunere de regulament Considerentul 23 | |
|
Textul propus de Comisie |
Amendamentul |
|
(23) Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă. |
(23) Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă în mod direct, inclusiv, atunci când este posibil, prin separarea datelor prelucrate de datele care pot dezvălui identitatea. În acest din urmă caz, datele protejate printr-un pseudonim sunt, la rândul lor, utile, cu condiția ca cheia care permite stabilirea unei legături între pseudonim și identitate să fie sigură, în conformitate cu stadiul actual al tehnicilor în materie. |
Justificare | |
Trebuie să se aducă clarificări cu privire la definiția „datelor cu caracter personal”, pentru ca aceasta să capete utilitate atât din perspectiva experienței consumatorului, cât și pentru funcționarea întreprinderilor. În acest domeniu, introducerea pseudonimelor și a datelor anonime este utilă. | |
Amendamentul 5 Propunere de regulament Considerentul 23 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(23a) Un volum important de date cu caracter personal ar putea fi prelucrat în scopul detectării și prevenirii fraudelor. Aceste reclamații, reglementate de legislația statelor membre sau de dreptul Uniunii, ar trebui luate în considerare la evaluarea principiului minimizării datelor și a legalității prelucrării acestora. |
Justificare | |
Prezentul amendament urmărește să sublinieze un principiu care nu contravine prezentului regulament, fără a fi însă enunțat în mod clar. | |
Amendamentul 6 Propunere de regulament Considerentul 23 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(23b) În virtutea principiului protecției implicite a datelor, serviciile și produsele online trebuie să asigure de la bun început un nivel maxim de protecție a informațiilor și datelor cu caracter personal, fără a impune o intervenție în acest sens din partea persoanei vizate. |
Amendamentul 7 Propunere de regulament Considerentul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele. |
(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, ar trebui să se analizeze de la caz la caz și în funcție de evoluțiile tehnologice dacă numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici trebuie neapărat să fie considerați ca atare date cu caracter personal, dar se consideră în consecință în cazul în care sunt prelucrați cu intenția de viza un anumit conținut la nivelul unei anumite persoane sau de a individualiza persoana respectivă în orice alt scop; |
Justificare | |
Având în vedere oferta în creștere de noi servicii online și dezvoltarea tehnologică constantă, trebuie să se asigure un nivel ridicat de protecție a datelor cu caracter personal ale cetățenilor. O analiză de la caz la caz pare, așadar, indispensabilă. | |
Amendamentul 8 Propunere de regulament Considerentul 25 | |
|
Textul propus de Comisie |
Amendamentul |
|
(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. |
(25) Consimțământul ar trebui acordat prin orice metodă corespunzătoare mijlocului de comunicare utilizat care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică, în mod clar în acest context, acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. Informațiile destinate exprimării consimțământului de către copii trebuie formulate într-un limbaj clar și adecvat vârstei, într-un mod care este ușor de înțeles pentru un copil cu vârsta de peste 13 ani. |
Justificare | |
Pentru a facilita anumite situații din viața de zi cu zi, atât online, cât și offline, se impuneau câteva precizări referitoare la cazurile în care consimțământul este implicit, având în vedere contextul. De exemplu: atunci când unui medic i se solicită să pronunțe un diagnostic, această acțiune presupune prelucrarea anumitor date cu caracter personal, fără să aibă loc o acțiune explicită în acest sens, așa cum este definită la începutul prezentului considerent. În aceeași situație, medicul respectiv poate comunica cu un specialist, dacă acest demers este necesar pentru stabilirea diagnosticului, fără a solicita neapărat permisiunea pacientului în acest sens. | |
Amendamentul 9 Propunere de regulament Considerentul 27 | |
|
Textul propus de Comisie |
Amendamentul |
|
(27) Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de către operator ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune. |
(27) Sediul principal al unui operator sau al unei persoane împuternicite de operator în Uniune ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. |
Justificare | |
Prezentul amendament vine în completarea articolului 4 alineatul (13). | |
Amendamentul 10 Propunere de regulament Considerentul 27 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(27a) Reprezentantul răspunde, împreună cu operatorul, de orice comportament care contravine prezentului regulament. |
Justificare | |
Răspunderea reprezentantului nu este suficient de clar enunțată, iar acest considerent contribuie la sublinierea acestei răspunderi. | |
Amendamentul 11 Propunere de regulament Considerentul 29 | |
|
Textul propus de Comisie |
Amendamentul |
|
(29) Copii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului. |
(29) Copii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal și sunt consumatori vulnerabili. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului. Este necesar îndeosebi să se apeleze la un limbaj ușor de înțeles de către copii, pentru a li se garanta copiilor de peste 13 ani dreptul de a-și da consimțământul. |
Amendamentul 12 Propunere de regulament Considerentul 30 | |
|
Textul propus de Comisie |
Amendamentul |
|
(30) Orice prelucrare a datelor cu caracter personal ar trebui să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor. Datele ar trebui să fie adecvate, relevante și limitate la minimum necesar scopurilor în care datele sunt prelucrate; aceasta necesită, în special, asigurarea faptului că datele colectate nu sunt excesive și că perioada pentru care datele sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. |
(30) Orice prelucrare a datelor cu caracter personal ar trebui să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor. Datele ar trebui să fie adecvate, relevante și limitate la minimum necesar scopurilor în care datele sunt prelucrate; aceasta necesită asigurarea faptului că datele colectate nu sunt excesive și că perioada pentru care datele sunt stocate nu este mai îndelungată decât cea necesară în vederea îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. La evaluarea datelor minime necesare din perspectiva scopurilor pentru care sunt prelucrate datele, trebuie să se acorde atenție obligațiilor prevăzute de legislația din alte domenii care impun ca datele prelucrate să fie complete în cazul în care sunt utilizate pentru prevenirea și detectarea fraudelor, confirmarea identității și/sau stabilirea bonității solicitanților de credite. |
Justificare | |
Prezentul amendament urmărește să clarifice obligația operatorilor de a monitoriza datele minime necesare și perioadele de stocare. În plus, amendamentul urmărește să asigure consecvența cu terminologia folosită în prezentul considerent cu cea de la articolul 5 litera (e). De asemenea, se urmărește armonizarea regulamentului cu legislația existentă, precum Directiva privind creditele de consum și contractele de credit referitoare la proprietățile imobiliare, precum și cu bunele practici în vigoare, care necesită o evaluare completă a situației financiare a unui consumator prin evaluarea bonității sale. | |
Amendamentul 13 Propunere de regulament Considerentul 33 | |
|
Textul propus de Comisie |
Amendamentul |
|
(33) Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată. |
(33) Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată. În mod similar, consimțământul nu ar trebui să constituie un temei juridic pentru prelucrarea datelor, în cazul în care persoana vizată nu dispune de un acces distinct la servicii echivalente. |
Amendamentul 14 Propunere de regulament Considerentul 34 | |
|
Textul propus de Comisie |
Amendamentul |
|
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
(34) Consimțământul se acordă în mod liber, iar persoana vizată nu este obligată să-și exprime consimțământul cu privire la prelucrarea datelor sale, în special în cazul în care există un dezechilibru important între persoana vizată și operator. Acest lucru poate fi valabil atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. Cu toate acestea, în cazul în care scopul pentru care se prelucrează datele este în interesul persoanei vizate, iar aceasta din urmă dispune, ulterior, de posibilitatea de a-și retrage consimțământul fără ca acest demers să acționeze în detrimentul său, consimțământul ar trebui să constituie un fundament juridic valabil în vederea prelucrării. |
|
|
În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o nouă obligație care nu este justificată în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
Justificare | |
Dispoziția ar trebui să garanteze persoanei vizate o libertate autentică de a alege, care să-i permită ulterior să-și retragă consimțământul sau să formuleze obiecții cu privire la continuarea prelucrării datelor în orice situație. Ea nu elimină posibilitatea oferită persoanelor fizice de a-și exprima acordul cu privire la prelucrarea datelor, în special în cazul în care scopul acesteia este în interesul lor (de exemplu, atunci când angajatorul oferă o asigurare). Regulamentul nu ar trebui să presupună că exprimarea liberă a consimțământului este imposibilă în cadrul relațiilor de muncă. | |
Amendamentul 15 Propunere de regulament Considerentul 34 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(34a) În cazul în care datele cu caracter personal prelucrate pe baza consimțământului persoanei vizate sunt necesare în vederea prestării unui serviciu, retragerea consimțământului poate constitui un motiv de reziliere a contractului de către prestatorul de servicii. Această dispoziție se aplică îndeosebi în cazul serviciilor prestate cu titlu gratuit consumatorilor. |
Justificare | |
Adding such a recital would have an awareness-raising meaning. Although the possibility to terminate a contract steams from the terms of contract in cases where data processing is necessary for the provision of a service, it is necessary to make users conscious that in some cases data are the currency by which they pay for the service. Auction platforms, for instance, use stored data to examine credibility of those selling with the use of a platform and a mutual evaluation exercised by the users is used by them to attract more potential clients but also to prevent fraud. Withdrawing consent to process such data would run against the whole point of such platforms. Consumers should also be aware that many business models provide access to services "free" of charge in return for the access to some of their personal data. Withdrawing the right to process these data can therefore result in no access to the service. | |
Amendamentul 16 Propunere de regulament Considerentul 38 | |
|
Textul propus de Comisie |
Amendamentul |
|
(38) Interesele legitime ale unui operator pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
(38) Interesele legitime ale unei persoane vizate pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul sau terții cărora le sunt comunicate datele ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
Justificare | |
Raportoarea propune păstrarea formulării din Directiva 95/46/CE. Reamintim că regulamentul nu vizează doar lumea digitală, ci se va aplica și activităților offline. Pentru a-și finanța activitățile, anumite sectoare, precum cel al editării de ziare, trebuie să utilizeze surse externe pentru a contacta noi abonați potențiali. | |
Amendamentul 17 Propunere de regulament Considerentul 40 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(40a) În general, armonizarea dreptului Uniunii în ceea ce privește protecția datelor nu trebuie să elimine posibilitatea de care dispun statele membre de a aplica o legislație sectorială specifică, printre altele în domeniul cercetării bazate pe registre. |
Justificare | |
Actualul cadru juridic referitor la protecția datelor în UE, și anume Directiva 95/46/CE, acordă statelor membre, în diferite grade, libertatea de a adapta legislația Uniunii Europene la contextele naționale. | |
Amendamentul 18 Propunere de regulament Considerentul 40 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(40b) Posibilitatea de a prelucra într-un alt scop date cu caracter personal poate fi oferită cercetării științifice publice în cazul în care se poate demonstra importanța pe care o prezintă din punct de vedere științific datele colectate. La punerea datelor la dispoziția cercetării științifice publice, trebuie să se țină seama de respectarea vieții private începând cu faza de concepție. |
Amendamentul 19 Propunere de regulament Considerentul 42 | |
|
Textul propus de Comisie |
Amendamentul |
|
(42) Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate sau în scopuri de cercetare istorică, statistică și științifică. |
(42) Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, inclusiv informațiile trimise prin SMS sau prin e-mail cu privire la programările la spitale sau clinici, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate sau în scopuri de cercetare istorică, statistică și științifică. |
Amendamentul 20 Propunere de regulament Considerentul 48 | |
|
Textul propus de Comisie |
Amendamentul |
|
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata stocării datelor, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. |
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, criteriile și/sau obligațiile legale care permit să se stabilească durata stocării datelor, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. |
Justificare | |
Nu se poate ști în prealabil cât timp vor fi păstrate datele cu caracter personal, în măsura în care această durată poate să fie legată de obligații legale specifice. | |
Amendamentul 21 Propunere de regulament Considerentul 49 | |
|
Textul propus de Comisie |
Amendamentul |
|
(49) Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării sau, în cazul în care datele nu sunt colectate de la persoana vizată, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele sunt divulgate pentru prima dată destinatarului. |
(49) Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării sau, în cazul în care datele nu sunt colectate de la persoana vizată, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele sunt divulgate pentru prima dată destinatarului. În același timp, nu ar trebui autorizată nicio prelucrare, cu excepția stocării, înainte ca persoana vizată să fie pe deplin conștientă de informațiile menționate aici. |
Justificare | |
Prezentul amendament este coerent cu amendamentul adus articolului 14 alineatul (4b). | |
Amendamentul 22 Propunere de regulament Considerentul 51 | |
|
Textul propus de Comisie |
Amendamentul |
|
(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, pentru ce perioadă, identitatea destinatarilor datelor, care este logica de prelucrare a datelor și care ar putea fi, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, criteriile care permit să se stabilească durata stocării datelor pentru fiecare scop, identitatea destinatarilor datelor, care este logica de prelucrare a datelor și care ar putea fi, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
Justificare | |
Nu se poate stabili întotdeauna cu precizie durata exactă de stocare a datelor cu caracter personal, în special în cazul stocării lor în scopuri diferite. | |
Amendamentul 23 Propunere de regulament Considerentul 53 | |
|
Textul propus de Comisie |
Amendamentul |
|
(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. |
(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și dreptul la ștergerea acestor date personale în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. De asemenea, dreptul de a fi șters nu se aplică atunci când păstrarea datelor cu caracter personal este necesară pentru executarea unui contract cu persoana vizată, sau atunci când există o cerință normativă de a păstra aceste date sau pentru a preveni criminalitatea financiară. |
Justificare | |
Prezentul amendament corespunde amendamentului adus titlului articolului 17. | |
Amendamentul 24 Propunere de regulament Considerentul 54 | |
|
Textul propus de Comisie |
Amendamentul |
|
(54) Pentru a se consolida „dreptul de a fi uitat” în mediul on-line, dreptul de ștergere ar trebui, de asemenea, să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligația de a informa terții care prelucrează astfel de date că o persoană vizată le solicită să șteargă orice linkuri către datele cu caracter personal respective sau copii sau reproduceri ale acestora. În scopul asigurării acestor informații, operatorul ar trebui să ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil. În legătură cu publicarea datelor cu caracter personal de către un terț, operatorul ar trebui să fie considerat responsabil de publicare, în cazul în care acesta a autorizat publicarea de către terț. |
(54) Pentru a se consolida dreptul la ștergere în mediul on-line, acest drept ar trebui, de asemenea, să fie extins astfel încât un operator care a transferat date cu caracter personal sau le-a făcut publice fără să fi primit instrucțiuni în acest sens din partea persoanei vizate ar trebui să aibă obligația de a informa terții care prelucrează astfel de date că o persoană vizată le solicită să șteargă orice linkuri către datele cu caracter personal respective sau copii sau reproduceri ale acestora. În scopul asigurării acestor informații, operatorul ar trebui să ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil. În legătură cu publicarea datelor cu caracter personal de către un terț, operatorul ar trebui să fie considerat responsabil de publicare, în cazul în care acesta a autorizat publicarea de către terț. |
Justificare | |
Prezentul amendament însoțește amendamentul adus articolului 17 alineatul (2). | |
Amendamentul 25 Propunere de regulament Considerentul 55 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(55a) Anumite date cu caracter personal, odată ce au fost prelucrate de către operatorul de date sau de către persoanele împuternicite de acesta, produc rezultate utilizate doar la nivel intern de către operatorul de date și al căror format nu prezintă niciun interes, nici măcar pentru persoana vizată. În acest caz, nu ar trebui să se aplice dreptul la portabilitatea datelor, în timp ce celelalte drepturi, îndeosebi dreptul de a formula obiecții, dreptul de acces și dreptul la rectificare sunt în continuare valabile. |
Justificare | |
Prin prezentul amendament, se urmărește să se aducă clarificări cu privire la termenul de „importanță”, introdus în amendamentul anterior. | |
Amendamentul 26 Propunere de regulament Considerentul 60 | |
|
Textul propus de Comisie |
Amendamentul |
|
(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. |
(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. |
Justificare | |
Pentru a consolida protecția datelor cu caracter personal, trebuie să se prevadă în mod explicit un principiu general al responsabilității operatorului. | |
Amendamentul 27 Propunere de regulament Considerentul 61 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(61a) Prezentul regulament încurajează întreprinderile să dezvolte programe interne care vor identifica operațiunile de prelucrare care, prin caracterul, domeniul de aplicare sau scopurile lor, pot prezenta riscuri specifice la adresa drepturilor și a libertăților persoanelor vizate, să introducă garanții corespunzătoare cu privire la respectarea vieții private și să elaboreze soluții novatoare de luare în considerare a vieții private începând cu faza de concepție și tehnici de consolidare a acestei protecții. Întreprinderile care pot demonstra în mod public că au integrat responsabilitatea în materie de respectare a vieții private nu au nevoie să aplice, de asemenea, și mecanisme suplimentare de supraveghere, precum consultarea prealabilă și autorizarea prealabilă. |
Justificare | |
Amendamentul aliniază textul la o abordare potrivit căreia responsabilitatea este un proces alternativ care stimulează în mod adecvat bunele practici organizaționale. O astfel de aliniere transferă, de asemenea, povara costurilor legate de conformitate și asigurare către piață mai degrabă decât către buzunarul public. | |
Amendamentul 28 Propunere de regulament Considerentul 61 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(61b) Protecția datelor încă din faza de proiectare constituie un instrument foarte util, deoarece permite persoanei vizate să dispună de un control total asupra protecției propriilor date, a informațiilor pe care le pune la dispoziție și a părților cărora le încredințează aceste informații. Atunci când se analizează gradul de respectare a acestui principiu, precum și a protecției datelor prin definiție, contextul ar trebui să aibă o pondere importantă la evaluarea legalității prelucrării. |
Justificare | |
Prezentul amendament aduce clarificări amendamentelor referitoare la articolul 23 alineatul (2). Se referă la cazurile în care persoana vizată are posibilitatea de a opta să accepte un sistem de prelucrare a datelor și, în acest caz, se ia în considerare întreaga panoplie a consecințelor. De exemplu, la înscrierea într-o rețea de comunicare socială, persoanele vizate ar trebui să accepte ca unele informații să capete caracter public și să fie comunicate celorlalți utilizatori pentru a le permite acestora să intre în contact cu ele, deși nu ar trebui să accepte același nivel de publicitate a datelor atunci când solicită un credit. | |
Amendamentul 29 Propunere de regulament Considerentul 61 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(61c) Principiul protecției datelor încă din faza de concepție necesită integrarea protecției datelor în întregul ciclu de viață al tehnologiei, de la prima fază de proiect până la distribuirea, utilizarea și eliminarea lor finală. Principiul protecției implicite a datelor impune ca setările de confidențialitate prestabilite ale serviciilor și produselor să respecte principiile generale de protecție a datelor, precum reducerea la minimum a datelor și limitarea scopului. |
Amendamentul 30 Propunere de regulament Considerentul 62 | |
|
Textul propus de Comisie |
Amendamentul |
|
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. |
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. În caz de răspundere solidară, persoana împuternicită de către operator care a despăgubit persoana vizată poate înainta o acțiune împotriva operatorului pentru a solicita rambursarea, dacă a acționat în conformitate cu actul juridic care o angajează față de acesta din urmă. |
Justificare | |
Persoana împuternicită de operator este definită drept persoana care acționează în numele operatorului. Prin urmare, în cazul în care persoana împuternicită de operator respectă cu rigurozitate instrucțiunile care i-au fost date, o încălcare a securității datelor cu caracter personal ar trebui imputată operatorului, și nu persoanei împuternicite de operator, fără ca acest lucru să afecteze dreptul la remunerare al persoanei vizate. | |
Amendamentul 31 Propunere de regulament Considerentul 65 | |
|
Textul propus de Comisie |
Amendamentul |
|
(65) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să documenteze fiecare operațiune de prelucrare. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare respective. |
(65) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să păstreze informațiile referitoare la principalele categorii de prelucrare efectuate. Comisia ar trebui să stabilească un format uniform pentru documentația referitoare la aceste informații în întreaga Uniune Europeană. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, astfel încât aceasta să ajute autoritatea de supraveghere să evalueze conformitatea respectivelor categorii principale de prelucrare cu prezentul regulament. |
Justificare | |
O protecție eficace a datelor impune organizațiilor să dispună de o înțelegere suficient de bine documentată a activităților lor de prelucrare a datelor. Cu toate acestea, păstrarea unei documentații pentru toate operațiunile de prelucrare este un lucru din cale afară de împovărător. În loc de a satisface nevoile birocratice, scopul documentației ar trebui să fie de a ajuta operatorul și persoana împuternicită de către operator să își îndeplinească obligațiile. | |
Amendamentul 32 Propunere de regulament Considerentul 67 | |
|
Textul propus de Comisie |
Amendamentul |
|
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în termen de 24 de ore. În cazul în care termenul de 24 de ore nu este respectat, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, ar trebui să se acorde prioritate absolută compensării unor astfel de pierderi economice și prejudicii sociale. Ulterior, de îndată ce a luat cunoștință de producerea unei încălcări care ar putea afecta grav protecția datelor cu caracter personal sau viața privată a persoanei în cauză, operatorul ar trebui să notifice aceasta autorității de supraveghere, fără întârziere nejustificată. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare, evitând supraîncărcarea cu informații a persoanei vizate. Ar trebui să se considere că o încălcare afectează grav în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă, afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
Justificare | |
Prezentul amendament urmărește să aducă clarificări cu privire la acțiunile care ar trebui întreprinse în cazul încălcării securității datelor, precum și cu privire la amendamentele referitoare la articolele 31 și 32. | |
Amendamentul 33 Propunere de regulament Considerentul 69 | |
|
Textul propus de Comisie |
Amendamentul |
|
(69) La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea fraudării identității sau a altor forme de utilizare abuzivă. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare. |
(69) La evaluarea gradului de detaliere al notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea fraudării identității sau a altor forme de utilizare abuzivă. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare. |
Justificare | |
Prezentul amendament corespunde eliminării articolului 32 alineatul (5). | |
Amendamentul 34 Propunere de regulament Considerentul 70 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(70a) Directiva 2002/58/CE (modificată prin Directiva 2009/136/CE) stabilește obligațiile de notificare cu privire la încălcările datelor cu caracter personal aferente prelucrării datelor cu caracter personal efectuate în legătură cu prestarea de servicii de comunicații electronice accesibile publicului pe rețelele publice de comunicații din Uniune. În cazul în care prestează și alte servicii, furnizorii de servicii de comunicații electronice accesibile publicului sunt supuși în continuare obligațiilor de notificare a încălcărilor prevăzute de Directiva privind viața privată și comunicațiile electronice, și nu de prezentul regulament. Astfel de furnizori ar trebui să facă obiectul unui regim unic de notificare a încălcării securității datelor cu caracter personal, atât în ceea ce privește datele cu caracter personal prelucrate în legătură cu furnizarea de servicii de comunicații electronice destinate publicului, cât și orice alte date în privința cărora îndeplinesc funcția de operatori. |
Justificare | |
Furnizorii de servicii de comunicații electronice ar trebui să facă obiectul unui regim unic de notificare a oricăror încălcări legate de datele pe care le prelucrează, și nu unor regimuri multiple care depind de serviciul oferit. Aceasta garantează condiții de concurență echitabile în rândul jucătorilor din sectorul industrial. | |
Amendamentul 35 Propunere de regulament Considerentul 97 | |
|
Textul propus de Comisie |
Amendamentul |
|
(97) În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile operatorului sau ale persoanei împuternicite de către operator în întreaga Uniune și de a adopta deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de către operatori. |
(97) În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile de prelucrare ale operatorului sau ale persoanei împuternicite de către operator în întreaga Uniune și de a adopta deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de către operatori. Prin derogare de la cele de mai sus, atunci când prelucrarea datelor cu caracter personal nu se realizează în principal la sediul principal, ci în una dintre celelalte unități ale operatorului sau ale persoanei împuternicite de către operator situată în Uniunea Europeană, autoritatea de supraveghere competentă pentru aceste operațiuni ar trebui să fie cea din statul membru unde se află cealaltă unitate. În conformitate cu dispozițiile de la capitolul VII, această derogare nu ar trebui să aducă atingere posibilității autorității de supraveghere din statul membru unde se află sediul principal să solicite o declarație suplimentară. |
Justificare | |
În cazul în care operațiunile care privesc mai multe țări pot fi ușor controlate de către sediul principal și acestea trebuie să țină de competența unei singure autorități, în urma unei declarații centralizate, operațiunile de prelucrare naționale gestionate descentralizat de către filiale și dificil de gestionat de către sediul principal ar trebui, în ceea ce le privește, să poată fi trecute în competența fiecărei autorități de supraveghere naționale. | |
Amendamentul 36 Propunere de regulament Considerentul 105 | |
|
Textul propus de Comisie |
Amendamentul |
|
(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. |
(105) Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. În plus, persoanele vizate ar trebui să aibă dreptul de a obține respectarea cerinței referitoare la coerență în cazul în care consideră că o măsură luată de autoritatea de protecție a datelor a unui stat membru nu îndeplinește acest criteriu. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. |
Justificare | |
Prezentul amendament introduce articolul 63a (nou). | |
Amendamentul 37 Propunere de regulament Considerentul 111 | |
|
Textul propus de Comisie |
Amendamentul |
|
(111) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. |
(111) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. Dacă persoana vizată consideră că nu a fost respectat criteriul coerenței, poate depune o plângere la Comitetul european pentru protecția datelor. |
Amendamentul 38 Propunere de regulament Considerentul 113 | |
|
Textul propus de Comisie |
Amendamentul |
|
(113) Orice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac împotriva deciziilor unei autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului membru în care este stabilită autoritatea de supraveghere. |
(113) Orice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac împotriva deciziilor unei autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului membru în care este stabilită autoritatea de supraveghere, sau în fața Comitetului european pentru protecția datelor, invocându-se motivul incoerenței cu aplicarea prezentului regulament în alte state membre. |
Amendamentul 39 Propunere de regulament Considerentul 115 | |
|
Textul propus de Comisie |
Amendamentul |
|
(115) În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii. |
eliminat |
Justificare | |
Această posibilitate nu aduce valoare adăugată cetățenilor și riscă să compromită buna funcționare a colaborării dintre autoritățile de supraveghere în cadrul mecanismului pentru asigurarea coerenței. | |
Amendamentul 40 Propunere de regulament Considerentul 118 | |
|
Textul propus de Comisie |
Amendamentul |
|
(118) Orice daună pe care o persoană o poate suferi din cauza unei prelucrări ilegale ar trebui să fie compensată de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. |
(118) Orice daună pe care o persoană o poate suferi din cauza unei prelucrări ilegale ar trebui să fie compensată de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. În caz de răspundere solidară, persoana împuternicită de către operator care a despăgubit persoana vizată poate înainta o acțiune împotriva operatorului pentru a solicita rambursarea, dacă a acționat în conformitate cu actul juridic care o angajează față de acesta din urmă. |
Justificare | |
Propunerea de regulament introduce principiul general al responsabilității operatorului (articolele 5f și 22), care trebuie păstrat și explicitat. Persoana împuternicită de operator este definită drept persoana care acționează în numele operatorului. De asemenea, în cazul în care persoana împuternicită de operator nu urmează instrucțiunile care îi sunt date, articolul 26 alineatul (4) prevede că aceasta este considerată responsabilă de prelucrarea datelor. | |
Amendamentul 41 Propunere de regulament Considerentul 120 | |
|
Textul propus de Comisie |
Amendamentul |
|
(120) Pentru consolidarea și armonizarea sancțiunilor administrative în cazul încălcării prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competența de a sancționa infracțiunile administrative. Prezentul regulament ar trebui să indice aceste infracțiuni și limita maximă a amenzilor administrative aferente, care ar trebui să fie stabilite în fiecare caz, proporțional cu situația specifică, luându-se în considerare în mod corespunzător, în special, natura, gravitatea și durata încălcării. Mecanismul pentru asigurarea coerenței poate fi, de asemenea, utilizat în scopul remedierii divergențelor în aplicarea sancțiunilor administrative. |
(120) Pentru consolidarea și armonizarea sancțiunilor administrative în cazul încălcării prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competența de a sancționa infracțiunile administrative. Prezentul regulament ar trebui să indice aceste infracțiuni și limita maximă a amenzilor administrative aferente, care ar trebui să fie stabilite în fiecare caz, proporțional cu situația specifică, luându-se în considerare în mod corespunzător, în special, natura, gravitatea și durata încălcării. În scopul consolidării pieței interne, sancțiunile administrative adoptate de către statele membre ar trebui să fie coerente între ele. Mecanismul pentru asigurarea coerenței poate fi, de asemenea, utilizat în scopul remedierii divergențelor în aplicarea sancțiunilor administrative. |
Justificare | |
Prezentul amendament anticipă cerința referitoare la coerența sancțiunilor administrative, prevăzută la articolele 78 și 79. | |
Amendamentul 42 Propunere de regulament Considerentul 122 | |
|
Textul propus de Comisie |
Amendamentul |
|
(122) Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date necesitând un nivel mai ridicat de protecție, poate fi adesea justificată de o serie de motive legitime în beneficiul persoanelor și al societății în general, în special în contextul asigurării continuității asistenței medicale transfrontaliere. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea datelor cu caracter personal privind sănătatea, sub rezerva unor garanții specifice și corespunzătoare menite să protejeze drepturile fundamentale și datele cu caracter personal al persoanelor fizice. Acest lucru include dreptul persoanelor de a avea acces la datele lor cu caracter personal privind sănătatea, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată. |
(122) Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date necesitând un nivel mai ridicat de protecție, poate fi adesea justificată de o serie de motive legitime în beneficiul persoanelor și al societății în general, în special în contextul asigurării continuității asistenței medicale transfrontaliere. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea datelor cu caracter personal privind sănătatea, sub rezerva unor garanții specifice și corespunzătoare menite să protejeze drepturile fundamentale și datele cu caracter personal al persoanelor fizice. Acest lucru include dreptul persoanelor de a avea acces, în mod direct sau prin intermediul unor persoane mandatate anterior în acest sens, la datele lor cu caracter personal privind sănătatea, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată. |
Justificare | |
Prezentul amendament este necesar pentru a permite familiei unui pacient accesul la datele acestuia, mai ales în cazurile în care, din cauza gravității stării sale de sănătate, pacientul nu este în măsură să ia decizii sau să utilizeze aceste informații. | |
Amendamentul 43 Propunere de regulament Considerentul 122 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(122a) Un profesionist care prelucrează date cu caracter personal ar trebui să primească, în măsura în care acest lucru este posibil, date anonimizate sau prezentate sub pseudonim, astfel încât identitatea să nu fie cunoscută decât de către medicul generalist sau specialist care a solicitat prelucrarea datelor. |
Justificare | |
Prezentul amendament urmărește să sugereze un instrument suplimentar de protecție a cetățenilor ale căror date medicale sunt controlate sau prelucrate de către un profesionist care nu are nevoie să cunoască identitatea persoanei vizate. | |
Amendamentul 44 Propunere de regulament Considerentul 129 | |
|
Textul propus de Comisie |
Amendamentul |
|
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; specificarea criteriilor și a condițiilor aplicabile cererilor în mod vădit excesive și taxelor pentru exercitarea drepturilor persoanelor vizate; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului și protecția datelor începând cu momentul conceperii și protecția implicită a datelor; persoana împuternicită de operator; criteriile și cerințele privind documentația și securitatea prelucrării; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; codurile de conduită; criteriile și cerințele privind mecanismele de certificare; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; sancțiunile administrative; prelucrarea în scopuri medicale; prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu. |
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului; persoana împuternicită de operator; criteriile și cerințele privind documentația; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; codurile de conduită; criteriile și cerințele privind mecanismele de certificare; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; prelucrarea în scopuri medicale; prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu. |
Amendamentul 45 Propunere de regulament Considerentul 130 | |
|
Textul propus de Comisie |
Amendamentul |
|
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; formulare tip în ceea ce privește responsabilitatea operatorului în materie de documentare; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
Amendamentul 46 Propunere de regulament Considerentul 131 | |
|
Textul propus de Comisie |
Amendamentul |
|
(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea consimțământului unui minor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat fiind că aceste acte au un domeniu de aplicare general. |
(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea consimțământului unui minor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; formulare tip în ceea ce privește responsabilitatea operatorului în materie de documentare; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat fiind că aceste acte au un domeniu de aplicare general. |
Amendamentul 47 Propunere de regulament Considerentul 139 | |
|
Textul propus de Comisie |
Amendamentul |
|
(139) Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta drepturilor fundamentale a Uniunii Europene consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică. |
(139) Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi consacrate în Carta drepturilor fundamentale a Uniunii Europene, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta drepturilor fundamentale a Uniunii Europene consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică. |
Amendamentul 48 Propunere de regulament Articolul 2 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) de către instituțiile, organele, oficiile și agențiile Uniunii; |
eliminat |
Justificare | |
Pentru a asigura încrederea cetățenilor, toate sectoarele trebuie să asigure o protecție la fel de bună a datelor. Dacă încălcările datelor care au loc în sectorul public generează neîncredere în rândurile cetățenilor, acest fapt va avea un efect negativ asupra activităților sectorului privat în materie de TIC și viceversa. Această afirmație este valabilă și în cazul instituțiilor Uniunii. | |
Amendamentul 49 Propunere de regulament Articolul 2 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice; |
(d) de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice și în cazul în care datele cu caracter personal nu devin accesibile unui număr nedeterminat de persoane; |
Justificare | |
Este oportun să se clarifice domeniul de aplicare al acestei excepții, mai ales ca urmare a dezvoltării rețelelor sociale care permit împărtășirea informațiilor unor sute de persoane. Curtea de Justiție a Uniunii Europene (CJUE) (cauzele C-101/01 și C-73/07) preconizează accesibilitatea de către „un număr nedeterminat de persoane” drept criteriu de aplicare a acestei excepții. Autoritatea Europeană pentru Protecția Datelor (AEPD) este de aceeași părere. | |
Amendamentul 50 Propunere de regulament Articolul 2 – alineatul 2 – litera d a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(da) care sunt anonimizate în măsură suficientă, în sensul articolului 4 alineatul (2a); |
Justificare | |
Clarificarea în corpul textului a considerentului 23 care menționează cazul datelor anonimizate în măsură suficientă și cărora nu trebuie să li se aplice dispozițiile prezentei directive. | |
Amendamentul 51 Propunere de regulament Articolul 2 – alineatul 2 – litera e a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ea) din domeniile care intră în domeniul de aplicare al articolelor 153, 154 și 155 ale Tratatului privind funcționarea Uniunii Europene (TFUE) în ceea ce privește reglementarea recrutării, precum și încheierea și respectarea acordurilor colective. |
Amendamentul 52 Propunere de regulament Articolul 2 – alineatul 2 – litera e b (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(eb) ale unei persoane fizice care sunt făcute publice în cursul exercitării unor atribuții profesionale, precum numele, datele de contact și funcția; |
Amendamentul 53 Propunere de regulament Articolul 2 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată. |
(3) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată, și nici dispozițiilor specifice ale dreptului Uniunii sau ale legislației statelor membre legate de prelucrarea datelor, în special în ceea privește interesele apărate prin lege, în cazul în care acestea prevăd o protecție mai strictă decât dispozițiile prezentului regulament; |
Amendamentul 54 Propunere de regulament Articolul 3 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii. |
(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. |
Amendamentul 55 Propunere de regulament Articolul 3 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune sau |
(a) oferirea de bunuri și servicii unor astfel de persoane vizate în Uniune, inclusiv servicii prestate persoanei cu titlu gratuit sau |
Justificare | |
Această adăugire contribuie la a clarifica faptul că obiectivul urmărit nu prezintă interes pentru aplicarea prezentului regulament și că serviciile prestate fără scop lucrativ sau cu titlu gratuit sunt supuse acelorași obligații ca cele prestate de ceilalți operatori, dacă se aplică condiții similare. | |
Amendamentul 56 Propunere de regulament Articolul 3 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) urmărirea comportamentului acestora. |
(b) monitorizarea comportamentului unor astfel de persoane vizate cu scopul de a le oferi bunuri sau servicii. |
Amendamentul 57 Propunere de regulament Articolul 3 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care nu își au reședința în Uniune de către un operator sau o persoană împuternicită de acesta stabiliți în Uniune, prin activitățile economice desfășurate în una sau mai multe țări terțe. |
Justificare | |
Societățile sau angajatorii din UE nu ar trebui să aibă posibilitatea de a accede în mod ilegal la datele cu caracter personal ale angajaților pentru a le monitoriza comportamentul, pentru a-i înscrie pe liste negre ca urmare a afilierii lor sindicale etc., indiferent dacă angajatul este stabilit pe teritoriul Uniunii Europene sau nu. | |
Amendamentul 58 Propunere de regulament Articolul 4 – punctul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective; |
(1) „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare sau la un identificator, la date de localizare sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective; |
Justificare | |
Respectarea principiului neutralității tehnologice. | |
Amendamentul 59 Propunere de regulament Articolul 4 – punctul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
2a. „date anonime” înseamnă orice date cu caracter personal care au fost colectate, modificate sau prelucrate sub o altă formă, astfel încât nu mai pot fi atribuite unei persoane vizate; datele anonime nu se consideră drept date cu caracter personal. |
Justificare | |
Întreprinderile ar trebui stimulate să anonimizeze datele, ceea ce va întări, în cele din urmă, protecția vieții private a consumatorilor. Schimbările urmăresc să clarifice sensul datelor anonime și, în conformitate cu considerentul 23, să excludă în mod expres astfel de date din domeniul de aplicare al regulamentului. Definiția a fost preluată de la articolul 3 punctul 6 din Legea federală privind protecția datelor a Germaniei. | |
Amendamentul 60 Propunere de regulament Articolul 4 – punctul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
3a. „crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia; |
Amendamentul 61 Propunere de regulament Articolul 4 – punctul 3 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
3b. „date protejate prin utilizarea unui pseudonim” înseamnă orice date care au fost colectate, modificate sau prelucrate sub o altă formă, astfel încât nu mai pot fi atribuite unei persoane vizate fără a se utiliza date suplimentare care fac obiectul unor controale tehnice și organizaționale independente și diferite destinate să garanteze că nu va avea loc o astfel de atribuire sau că aceasta ar necesita un termen, costuri și eforturi disproporționate; |
Justificare | |
Acest amendament face parte dintr-un pachet de amendamente care permit utilizarea datelor pseudonime și a datelor anonime și va încuraja bunele practici de afaceri care protejează interesele persoanelor vizate. Garantarea faptului că datele cu caracter personal nu pot fi atribuite unei persoane vizate (din moment ce nu pot fi legate de o persoană vizată fără utilizarea unor date suplimentare) ajută la promovarea pe mai departe a utilizării datelor de către întreprinderi oferind, în același timp, un nivel ridicat de protecție consumatorilor. | |
Amendamentul 62 Propunere de regulament Articolul 4 – punctul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
5. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
5. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile prelucrării datelor cu caracter personal; atunci când scopurile prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
Justificare | |
Odată cu noile tehnologii și servicii disponibile, precum informatica dematerializată, diviziunea tradițională a entităților care participă la prelucrarea datelor cu caracter personal s-ar putea dovedi dificilă, în condițiile în care persoana autorizată de către operator ar avea, în astfel de cazuri, o influență importantă asupra modului în care sunt prelucrate datele. Din acest motiv, pare rezonabil să se stabilească operatorul ca entitate, care decide cu privire la scopul în care sunt prelucrate datele cu caracter personal, întrucât stabilirea finalității constituie decizia cea mai importantă, iar ceilalți factori servesc drept mijloace de atingere a acestui scop. | |
Amendamentul 63 Propunere de regulament Articolul 4 – punctul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
8. „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate; |
8. „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, care trebuie să fie specifică, informată și cât mai explicită posibil potrivit contextului, prin care persoana vizată acceptă, în mod explicit, ori de câte ori datele menționate la articolul 9 alineatul (1) urmează să fie prelucrate, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate; |
Amendamentul 64 Propunere de regulament Articolul 4 – punctul 9 | |
|
Textul propus de Comisie |
Amendamentul |
|
9. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate sub o altă formă; |
9. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate sub o altă formă; datele cifrate printr-un nivel ridicat de criptare nu se încadrează în domeniul de aplicare al prezentului regulament în cazul în care se dovedește că cheia de criptare nu a fost avariată; |
Justificare | |
Pierderea datelor care au fost criptate cu un nivel ridicat de criptare, în cazul în care cheia de criptare nu a fost pierdută, nu expune persoanele la niciun risc de a suferi prejudicii. Pur și simplu, datele nu pot fi citite. În cazul în care datele nu pot fi citite, nu pare rezonabil să fie tratate conform modalităților stipulate la articolele 31 și 32. În această situație, notificarea nu le aduce cetățenilor nicio îmbunătățire în ceea ce privește protecția vieții private. | |
Amendamentul 65 Propunere de regulament Articolul 4 – punctul 13 | |
|
Textul propus de Comisie |
Amendamentul |
|
13. „sediu principal” înseamnă, în ceea ce privește operatorul, locul de stabilire al acestuia pe teritoriul Uniunii, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul în care se desfășoară principalele activități de prelucrare în cadrul activităților unui sediu al unui operator din Uniune. În ceea ce privește persoana împuternicită de operator, „sediu principal” înseamnă locul administrației sale centrale din Uniune; |
13. „sediu principal” înseamnă locul desemnat ca atare de către întreprindere sau grupul de întreprinderi, indiferent dacă au calitatea de operator sau de persoană împuternicită de către operator, cu respectarea mecanismului de asigurare a coerenței stabilit la articolul 57, pe baza următoarelor criterii obiective cu caracter facultativ, dar fără a se limita la acestea: |
|
|
(a) locul în care se află sediul european al unui grup de întreprinderi; |
|
|
(b) locul în care se află entitatea din cadrul unui grup de întreprinderi căreia i-au fost delegate responsabilități în materie de protecție a datelor; |
|
|
(c) locul în care se află entitatea din cadrul grupului care este cea mai în măsură, din perspectiva funcțiilor de conducere și a responsabilităților administrative, să se ocupe de normele stabilite în prezentul regulament și să le execute; sau |
|
|
(d) locul în care sunt exercitate în mod efectiv reale activități de gestionare prin care se stabilește prelucrarea datelor în cadrul unei organizații stabile. |
|
|
Întreprinderea sau grupul de întreprinderi informează autoritatea competentă în legătură cu desemnarea sediului principal. |
Justificare | |
Definiția sediului principal este excesiv de vagă și prevede o marjă mult prea largă ce permite interpretări divergente. Este necesar să dispunem de un test uniform prin care să se poată stabili „sediul principal” al unei organizații, care să poată fi aplicat „întreprinderilor/grupurilor de întreprinderi” cu titlu de punct de referință relevant și care să se bazeze pe un set de criterii obiective relevante. Aceste criterii sunt utilizate pentru a stabili autoritatea de control pentru normele obligatorii ale întreprinderilor și au dovedit, prin urmare, că pot fi puse în aplicare. | |
Amendamentul 66 Propunere de regulament Articolul 5 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal; |
(c) să fie adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal; |
Justificare | |
Această schimbare, care permite prelucrarea „neexcesivă”, este mai adecvată. Ea constă într-o trimitere la formularea directivei inițiale privind protecția datelor, și anume, Directiva 95/46/CE, și urmărește să evite inconsecvențele cu alte norme ale UE, precum Directiva privind creditele de consum și pachetul privind cerințele de capital, care impun, la rândul lor, instituțiilor de credit să prelucreze date cu caracter personal. | |
Amendamentul 67 Propunere de regulament Articolul 5 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică, în conformitate cu normele și condițiile prevăzute la articolul 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea; |
(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică, în conformitate cu normele și condițiile prevăzute la articolele 81 și 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea; |
Justificare | |
Ar trebui să fie posibilă și stocarea datelor cu caracter personal pe perioade mai îndelungate în scopuri legate de sănătatea publică (articolul 81), precum și în scopuri istorice, statistice și de cercetare științifică (articolul 83), care sunt deja prevăzute în textul propunerii Comisiei. Această dispoziție va asigura disponibilitatea tuturor datelor relevante, astfel încât persoana vizată să primească îngrijirile cele mai adecvate. | |
Amendamentul 68 Propunere de regulament Articolul 6 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; |
(c) prelucrarea este necesară pentru a respecta o obligație legală sau un drept legal prevăzut de legislația Uniunii Europene sau de cea națională ori pentru a evita încălcarea unei astfel de obligații sau a unui astfel de drept, pe care operatorul trebuie să le respecte, inclusiv pentru exercitarea unei sarcini având drept scop evaluarea bonității sau prevenirea și detectarea fraudelor. |
Amendamentul 69 Propunere de regulament Articolul 6 – alineatul 1 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; |
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau pentru îndeplinirea unei sarcini efectuate cu scopul de a evalua bonitatea sau în scopuri legate de prevenirea și detectarea fraudelor; |
Amendamentul 70 Propunere de regulament Articolul 6 – alineatul 1 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de operatori sau de terțul ori terții cărora le sunt divulgate datele, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
Justificare | |
This amendment seeks to regulate the situation when a third party has a legitimate interest to process data, in line with the current Directive 95/46/EC which recognizes the legitimate interest of a third party. This is for example the case in some Member States where the social partners regulate wages and other work conditions through collective agreements. Trade unions negotiate with employers to ensure a common set of rights that apply to all employees at a workplace, regardless of whether or not they are union members. In order for this system to function the unions must have the possibility to monitor the observance of collective agreements. | |
Amendamentul 71 Propunere de regulament Articolul 6 – alineatul 1 – litera f a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fa) datele sunt colectate din registre, liste sau documente publice; |
Amendamentul 72 Propunere de regulament Articolul 6 – alineatul 1 – litera f b (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fb) prelucrarea datelor, între altele a informațiilor referitoare la membrii unei organizații, care este efectuată de către organizația în cauză în conformitate cu normele sale statutare, este de maximă importanță pentru operatorul prelucrării datelor în cadrul organizațiilor bazate pe o afiliere voluntară; |
Amendamentul 73 Propunere de regulament Articolul 6 – alineatul 1 – litera f c (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fc) prelucrarea este necesară în scopuri de detectare și prevenire a fraudelor, în conformitate cu regulamentul financiar aplicabil sau cu codurile de practici ale unei ramuri industriale sau ale unui organism profesional; |
Justificare | |
În practică, experiența a demonstrat că o „obligație legală” nu include regulamentul financiar sau codurile de conduită naționale, care prezintă o importanță fundamentală în prevenirea și detectarea fraudelor, pentru operatori și pentru protecția persoanelor vizate. | |
Amendamentul 74 Propunere de regulament Articolul 6 – alineatul 1 – litera f d (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fd) prelucrarea este necesară pentru a apăra un interes, a strânge dovezi care vor servi drept elemente de probă în justiție sau pentru a intenta o acțiune în justiție; |
Amendamentul 75 Propunere de regulament Articolul 6 – alineatul 1 – litera f e (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fe) se prelucrează doar datele pseudonime. |
Justificare | |
Acest amendament face parte dintr-un pachet de amendamente care permit utilizarea datelor pseudonime și a datelor anonime și va încuraja bunele practici de afaceri care protejează interesele persoanelor vizate. Garantarea faptului că datele cu caracter personal nu pot fi atribuite unei persoane vizate (din moment ce nu pot fi legate de o persoană vizată fără utilizarea unor date suplimentare) ajută la promovarea pe mai departe a utilizării datelor de către întreprinderi oferind, în același timp, un nivel ridicat de protecție consumatorilor. | |
Amendamentul 76 Propunere de regulament Articolul 6 – alineatul 3 – paragraful 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit. |
Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți. De asemenea, dreptul statului membru trebuie să respecte prezentul regulament și tratatele internaționale la care respectivul stat membru a decis să adere. În ultimul rând, statul membru are obligația de a evalua și a decide dacă legislația națională este proporțională cu obiectivul legitim urmărit sau dacă un obiectiv legitim poate fi realizat apelându-se la soluții care invadează într-o mai mică măsura sfera vieții private. |
Justificare | |
Article 6, paragraph 1, point e states that processing is lawful if: “processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller”. Seen in connection with paragraph 3, this leaves Member States a very wide margin for eroding citizens’ protection of data mentioned in this regulation using national legislation. The harmonisation among Member States will be under pressure because national interests will result in many different examples of legislation. Citizens’ data will be processed differently in the different countries. | |
Amendamentul 77 Propunere de regulament Articolul 6 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (e). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract. |
(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract. |
Justificare | |
Dispoziția referitoare la exprimarea consimțământului în contextul specific s-a dovedit eficace în ceea ce privește protecția vieții private și este în conformitate cu obiectivele expuse la considerentul 25 din propunere. | |
Amendamentul 78 Propunere de regulament Articolul 6 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor. |
eliminat |
Justificare | |
Nu sunt necesare precizări suplimentare. | |
Amendamentul 79 Propunere de regulament Articolul 7 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate. |
(1) În cazul în care este necesar consimțământul, forma sub care se obține consimțământul cu privire la prelucrarea datelor cu caracter personal ale persoanei vizate este proporțională cu tipul datelor prelucrate, cu scopul prelucrării și cu orice riscuri identificate care sunt stabilite printr-o evaluare a impactului protecției datelor. |
Amendamentul 80 Propunere de regulament Articolul 7 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. |
(3) Persoana vizată are dreptul să își retragă consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia sau în cazurile în care dreptul european sau cel național prevăd o durată minimă obligatorie de stocare ori datele sunt prelucrate în conformitate cu dispozițiile normative europene și naționale sau în scopuri juridice ori de combatere a fraudelor. Persoana vizată trebuie să comunice persoanei autorizate de către operator intenția de a-și revoca consimțământul. |
Amendamentul 81 Propunere de regulament Articolul 7 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Consimțământul nu reprezintă un temei juridic pentru prelucrare atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului. |
eliminat |
Justificare | |
Exprimări precum „dezechilibru semnificativ” riscă să genereze incertitudine juridică. Mai mult decât atât, acestea sunt inutile, deoarece dreptul contractelor, inclusiv legislația în materie de protecție a consumatorilor, prevede garanții adecvate împotriva fraudelor, a amenințărilor, a exploatării inechitabile etc., iar acestea ar trebui să se aplice acordurilor cu privire la prelucrarea datelor cu caracter personal. | |
Amendamentul 82 Propunere de regulament Articolul 7 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) Executarea unui contract sau prestarea unui serviciu nu pot deveni dependente de consimțământul cu privire la prelucrarea sau utilizarea datelor care nu sunt necesare pentru executarea contractului sau pentru prestarea serviciului, în conformitate cu articolul 6 alineatul (1) litera (b). |
Amendamentul 83 Propunere de regulament Articolul 7 – alineatul 4 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4b) Prezentul articol nu se aplică în cazul în care legislația prevede obligativitatea obținerii consimțământului din partea persoanei vizate. |
Amendamentul 84 Propunere de regulament Articolul 7 – alineatul 4 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4c) Accesul la un anumit consimțământ, exprimat în temeiul articolului 6 alineatul (1) litera (a), precum și al articolului 9 alineatul (2) litera (a) poate fi limitat în cazurile în care se aplică normele interne ale organizațiilor referitoare la prevenirea fraudelor sau a infracționalității, în conformitate cu legislația statului membru în cauză. |
Amendamentul 85 Propunere de regulament Articolul 7 – alineatul 4 d (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4d) Pentru a stabili condițiile în care o persoană care nu are capacitatea juridică de a acționa își acordă sau autorizează consimțământul, se aplică legislația statului membru în care își are reședința persoana respectivă. |
Amendamentul 86 Propunere de regulament Articolul 7 – alineatul 4 e (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4e) Prezenta dispoziție nu se aplică în cazul dreptului angajatorului de a prelucra datele pe baza consimțământului angajatului și nici dreptului autorităților publice de a prelucra date pe baza consimțământului cetățeanului. |
Amendamentul 87 Propunere de regulament Articolul 8 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În sensul prezentului regulament, în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de tutorele minorului. Operatorul depune toate eforturile rezonabile pentru a obține consimțământul verificabil, ținând seama de tehnologiile disponibile. |
(1) În sensul prezentului regulament, în ceea ce privește oferirea de bunuri și servicii în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de tutorele minorului. Operatorul depune toate eforturile rezonabile pentru a obține consimțământul verificabil, ținând seama de tehnologiile disponibile, fără a determina operațiuni inutile de prelucrare a datelor. |
Amendamentul 88 Propunere de regulament Articolul 8 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Informațiile destinate exprimării consimțământului trebuie formulate într-un limbaj clar și adecvat vârstei, într-un mod care este ușor de înțeles pentru un copil cu vârsta de peste 13 ani; |
Amendamentul 89 Propunere de regulament Articolul 8 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) Informațiile menționate la alineatele (1), (1a), (2) și (3) nu se aplică în cazul în care prelucrarea datelor cu caracter personal ale unui copil se referă la datele cu privire la sănătate și în cazul în care legislația statului membru în materie de îngrijire a sănătății și îngrijire socială acordă prioritate competenței unei persoane înaintea vârstei fizice. |
Justificare | |
În contextul îngrijirii sănătății și îngrijirii sociale, autorizația părintelui sau a tutorelui copilului nu ar trebui să fie necesară în cazul în care copilul are competența de a lua o decizie pentru sine. În cazurile de protecție a copilului, nu este întotdeauna în interesul persoanei vizate ca părintele sau tutorele său să aibă acces la datele sale, iar acest lucru ar trebui să se reflecte în legislație. | |
Amendamentul 90 Propunere de regulament Articolul 9 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. |
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența și activitățile sindicale, probleme sociale semnificative, informații private, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. |
Justificare | |
În Danemarca, categoriile speciale de date care se solicită a fi cel mai bine protejate sunt mai ample decât propune regulamentul. Ca rezultat, regulamentul dezavantajează cetățenii danezi mai mult decât actuala legislație. Pentru acest motiv, propun extinderea categoriilor sociale pentru a include „probleme sociale semnificative și informații private”. | |
Amendamentul 91 Propunere de regulament Articolul 9 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată; sau |
(a) persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată. În special, aceasta ar include garanții care împiedică trecerea lucrătorilor pe o listă neagră, de exemplu, datorită activităților sindicale sau rolurilor acestora de reprezentanți responsabili cu chestiunile legate de sănătate și securitate; sau |
Amendamentul 92 Propunere de regulament Articolul 9 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate; sau |
(b) prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii, de legislația unui stat membru sau de acorduri colective privind piața muncii care prevăd garanții adecvate; sau |
Amendamentul 93 Propunere de regulament Articolul 9 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate; sau |
(d) prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație, organizații de pe piața forței de muncă sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate; sau |
Amendamentul 94 Propunere de regulament Articolul 9 – alineatul 2 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) prelucrarea se referă la date care sunt făcute publice în mod manifest de persoana vizată; sau |
(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată sau care sunt transferate în mod liber operatorului la inițiativa persoanei vizate și care sunt prelucrate pentru scopul specific stabilit de persoana vizată și în interesul acesteia; sau |
Amendamentul 95 Propunere de regulament Articolul 9 – alineatul 2 – litera j | |
|
Textul propus de Comisie |
Amendamentul |
|
(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate. Un registru complet al condamnărilor penale este ținut numai sub controlul autorității publice. |
(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub supravegherea autorității de supraveghere competente, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru a evita o încălcare a unei obligații legale sau de reglementare a UE sau a unui stat membru ori acorduri colective de pe piața muncii sub a căror incidență se află operatorul, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate. Un registru complet al condamnărilor penale este ținut numai sub controlul autorității publice. |
Justificare | |
Este important ca organizațiile patronale și cele ce reprezintă lucrătorii (sindicatele) să poată continua, în viitor, să negocieze și să elaboreze acorduri colective conforme culturii, tradițiilor, competitivității și situației economice naționale. | |
Amendamentul 96 Propunere de regulament Articolul 9 – alineatul 2 – litera ja (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ja) prelucrarea datelor cu caracter personal referitoare la condamnările penale sau măsurile de securitate aferente se efectuează în contextul bazelor de date ce conțin date privind fraudele comise împotriva instituțiilor de credit sau a membrilor altor grupuri financiare reglementate de legislația națională sau a UE și înființate de către instituțiile financiare pentru a preveni fraudele; restricțiile privind prelucrarea datelor referitoare la condamnările penale nu ar trebui să se aplice la datele referitoare la infracțiuni. |
Amendamentul 97 Propunere de regulament Articolul 9 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor, condițiilor și garanțiilor corespunzătoare pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2). |
eliminat |
Amendamentul 98 Propunere de regulament Articolul -11 (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul -11 |
|
|
Principii generale pentru drepturile persoanelor vizate |
|
|
(1) Temeiul protecției datelor îl constituie drepturi clare și fără ambiguități pentru persoana vizată în ce privește operatorul de date. Dispozițiile prezentului regulament au scopul de a întări, clarifica, garanta și, după caz, codifica aceste drepturi. |
|
|
(2) Astfel de drepturi includ, printre altele, furnizarea de informații clare, ușor de înțeles cu privire la politicile operatorului de date pentru accesul persoanelor vizate, rectificarea și ștergerea datelor acestora, dreptul la portabilitatea datelor și dreptul de a se opune creării unui profil; în general, astfel de drepturi trebuie să fie exercitate în mod gratuit, iar operatorul de date va răspunde cererilor din partea persoanei vizate într-un termen rezonabil. |
Amendamentul 99 Propunere de regulament Articolul 11 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, adaptat în funcție de persoana vizată, în special pentru orice informație adresată în mod expres unui minor. |
(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor. |
Justificare | |
Informațiile sau comunicările cu privire la prelucrarea datelor cu caracter personal trebuie să fie clare și inteligibile. Mențiunea „adaptată în funcție de persoana vizată” riscă să creeze insecuritate juridică. Ar fi echitabil să se impună o obligație anume doar în cazul copiilor care constituie o categorie specifică. | |
Amendamentul 100 Propunere de regulament Articolul 11 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Informațiile destinate persoanelor vizate sunt furnizate într-un format care oferă persoanelor vizate informațiile necesare pentru a înțelege poziția lor și a lua decizii în mod adecvat. Informații complete sunt disponibile la cerere. Prin urmare, operatorul dă dovadă de transparență în informare și comunicare în cadrul politicilor sale de protecție a datelor, prin utilizarea unui mod de descriere a diferitelor etape de prelucrare a datelor bazat pe pictograme și ușor de înțeles. |
Amendamentul 101 Propunere de regulament Articolul 12 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică. |
(1) Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică. Procedurile la care se face referire în acest articol pot fi proceduri deja instituite de autoritățile oficiale ale statelor membre, cu condiția ca procedurile să respecte dispozițiile regulamentului. |
Amendamentul 102 Propunere de regulament Articolul 12 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de o lună de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15 - 19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. |
(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de o lună de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15 - 19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format sau a cazului în care operatorul are motive să considere că furnizarea informațiilor în format electronic ar crea un risc semnificativ de fraudă. |
Justificare | |
Eliberarea anumitor date în format electronic, precum dosarele de credit, ar putea avea ca rezultat modificarea acestora sau furtul de identitate atunci când sunt furnizate consumatorilor. Transmiterea de date provenind de la agențiile de informații privind creditele ar trebui să se facă cu condiția efectuării verificărilor de autenticitate care să îndeplinească criteriile stabilite de agenția deținătoare a datelor cu scopul preîntâmpinării interceptării, utilizării abuzive, frauduloase sau modificării. | |
Amendamentul 103 Propunere de regulament Articolul 12 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate să nu ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă rezonabilă pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
Amendamentul 104 Propunere de regulament Articolul 12 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și condițiilor privind cererile vădit excesive și taxele menționate la alineatul (4). |
eliminat |
Justificare | |
Nu sunt necesare clarificări suplimentare în ceea ce privește această dispoziție prin intermediul unui act delegat. Autoritățile de supraveghere ale statelor membre sunt mult mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 105 Propunere de regulament Articolul 12 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate stabili formulare tip și proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
eliminat |
Justificare | |
Autoritățile de supraveghere ale statelor membre sunt mult mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 106 Propunere de regulament Articolul 13 | |
|
Textul propus de Comisie |
Amendamentul |
|
Operatorul comunică fiecărui destinatar căruia i-au fost dezvăluite datele orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat. |
Orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17 se aplică, de asemenea, fiecărui destinatar căruia i-au fost dezvăluite datele fără ca persoana vizată să fi putut controla această situație. |
Justificare | |
Vânzarea unei baze de date către o terță parte nu-l scutește pe operatorul de date de executarea obligațiilor care îi revin. Dacă, în schimb, persoana vizată a transferat în mod voluntar sau conștient anumite date prin intermediul operatorului de date, acesta din urmă nu poartă noi responsabilități. | |
Amendamentul 107 Propunere de regulament Articolul 14 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 14a |
|
|
Verificarea identității unei persoane vizate |
|
|
Operatorul trebuie să asigure că s-a primit o documentație suficientă pentru dovedirea identității unei persoane vizate, atunci când aceasta își exercită drepturile prevăzute la articolele 14-19 din prezentul regulament. |
Justificare | |
Prezentul regulament instituie noi drepturi pentru cetățeni. Cu toate acestea, nu este prevăzut nicăieri în ce mod trebuie obligați cetățenii să-și dovedească identitatea pentru a-și exercita drepturile. Este important ca identitatea cetățenilor să fie dovedită și, eventual, contestată de operator pentru a se asigura că nu poate fi vorba de nicio formă de furt de identitate. | |
Amendamentul 108 Propunere de regulament Articolul 14 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate cel puțin următoarele informații: |
(1) Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate următoarele informații: |
Amendamentul 109 Propunere de regulament Articolul 14 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) perioada în care vor fi stocate datele cu caracter personal; |
(c) criteriile și/sau obligațiile legale cu ajutorul cărora se stabilește perioada în care vor fi stocate datele cu caracter personal în orice scop; |
Justificare | |
Nu se poate stabili întotdeauna cu precizie durata exactă de stocare a datelor cu caracter personal, în special în cazul stocării lor în scopuri diferite. | |
Amendamentul 110 Propunere de regulament Articolul 14 – alineatul 1 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) orice altă informație necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate datele cu caracter personal. |
(h) orice altă informație considerată necesară de către operator pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate datele cu caracter personal. |
Justificare | |
Trebuie clarificat domeniul de aplicare al acestei dispoziții și trebuie precizat faptul că operatorii pot asigura un nivel mai ridicat de transparență. | |
Amendamentul 111 Propunere de regulament Articolul 14 – alineatul 5 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat; sau |
(b) datele sunt destinate exclusiv scopurilor prevăzute la articolul 83, nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat și ar avea drept rezultat o povară administrativă excesivă, în special în cazul în care prelucrarea este efectuată de o IMM astfel cum este definită în Recomandarea UE 2003/361; sau |
Justificare | |
Această dispoziție decurge direct din articolul 11 alineatul (2) din Directiva 95/46/CE, dar, în lipsa acestei precizări, ar fi creat o lacună în materie de protecție a consumatorilor. Acest amendament restabilește corespondența dintre intențiile inițiale și formulare. | |
Amendamentul 112 Propunere de regulament Articolul 14 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
eliminat |
Justificare | |
Nu sunt necesare astfel de precizări suplimentare. | |
Amendamentul 113 Propunere de regulament Articolul 15 – alineatul 1 – paragraful 2 (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
La cerere și cu titlu gratuit, operatorul de date aduce dovada legalității prelucrării într-un termen rezonabil. |
Justificare | |
Dacă operatorul de date oferă în mod direct persoanei vizate dovada menționată, ar putea fi redus numărul acțiunilor intentate în justiție. | |
Amendamentul 114 Propunere de regulament Articolul 15 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. |
(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare și de creare a unui profil. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. Operatorul ia toate măsurile necesare pentru a verifica identitatea unei persoane vizate care solicită acces la date. |
Justificare | |
Dreptul de acces la date nu trebuie să permită abuzuri, în special în cazul în care solicitarea este prezentată în format electronic. Prin urmare, operatorul trebuie să verifice identitatea persoanei care solicită acces la date și trebuie să poată dovedi că a depus toate eforturile impuse de circumstanțe. | |
Amendamentul 115 Propunere de regulament Articolul 15 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind comunicarea către persoana vizată a conținutului datelor cu caracter personal menționate la alineatul (1) litera (g). |
eliminat |
Justificare | |
Această adăugire nu pare necesară. | |
Amendamentul 116 Propunere de regulament Articolul 15 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) Sub rezerva garanțiilor juridice necesare, în special pentru a se asigura că informațiile nu sunt utilizate pentru a adopta măsuri sau decizii privind anumite persoane, statele membre pot, în cazul în care nu există niciun risc de încălcare a vieții private, limita prin lege drepturile menționate la articolul 15 numai în cazul în care aceste drepturi sunt prelucrate ca parte a cercetării științifice în conformitate cu articolul 83 din prezentul regulament sau în cazul în care aceste date cu caracter personal sunt stocate în perioada de timp necesară pentru a întocmi statistici. |
Justificare | |
A se vedea articolul 13 alineatul (2) din Directiva 95/46/CE, JO L 281/95. | |
Amendamentul 117 Propunere de regulament Articolul 16 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Alineatul (1) nu se aplică datelor pseudonime. |
Justificare | |
Acest amendament face parte dintr-un pachet de amendamente care permit utilizarea datelor pseudonime și a datelor anonime și va încuraja bunele practici de afaceri care protejează interesele persoanelor vizate. Garantarea faptului că datele cu caracter personal nu pot fi atribuite unei persoane vizate (din moment ce nu pot fi legate de o persoană vizată fără utilizarea unor date suplimentare) ajută la promovarea pe mai departe a utilizării datelor de către întreprinderi oferind, în același timp, un nivel ridicat de protecție consumatorilor. | |
Amendamentul 118 Propunere de regulament Articolul 17 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Dreptul de a fi uitat și de a fi șters |
Dreptul de a fi șters |
Justificare | |
Titlul propus de către Comisie induce în eroare. | |
Amendamentul 119 Propunere de regulament Articolul 17 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19; |
(c) persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19, iar opoziția este admisă; |
Justificare | |
Prezentul amendament vizează să asigure că o persoană vizată nu se poate opune pur și simplu, în temeiul articolului 19, declanșând, astfel, principiul dreptului de a fi uitat chiar dacă opoziția este nefondată. | |
Amendamentul 120 Propunere de regulament Articolul 17 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal, acesta ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective. |
(2) În cazul în care operatorul menționat la alineatul (1) a transferat datele cu caracter personal sau a făcut publice datele cu caracter personal fără consimțământul persoanei vizate, acesta ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care datele au fost transferate, operatorul de transfer îi informează pe acești operatori terți că persoana vizată solicită ștergerea tuturor datelor cu caracter personal, precum și a tuturor linkurilor către datele cu caracter personal și a copiilor sau reproducerilor acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective. |
Justificare | |
Această dispoziție vizează îndeosebi transferul de date care fac obiectul unei cereri de ștergere. Trebuie precizat în mod expres că, dacă persoana vizată a făcut publice datele în cauză sau i-a transmis operatorului de date indicația de a întreprinde acest demers ori a făcut acest lucru prin intermediul operatorului de date, răspunderea revine în continuare persoanei vizate. Pe de altă parte, operatorul de date este răspunzător de aplicarea prezentei dispoziții și în cazul datelor care, în mod voluntar, au fost transferate sau puse la dispoziția unor terțe părți care nu au legături cu persoana vizată. | |
Amendamentul 121 Propunere de regulament Articolul 17 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Operatorul menționat la alineatul (1) informează persoana vizată, în măsura în care acest lucru este posibil, cu privire la cursul dat cererii sale de către părțile terțe vizate la alineatul (2). |
Justificare | |
Trebuie consolidate drepturile acordate părții vizate. Articolul 17 alineatul (2) impune operatorului o obligație de responsabilitate. Această obligație trebuie să fie însoțită cel puțin de obligația de a furniza informații privind cursul dat de părțile terțe care prelucrează datele cu caracter personal în cauză. | |
Amendamentul 122 Propunere de regulament Articolul 17 – alineatul 3 – literele e a și e b (noi) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ea) pentru preîntâmpinarea sau detectarea fraudelor sau a criminalității financiare, confirmarea identității și/sau stabilirea solvabilității, |
|
|
(eb) pentru păstrarea de dovezi bazate pe documente cu privire la un studiu de caz dat, în cazul în care operatorul de date este o autoritate publică. |
Justificare | |
Nu ar fi potrivit ca persoanele să fie în măsură să șteargă datele care le privesc, păstrate pentru motive legitime în conformitate cu legislația actuală. | |
Amendamentul 123 Propunere de regulament Articolul 17 – alineatul 9 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul de a detalia: |
Comisia este mandatată să adopte, după solicitarea unui aviz al Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în scopul de a detalia: |
Amendamentul 124 Propunere de regulament Articolul 18 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia poate specifica formatul electronic prevăzut la alineatul (1), precum și normele tehnice, modalitățile și procedurile de transmitere a datelor cu caracter personal în conformitate cu alineatul (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Justificare | |
Din moment ce formatul permite portabilitatea, piața îl poate furniza fără a fi necesară intervenția Comisiei. | |
Amendamentul 125 Propunere de regulament Articolul 19 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În orice moment, persoana vizată are dreptul de a se opune, pe motive legate de situația specială în care se află, prelucrării datelor cu caracter personal pe care se bazează pe articolul 6 alineatul (1) literele (d), (e) și (f), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. |
(1) În orice moment, persoana vizată are dreptul de a se opune, pe motive legate de situația specială în care se află, prelucrării datelor cu caracter personal pe care se bazează pe articolul 6 alineatul (1) literele (d), (e) și (f), cu excepția cazului în care operatorul demonstrează că motivele legitime care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. |
Justificare | |
Prezentul amendament are ca scop să demonstreze că motivele legitime ar trebui să constituie un temei suficient pentru prelucrare, conform articolului 6. | |
Amendamentul 126 Propunere de regulament Articolul 19 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune gratuit prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații. |
(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune gratuit prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil pentru aceasta, care să se poată distinge în mod clar de alte informații. |
Amendamentul 127 Propunere de regulament Articolul 19 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) În cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal. |
(3) În cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele date cu caracter personal în scopurile stabilite în opoziție. |
Amendamentul 128 Propunere de regulament Articolul 19 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) În cazul în care datele sub pseudonim sunt prelucrate în temeiul articolului 6 alineatul (1) litera (g), persoana vizată are dreptul de a se opune gratuit prelucrării. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații. |
Justificare | |
Acest amendament face parte dintr-un pachet de amendamente care permit utilizarea datelor pseudonime și a datelor anonime și va încuraja bunele practici de afaceri care protejează interesele persoanelor vizate. Garantarea faptului că datele cu caracter personal nu pot fi atribuite unei persoane vizate (din moment ce nu pot fi legate de o persoană vizată fără utilizarea unor date suplimentare) ajută la promovarea pe mai departe a utilizării datelor de către întreprinderi oferind, în același timp, un nivel ridicat de protecție consumatorilor. | |
Amendamentul 129 Propunere de regulament Articolul 20 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Măsuri bazate pe crearea de profiluri |
Măsuri bazate pe prelucrarea automată |
Justificare | |
Articolul 20 se referă mai degrabă la prelucrarea automată decât la crearea de profiluri. Titlul acestui articol ar trebui, prin urmare, reformulat astfel: „Măsuri bazate pe prelucrarea automată”. | |
Amendamentul 130 Propunere de regulament Articolul 20 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice persoană fizică are dreptul de a nu fi supusă unei măsuri care produce efecte juridice privind această persoană fizică sau care o afectează în mod semnificativ și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană fizică sau să analizeze ori să prevadă, în special, performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acestuia. |
(1) O persoană vizată nu face obiectul unei decizii injuste sau discriminatorii și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană vizată. |
Justificare | |
În forma sa actuală, articolul 20 nu recunoaște utilizările pozitive ale alcătuirii unui profil, nici nu ține seama de diferitele niveluri ale riscului sau impactului asupra vieții private a persoanelor fizice asociat cu crearea de profiluri. Concentrându-se pe tehnici care sunt fie „neloiale” fie „discriminatorii”, astfel cum sunt definite în Directiva 2005/29/CE, abordarea din această propunere este mai neutră din punct de vedere tehnologic și se concentrează asupra utilizărilor negative ale tehnicilor de creare de profiluri, mai degrabă decât pe tehnologia în sine. | |
Amendamentul 131 Propunere de regulament Articolul 20 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă unei măsuri de acest tip, astfel cum se prevede la alineatul (1), numai dacă prelucrarea datelor: |
eliminat |
|
(a) se efectuează în faza de încheiere sau de executare a unui contract, atunci când a fost acceptată cererea de încheiere sau de executare a contractului, depusă de persoana vizată sau atunci când au fost invocate măsuri corespunzătoare intereselor legitime ale persoanei vizate, cum ar fi dreptul de a obține intervenție umană; sau |
|
|
(b) este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate; sau |
|
|
(c) se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare. |
|
Justificare | |
Eliminat ca urmare a amendamentului propus la alineatul (1). | |
Amendamentul 132 Propunere de regulament Articolul 20 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9. |
(3) Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolele 8 și 9. |
Justificare | |
Eliminat ca urmare a amendamentului propus la alineatul (1). | |
Amendamentul 133 Propunere de regulament Articolul 20 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În cazurile menționate la alineatul (2), informațiile pe care operatorul trebuie să le furnizeze în temeiul articolului 14 includ informații despre existența prelucrării, pentru o măsură de tipul celei la care se face referire la alineatul (1), precum și despre efectele preconizate ale acestei prelucrări asupra persoanei vizate. |
eliminat |
Amendamentul 134 Propunere de regulament Articolul 20 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2). |
eliminat |
Amendamentul 135 Propunere de regulament Articolul 21 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice, cel puțin în ceea ce privește obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului. |
(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice, cel puțin în ceea ce privește scopul prelucrării, obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului. |
Justificare | |
Pentru a asigura un nivel mai ridicat de protecție, în caz de limitare, legislația trebuie să menționeze, de asemenea, obiectivele urmărite în cadrul procesului de prelucrare a datelor cu caracter personal. | |
Amendamentul 136 Propunere de regulament Articolul 22 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Responsabilitatea operatorului |
Principiul general al responsabilității operatorului |
Justificare | |
Principiul responsabilității, introdus implicit la capitolul 4 din propunerea de regulament, trebuie menționat în mod explicit pentru a asigura un nivel mai ridicat de protecție. | |
Amendamentul 137 Propunere de regulament Articolul 22 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor măsurilor corespunzătoare menționate la alineatul (1), altele decât cele menționate la alineatul (2), condițiile pentru verificare și mecanismele de audit menționate la alineatul (3) și criteriile de proporționalitate prevăzute la alineatul (3), și în scopul de a prevedea măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii. |
eliminat |
Justificare | |
Textul este suficient de clar și nu necesită nicio precizare suplimentară. | |
Amendamentul 138 Propunere de regulament Articolul 23 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Având în vedere stadiul actual al tehnicii și costurile de implementare, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate. |
(1) În cazul în care este necesar, pot fi adoptate măsuri obligatorii pentru a se asigura că sunt proiectate categorii de produse sau servicii care au setările implicite ce îndeplinesc cerințele prezentului regulament referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal. Astfel de măsuri se bazează pe standardizare în conformitate cu Regulamentul .../2012 al Parlamentului European și al Consiliului privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE și a Deciziei 1673/2006/CE. |
Justificare | |
Acest amendament face parte dintr-un pachet de amendamente menite să recunoască faptul că, deși protecția datelor din stadiul proiectării și protecția implicită a acestora este un concept lăudabil, propunerea Comisiei nu demonstrează suficientă siguranță, creând, în același timp, un risc pentru eventualele restricții privind libera circulație. Prin urmare, mecanismul consacrat al utilizării standardizării, astfel cum este compilat în „Pachetul referitor la standardizare”, ar trebui utilizat pentru a armoniza cerințele aplicabile și a permite, în schimb, libera circulație. | |
Amendamentul 139 Propunere de regulament Articolul 23 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Operatorul de date ar trebui să aplice anonimizarea sau pseudonimizarea datelor cu caracter personal în cazul în care este posibil și proporțional, în funcție de scopul prelucrării. |
Amendamentul 140 Propunere de regulament Articolul 23 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate sau păstrate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane. |
(2) Până în momentul în care măsurile obligatorii au fost adoptate în conformitate cu alineatul (1), statele membre se asigură că nicio cerință obligatorie implicită sau aflată în stadiul de proiect nu este impusă bunurilor sau serviciilor privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal care ar putea împiedica introducerea de echipamente pe piață și libera circulație a acestor mărfuri și servicii în interiorul și între statele membre. |
Justificare | |
Acest amendament face parte dintr-un pachet de amendamente menite să recunoască faptul că, deși protecția datelor din stadiul proiectării și protecția implicită a acestora este un concept lăudabil, propunerea Comisiei nu demonstrează suficientă siguranță, creând, în același timp, un risc pentru eventualele restricții privind libera circulație. Prin urmare, ar trebui utilizat, în schimb, mecanismul consacrat al utilizării standardizării pentru a armoniza cerințele aplicabile și a promova libera circulație. | |
Amendamentul 141 Propunere de regulament Articolul 23 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor și mecanismelor de certificare menționate la alineatele (1) și (2), în special în ceea ce privește cerințele legate de protecția datelor începând cu momentul conceperii aplicabile în cazul tuturor sectoarelor, al produselor și al serviciilor. |
eliminat |
Justificare | |
Prezenta propunere de regulament se aplică tuturor sectoarelor, fie că sunt online sau nu. Comisia nu trebuie să fie responsabilă de adoptarea de acte delegate în domeniul protecției datelor începând cu momentul conceperii și implicit, întrucât ar putea aduce atingere inovării tehnologice. Autoritățile de supraveghere ale statelor membre și Comitetul european pentru protecția datelor sunt mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 142 Propunere de regulament Articolul 23 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia poate stabili standarde tehnice pentru cerințele menționate la alineatele (1) și (2). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
eliminat |
Justificare | |
Prezenta propunere de regulament se aplică tuturor sectoarelor, fie că sunt online sau nu. Nu este de competența Comisiei să stabilească norme tehnice care ar risca să aducă atingere inovării tehnologice. Autoritățile de supraveghere ale statelor membre și Comitetul european pentru protecția datelor sunt mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 143 Propunere de regulament Articolul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
Atunci când un operator stabilește, împreună cu alți operatori, scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. |
Atunci când un operator stabilește, împreună cu alți operatori, scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. În cazul în care această definiție nu există sau este insuficient de clară, persoana vizată își poate exercita drepturile față de oricare dintre operatorii de date, iar aceștia răspund în egală măsură. |
Justificare | |
Acest amendament oferă o protecție sporită persoanei vizate în acest caz specific. | |
Amendamentul 144 Propunere de regulament Articolul 26 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care o operațiune de prelucrare se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri. |
(1) În cazul în care o operațiune de prelucrare se realizează în numele operatorului și implică prelucrarea unor date care ar permite persoanei împuternicite să identifice în mod rezonabil persoana vizată, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri. Operatorul este singurul responsabil pentru garantarea respectării cerințelor prezentului regulament. |
Justificare | |
În cazul în care, datorită unor tehnici adecvate de anonimizare, nu este posibil din punct de vedere tehnic ca persoana împuternicită de către operator să identifice o persoană vizată, articolul 26 nu se aplică. Reducerea sarcinii administrative va stimula investițiile în tehnologii eficiente de anonimizare și utilizarea unui sistem robust de acces restricționat. Principiul de bază potrivit căruia responsabilitatea primară și directă și răspunderea pentru prelucrare revin operatorului trebuie să fie menționat în mod clar în prezentul articol. | |
Amendamentul 145 Propunere de regulament Articolul 26 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) recrutează o altă persoană împuternicită de către operator numai cu autorizarea prealabilă a operatorului; |
eliminat |
Justificare | |
Cerința de a obține o autorizație prealabilă de la operator pentru persoana împuternicită de acesta pentru a recruta alte persoane împuternicite de către operator impune sarcini ce nu prezintă niciun beneficiu clar în privința sporirii protecției datelor. De asemenea, aceasta nu este realizabilă în special în contextul informaticii dematerializate (cloud) și mai ales dacă este interpretată astfel încât să necesite o autorizație prealabilă pentru a utiliza anumite persoane împuternicite de către operator. Această cerință ar trebui eliminată. | |
Amendamentul 146 Propunere de regulament Articolul 26 – alineatul 2 – litera h a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ha) în cazul în care efectuează prelucrarea de date în numele operatorului, persoana împuternicită de către operator trebuie să aplice confidențialitatea din stadiul de proiect și confidențialitatea în mod implicit. |
Amendamentul 147 Propunere de regulament Articolul 26 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Se consideră că operatorul a îndeplinit obligațiile prevăzute la alineatul (1) atunci când alege o persoană împuternicită care s-a autocertificat în mod voluntar sau a obținut în mod voluntar o certificare, sigiliu sau marcă, în temeiul articolelor 38 sau 39 din prezentul regulament, care dovedește implementarea măsurilor standard de ordin tehnic și organizatoric corespunzătoare, ca răspuns la cerințele stabilite de prezentul regulament. |
Justificare | |
Regulamentul ar trebui să ofere stimulente clare pentru operator și persoana împuternicită de operator de a investi în măsuri de consolidare a securității și protecției vieții private. În cazul în care operatorul și persoana împuternicită de către operator propun măsuri de protecție suplimentare pentru protejarea datelor, care sunt în conformitate sau care depășesc standardele acceptate de sectorul în cauză și pot demonstra acest lucru prin intermediul unor certificate concludente, ei ar trebui să beneficieze de cerințe mai puțin prescriptive. În special, acest lucru ar permite o flexibilitate și o povară redusă pentru furnizorii de informatică dematerializată și clienții acestora. | |
Amendamentul 148 Propunere de regulament Articolul 26 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente responsabilităților, drepturilor și sarcinilor unei persoane împuternicite de către operator în conformitate cu alineatul (1), precum și condițiilor care permit facilitarea procesului de prelucrare a datelor cu caracter personal în cadrul unui grup de întreprinderi, în special pentru verificare și raportare. |
eliminat |
Justificare | |
Aceste precizări nu sunt necesare. Transferurile din interiorul grupurilor sunt deja abordate într-o altă secțiune a prezentei propuneri. | |
Amendamentul 149 Propunere de regulament Articolul 28 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la toate operațiunile de prelucrare derulate sub responsabilitatea sa. |
(1) Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la principalele categorii de prelucrare derulate sub responsabilitatea sa. |
Justificare | |
O protecție eficace a datelor impune organizațiilor să dispună de o înțelegere suficient de bine documentată a activităților lor de prelucrare a datelor. Cu toate acestea, păstrarea unei documentații pentru toate operațiunile de prelucrare este un lucru din cale afară de împovărător. În loc de a satisface nevoile birocratice, scopul documentației ar trebui să fie de a ajuta operatorul și persoana împuternicită de către operator să își îndeplinească obligațiile. | |
Amendamentul 150 Propunere de regulament Articolul 28 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Această documentație cuprinde cel puțin următoarele informații: |
(2) Această documentație cuprinde următoarele informații: |
Justificare | |
Pentru a garanta securitatea juridică, lista informațiilor cuprinse în documentație trebuie să fie exhaustivă. | |
Amendamentul 151 Propunere de regulament Articolul 28 – alineatul 2 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) scopul prelucrării datelor, inclusiv interesele legitime urmărite de responsabilul cu prelucrarea, atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (f); |
(c) scopul generic al prelucrării datelor. |
Justificare | |
Acest amendament contribuie la reducerea sarcinii administrative care le revine operatorilor de date și persoanelor împuternicite de operatori. | |
Amendamentul 152 Propunere de regulament Articolul 28 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care le privesc; |
eliminat |
Justificare | |
Regulamentul are un dublu obiectiv: să asigure un nivel înalt de protecție a datelor cu caracter personal și să reducă sarcina administrativă generată de normele privind protecția datelor. Obligația impusă operatorului și persoanei împuternicite de operator prin articolul 28 alineatul (2) litera (h) este suficientă pentru îndeplinirea dublului obiectiv în cauză. | |
Amendamentul 153 Propunere de regulament Articolul 28 – alineatul 2 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv operatorii cărora le sunt comunicate datele cu caracter personal în interesul legitim pe care îl urmăresc; |
eliminat |
Justificare | |
Regulamentul are un dublu obiectiv: să asigure un nivel înalt de protecție a datelor cu caracter personal și să reducă sarcina administrativă generată de normele privind protecția datelor. Obligația impusă operatorului și persoanei împuternicite de operator prin articolul 28 alineatul (2) litera (h) este suficientă pentru îndeplinirea dublului obiectiv în cauză. | |
Amendamentul 154 Propunere de regulament Articolul 28 – alineatul 2 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) dacă este cazul, transferurile de date către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare; |
(f) dacă este cazul, transferurile de date cu caracter personal către o țară terță sau o organizație internațională și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), o referire la garanțiile utilizate; |
Justificare | |
Acest amendament contribuie la reducerea sarcinii administrative care le revine operatorilor de date și persoanelor împuternicite de operatori. | |
Amendamentul 155 Propunere de regulament Articolul 28 – alineatul 2 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
(g) o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date; |
eliminat |
Justificare | |
Regulamentul are un dublu obiectiv: să asigure un nivel înalt de protecție a datelor cu caracter personal și să reducă sarcina administrativă generată de normele privind protecția datelor. Obligația impusă operatorului și persoanei împuternicite de operator prin articolul 28 alineatul (2) litera (h) este suficientă pentru îndeplinirea dublului obiectiv în cauză. | |
Amendamentul 156 Propunere de regulament Articolul 28 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia. |
(3) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia și, în format electronic, la dispoziția persoanei vizate. |
Justificare | |
Politica privind protecția vieții private ar trebui pusă la dispoziția persoanei vizate, precum și a autorității de supraveghere. | |
Amendamentul 157 Propunere de regulament Articolul 28 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) unei autorități publice atunci când aceasta are de a face cu date altele decât datele sensibile cu caracter personal menționate la articolul 9 alineatul (1) din prezentul Regulament. |
Amendamentul 158 Propunere de regulament Articolul 28 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului. |
eliminat |
Justificare | |
Nu sunt necesare astfel de precizări suplimentare. | |
Amendamentul 159 Propunere de regulament Articolul 28 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Amendamentul 160 Propunere de regulament Articolul 30 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor, cu excepția cazului în care se aplică alineatul (4). |
eliminat |
Amendamentul 161 Propunere de regulament Articolul 30 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia poate adopta, dacă este cazul, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special pentru a: |
eliminat |
|
(a) preveni accesul neautorizat la date cu caracter personal; |
|
|
(b) preveni orice act neautorizat de divulgare, citire, copiere, modificare, ștergere sau eliminare a datelor cu caracter personal; |
|
|
(c) asigura verificarea legalității operațiunilor de prelucrare. |
|
|
Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
Amendamentul 162 Propunere de regulament Articolul 31 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Notificarea autorității de supraveghere trebuie să fie însoțită de o explicație motivată în cazul în care aceasta nu are loc în termen de 24 de ore. |
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, care ar putea afecta grav protecția datelor cu caracter personal sau viața privată a persoanei în cauză, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate. |
Justificare | |
După ce a avut loc o încălcare a datelor cu caracter personal, ar trebui să se acorde prioritate măsurilor destinate să reducă prejudiciile. Prin stabilirea unui termen explicit, prioritatea se acordă notificării. | |
Amendamentul 163 Propunere de regulament Articolul 31 – alineatul 3 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Notificarea menționată la alineatul (1) trebuie cel puțin: |
(3) Notificarea menționată la alineatul (1) trebuie, dacă este posibil: |
Amendamentul 164 Propunere de regulament Articolul 31 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită autorității de supraveghere să verifice conformitatea cu prezentul articol. Documentația respectivă include numai informațiile necesare în acest scop. |
(4) Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită autorității de supraveghere să verifice conformitatea cu prezentul articol și cu articolul 30. Documentația respectivă include numai informațiile necesare în acest scop. |
Justificare | |
Operatorul de date trebuie să dovedească faptul că a luat toate măsurile posibile în limite rezonabile pentru a evita încălcarea datelor cu caracter personal, în plus față de dovezile prezentate cu privire la gestionarea corectă a încălcărilor produse. | |
Amendamentul 165 Propunere de regulament Articolul 31 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a indica mai detaliat criteriile și cerințele necesare pentru stabilirea încălcării menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal. |
eliminat |
Justificare | |
Nu sunt necesare astfel de precizări suplimentare. | |
Amendamentul 166 Propunere de regulament Articolul 31 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate stabili un format standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentației la care se face referire la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în această documentație. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Amendamentul 167 Propunere de regulament Articolul 32 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal și a vieții private a persoanei vizate, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal. |
(1) Atunci când încălcarea securității datelor cu caracter personal ar putea afecta grav protecția datelor cu caracter personal și a vieții private a persoanei vizate, de exemplu prin furt de identitate sau fraudă, prejudiciu fizic, umilire sau afectare gravă a reputației, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, în mod clar și concis, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal. |
Justificare | |
Există cazuri în care cooperarea persoanei vizate este esențială pentru atenuarea efectelor negative ale încălcării datelor cu caracter personal. De exemplu, în cazul furtului unui număr de card de credit, doar persoana vizată poate distinge care sunt plățile frauduloase și care nu. Prin urmare, cooperarea sa este mai importantă chiar decât notificarea autorității. Prin urmare, este deosebit de important să se ia în considerare astfel de cazuri și să li se acorde prioritate. | |
Amendamentul 168 Propunere de regulament Articolul 32 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Informarea persoanei vizate prevăzută la alineatul (1) cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b) și (c). |
(2) Informarea persoanei vizate prevăzută la alineatul (1) cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b), (c) și (d). |
Amendamentul 169 Propunere de regulament Articolul 32 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze. |
(3) Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care încălcarea securității datelor nu reprezintă un risc grav de a prejudicia cetățenii, iar operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze. |
Amendamentul 170 Propunere de regulament Articolul 32 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal menționate la alineatul (1). |
eliminat |
Justificare | |
În analiza impactului, autoritatea de protecție a datelor dispune de toate informațiile necesare pentru a stabili dacă există riscul ca încălcarea securității datelor să aibă efecte negative asupra datelor cu caracter personal sau vieții private a persoanei vizate. | |
Amendamentul 171 Propunere de regulament Articolul 32 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate stabili forma în care persoana vizată este informată conform alineatului (1) și procedurile aplicabile respectivei informări. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Amendamentul 172 Propunere de regulament Articolul 33 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor, operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, trebuie să efectueze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. |
(1) Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor, sau atunci când aceste operațiuni se efectuează în cadrul unui proiect de infrastructură din sectorul public, operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, trebuie să efectueze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. |
Amendamentul 173 Propunere de regulament Articolul 33 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Următoarele operațiuni de prelucrare prezintă în special riscurile specifice la care se face referire la alineatul (1): |
(2) Următoarele operațiuni de prelucrare prezintă riscurile specifice la care se face referire la alineatul (1): |
Justificare | |
Lista operațiunilor de prelucrare care trebuie să facă obiectul unui studiu de impact, prevăzută la articolul 33 alineatul (2), este formulată de o manieră generală. Pentru a respecta principiul proporționalității și pentru a oferi securitate juridică, aceasta trebuie să fie restrictivă. | |
Amendamentul 174 Propunere de regulament Articolul 33 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea informațiilor privind viața sexuală, sănătatea, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase prelucrarea datelor pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă; |
(b) prelucrarea informațiilor privind viața sexuală, sănătatea, opiniile politice, convingerile religioase, condamnările penale, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase, atunci când prelucrarea datelor se efectuează pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă; |
Amendamentul 175 Propunere de regulament Articolul 33 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Evaluarea trebuie să cuprindă cel puțin o descriere generală a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate. |
(3) Evaluarea cuprinde cel puțin o descriere generală a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate, precum și tehnologiile și metodele moderne care pot îmbunătăți viața privată a cetățenilor. |
Amendamentul 176 Propunere de regulament Articolul 33 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Operatorul solicită avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare. |
eliminat |
Justificare | |
Oricare ar fi sectorul vizat, impunerea unei obligații generale de consultare a persoanelor vizate de către operatori înaintea prelucrării datelor pare a fi o măsură disproporționată. | |
Amendamentul 177 Propunere de regulament Articolul 33 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Atunci când operatorul este o autoritate sau un organism public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1) - (4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare. |
eliminat |
Amendamentul 178 Propunere de regulament Articolul 33 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia poate să prevadă standarde și proceduri de realizare, verificare și auditare a evaluării menționate la alineatul (3). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Amendamentul 179 Propunere de regulament Articolul 34 – alineatul 8 | |
|
Textul propus de Comisie |
Amendamentul |
|
(8) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind stabilirea gradului înalt de risc specific prevăzut la alineatul 2 litera (a). |
eliminat |
Amendamentul 180 Propunere de regulament Articolul 35 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când: |
(1) Operatorul și persoana împuternicită de către operator ar trebui să desemneze un responsabil cu protecția datelor atunci când: |
Justificare | |
Desemnarea unui RPD ar trebui să fie încurajată, dar nu ar trebui să fie obligatorie, pentru a asigura că acest lucru nu ar genera obligații financiare și administrative disproporționate pentru organizațiile ale căror activități nu prezintă un risc considerabil pentru viața privată a persoanei vizate. Prezentul amendament este legat de amendamentele Grupului ECR la articolul 79, care garantează că autoritățile de protecție a datelor (APD) iau în considerare prezența unui responsabil cu protecția datelor (RPD), sau lipsa acestuia, atunci când hotărăsc asupra sancțiunilor administrative și împuternicește APD să desemneze RPD ca formă de sancțiune administrativă. | |
Amendamentul 181 Propunere de regulament Articolul 35 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea este efectuată de o întreprindere cu 250 de angajați sau mai mult; or |
eliminat |
Amendamentul 182 Propunere de regulament Articolul 35 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul menționat la alineatul (1) litera (b), un grup de întreprinderi poate numi un responsabil unic cu protecția datelor. |
eliminat |
Justificare | |
După eliminarea literei (b) de la alineatul (1), prezentul alineat devine lipsit de sens. | |
Amendamentul 183 Propunere de regulament Articolul 35 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. |
(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. Responsabilul cu protecția datelor trebuie să aibă la dispoziție suficient timp de lucru și o infrastructură adecvată pentru realizarea sarcinilor sale. |
Amendamentul 184 Propunere de regulament Articolul 35 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin doi ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă responsabilul cu protecția datelor nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale. |
(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin doi ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. |
Justificare | |
La fel ca în cazul altor angajați, ar trebui să fie posibilă concedierea RPD în cazul în care acesta nu-și îndeplinește sarcinile trasate de conducere. Conducerea decide dacă este mulțumită sau nu de persoana angajată. | |
Amendamentul 185 Propunere de regulament Articolul 35 – alineatul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament. |
(10) Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de exercitarea drepturilor în temeiul prezentului regulament. |
Amendamentul 186 Propunere de regulament Articolul 35 – alineatul 11 | |
|
Textul propus de Comisie |
Amendamentul |
|
(11) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 cu scopul de a specifica în detaliu criteriile și cerințele pentru activitățile principale ale operatorului sau ale persoanei împuternicite de către operator prevăzute la alineatul (1) litera (c), precum și criteriile privind calitățile profesionale ale responsabilului cu protecția datelor prevăzute la alineatul (5). |
eliminat |
Justificare | |
Nu sunt necesare astfel de precizări suplimentare. | |
Amendamentul 187 Propunere de regulament Articolul 37 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind sarcinile, certificarea, statutul, competențele și resursele responsabilului cu protecția datelor la care se face referire la alineatul (1). |
eliminat |
Justificare | |
Nu sunt necesare astfel de precizări suplimentare. | |
Amendamentul 188 Propunere de regulament Articolul 41 – alineatul 2 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate; |
(a) statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate; |
Justificare | |
În anumite țări, hotărârile pronunțate anterior de instanțe prezintă o deosebită importanță (de exemplu, în țările în care sistemul de drept este de tip Common Law). | |
Amendamentul 189 Propunere de regulament Articolul 41 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat. |
(7) Comisia publică în Jurnalul Oficial al Uniunii Europene și pe site-ul său o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat. |
Justificare | |
Site-ul facilitează actualizarea și, în numeroase cazuri, căutarea. | |
Amendamentul 190 Propunere de regulament Articolul 42 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie. |
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie și, după caz, în urma unei evaluări de impact, în cazul în care operatorul sau persoana împuternicită de acesta s-a asigurat că destinatarul datelor din țara terță aplică standarde înalte de protecție a datelor. |
Justificare | |
Prezentul amendament este în conformitate cu amendamentele ECR care vizează să încurajeze operatorii să aplice standarde ridicate de protecție a datelor, încurajându-i să realizeze o evaluare de impact, cu titlu facultativ. | |
Amendamentul 191 Propunere de regulament Articolul 42 – alineatul 2 – litera c a (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ca) clauze standard de protecție a datelor, adoptate în conformitate cu literele (a) și (b), între operator sau persoana împuternicită de acesta și beneficiarul datelor situat într-o țară terță, care poate cuprinde termeni standard în materie de transferuri ulterioare către un beneficiar situat într-o țară terță; |
Justificare | |
Studiul departamentului de politici al Parlamentului consacrat reformei pachetului privind protecția datelor subliniază că, în conformitate cu propunerea de regulament, clauzele standard nu se aplică acordurilor dintre operatori și subcontractanți. Această lacună ar putea constitui un dezavantaj semnificativ pentru întreprinderile din UE și noile întreprinderi tehnologice. Prezentul amendament vizează să elimine această lacună. | |
Amendamentul 192 Propunere de regulament Articolul 44 – alineatul 1 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, nu poate fi considerat frecvent sau voluminos, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar. |
(h) transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, nu poate fi considerat frecvent sau voluminos sau în cazul în care, înaintea unui astfel de transfer, datele cu caracter personal sunt deja publicate în țara terță, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar. |
Amendamentul 193 Propunere de regulament Articolul 44 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii „motivelor importante, de interes public”, în sensul alineatului (1) litera (d), precum și a criteriilor și cerințelor aplicabile garanțiilor corespunzătoare prevăzute la alineatul (1) litera (h). |
eliminat |
Amendamentul 194 Propunere de regulament Articolul 62 | |
|
Textul propus de Comisie |
Amendamentul |
|
Articolul 62 |
eliminat |
|
Acte de punere în aplicare |
|
|
(1)Comisia poate adopta acte de punere în aplicare pentru: |
|
|
(a) a decide privind aplicarea corectă a prezentului regulament, în conformitate cu obiectivele și cerințele acestuia în ceea ce privește aspectele comunicate de către autoritățile de supraveghere în temeiul articolului 58 sau 61, privind o chestiune în legătură cu care a fost adoptată o decizie motivată în temeiul articolului 60 alineatul (1), sau privind o chestiune în legătură cu care o autoritate de supraveghere nu prezintă un proiect de măsură și respectiva autoritate de supraveghere a indicat că nu intenționează să urmeze avizul Comisiei adoptat în temeiul articolului 59; |
|
|
(b) a decide, în termenul menționat la articolul 59 alineatul (1), referitor la aplicabilitatea generală a proiectului de clauze standard în materie de protecție a datelor menționate la articolul 58 alineatul (2) litera (d); |
|
|
(c) a defini forma și procedurile pentru aplicarea mecanismului pentru asigurarea coerenței menționat în prezenta secțiune; |
|
|
(d) a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la articolul 58 alineatele (5), (6) și (8). |
|
|
Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
|
|
(2) Din motive imperative de urgență pe deplin justificate legate de interesul persoanelor vizate în cazurile menționate la alineatul (1) litera (a), Comisia adoptă acte de punere în aplicare imediat aplicabile, în conformitate cu procedura menționată la articolul 87 alineatul (3). Aceste acte rămân în vigoare pentru o perioadă de cel mult 12 luni. |
|
|
(3) Absența sau adoptarea unei măsuri în temeiul prezentei secțiuni nu aduce atingere altor măsuri adoptate de Comisie în temeiul tratatelor. |
|
Justificare | |
Nu este judicios să se prevadă creșterea volumului de lucru al Comisiei prin încredințarea unor astfel de sarcini, care pot fi exercitate cu o mai mare eficacitate de către Comitetul european pentru protecția datelor. | |
Amendamentul 195 Propunere de regulament Articolul 63 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 63a |
|
|
Procedurile de recurs |
|
|
(1) Fără a aduce atingere competențelor Curții Europene de Justiție, Comitetul european pentru protecția datelor poate emite avize cu caracter obligatoriu dacă: |
|
|
(a) o persoană vizată sau operatorul de date intentează apel pe motiv că prezentul regulament nu este aplicat în mod coerent în toate statele membre; sau |
|
|
(b) un proiect de măsură al autorității competente a trecut prin întregul mecanism pentru asigurarea coerenței descris în prezenta secțiune fără a fi încă perceput drept coerent cu aplicarea prezentului regulament în întreaga UE. |
|
|
(2) Înainte de a emite un astfel de aviz, Comitetul european pentru protecția datelor ia în considerare toate informațiile de care are cunoștință autoritatea de protecție a datelor, inclusiv punctul de vedere al părților interesate. |
Justificare | |
Fără a aduce atingere competenței autorității de protecție a datelor din țara de stabilire principală, este necesară o măsură suplimentară pentru a se asigura coerența la nivelul întregii piețe unice, în cazul izolat în care o măsură ar fi atât de controversată încât să împiedice întregul mecanism pentru asigurarea coerenței să permită obținerea unui consens larg în privința măsurii respective. | |
Amendamentul 196 Propunere de regulament Articolul 66 – alineatul 1 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57; |
(d) să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57 și la articolul 63a; |
Justificare | |
Prezentul amendament corespunde articolului 63a (nou). | |
Amendamentul 197 Propunere de regulament Articolul 73 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament. |
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament. Plângerea nu trebuie să impună costuri pentru persoana vizată. |
Amendamentul 198 Propunere de regulament Articolul 73 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal. |
eliminat |
Amendamentul 199 Propunere de regulament Articolul 74 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă. |
(1) Fără a aduce atingere procedurii descrise la articolul 63a (nou), orice persoană fizică sau juridică, inclusiv fiecare operator și fiecare persoană împuternicită de acesta, are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă sau care o afectează pe aceasta. |
Justificare | |
Prezentul amendament este esențial pentru clarificarea principiului de bază potrivit căruia operatorii pot exercita o cale de atac judiciară în cazul în care sunt afectați de către decizii, chiar și atunci când ei nu sunt vizați în mod direct de decizia unei autorități naționale. | |
Amendamentul 200 Propunere de regulament Articolul 74 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) O persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru. |
eliminat |
Justificare | |
Această posibilitate nu aduce valoare adăugată cetățenilor și riscă să compromită buna funcționare a colaborării dintre autoritățile de supraveghere în cadrul mecanismului pentru asigurarea coerenței. | |
Amendamentul 201 Propunere de regulament Articolul 76 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74 și 75 în numele uneia sau mai multor persoane vizate. |
eliminat |
Amendamentul 202 Propunere de regulament Articolul 77 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice persoană care a suferit prejudicii ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. |
(1) Orice persoană care a suferit prejudicii materiale sau morale ca urmare a unei operațiuni ilegale de prelucrare, inclusiv înscrierea pe o listă neagră, sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit și pentru orice daune morale. |
Amendamentul 203 Propunere de regulament Articolul 78 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre definesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare, inclusiv în cazul în care operatorul nu a respectat obligația de a desemna un reprezentant. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive. |
(1) Statele membre definesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare, inclusiv în cazul în care operatorul nu a respectat obligația de a desemna un reprezentant. Sancțiunile prevăzute trebuie să fie eficace, coerente, proporționale și disuasive. |
Justificare | |
Sancțiunile trebuie aplicate în mod coerent în întreaga Uniune Europeană. | |
Amendamentul 204 Propunere de regulament Articolul 79 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. |
(1) Fiecare autoritate de supraveghere competentă este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. |
Amendamentul 205 Propunere de regulament Articolul 79 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării. |
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională, nediscriminatorie și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de categoria specială de date cu caracter personal, de gradul de prejudiciu sau risc de prejudiciu creat de încălcare, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării. După caz, autoritatea de protecție a datelor este, de asemenea, împuternicită să solicite desemnarea unui responsabil cu protecția datelor în cazul în care organismul, organizația sau asociația a ales să nu facă acest lucru. |
Justificare | |
Prezentul amendament urmărește să asigure că încălcările intenționate sau cele cauzate de imprudență sunt sancționate mai sever decât încălcările cauzate de o simplă neglijență. Prin pachetul de amendamente referitoare la sancțiunile administrative se urmărește asigurarea faptului că sancțiunea este proporțională cu comportamentul și că sancțiunile cele mai severe sunt rezervate pentru abaterile cele mai grave. Capacitatea APD de a solicita desemnarea unui RPD vizează, de asemenea, să garanteze proporționalitatea sancțiunilor. | |
Amendamentul 206 Propunere de regulament Articolul 79 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Circumstanțele agravante includ, în special: |
|
|
(a) încălcări repetate comise cu nesocotirea flagrantă a legislației aplicabile; |
|
|
(b) refuzul de a coopera sau obstrucționarea unei proceduri de aplicare; |
|
|
(c) încălcări intenționate, grave și care pot cauza daune importante; |
|
|
(d) nerealizarea unei evaluări de impact asupra protecției datelor; |
|
|
(e) nedesemnarea unui responsabil cu protecția datelor. |
Amendamentul 207 Propunere de regulament Articolul 79 – alineatul 2 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2b) Circumstanțele atenuante includ: |
|
|
(a) măsuri adoptate de persoana fizică sau juridică pentru a asigura respectarea obligațiilor pertinente; |
|
|
(b) o reală incertitudine că activitatea a constituit sau nu o încălcare a obligațiilor pertinente; |
|
|
(c) încetarea imediată a încălcării la aflarea acesteia; |
|
|
(d) cooperarea cu orice procedură de aplicare; |
|
|
(e) realizarea unei evaluări de impact asupra protecției datelor; |
|
|
(f) desemnarea unui responsabil cu protecția datelor. |
Amendamentul 208 Propunere de regulament Articolul 79 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Autoritatea de supraveghere impune o amendă de până la 250.000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
eliminat |
|
(a) nu prevede mecanisme care să permită persoanelor vizate să formuleze solicitări sau nu răspunde prompt sau nu în forma adecvată persoanelor vizate, în temeiul articolului 12 alineatele (1) și (2); |
|
|
(b) percepe o taxă pentru informații sau pentru răspunsurile la solicitările persoanelor vizate, încălcând articolul 12 alineatul (4). |
|
Justificare | |
A se vedea articolul 79 alineatul (3). | |
Amendamentul 209 Propunere de regulament Articolul 79 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Autoritatea de supraveghere impune o amendă de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
eliminat |
|
(a) nu furnizează persoanei vizate informațiile sau furnizează informații incomplete sau nu furnizează informațiile într-un mod suficient de transparent, în conformitate cu articolul 11, articolul 12 alineatul (3) și articolul 14; |
|
|
(b) nu oferă acces persoanei vizate sau nu rectifică datele cu caracter personal în temeiul articolelor 15 și 16 sau nu comunică unui destinatar informațiile relevante, în temeiul articolului 13; |
|
|
(c) nu respectă „dreptul de a fi uitat” ori dreptul la ștergere sau nu instituie mecanisme pentru a asigura că termenele sunt respectate sau nu ia toate măsurile necesare pentru a informa părțile terțe că o persoană vizată solicită ștergerea tuturor linkurilor către datele sale cu caracter personal, sau a tuturor copiilor sau a reproducerilor acestora, în temeiul articolului 17; |
|
|
(d) nu furnizează o copie a datelor cu caracter personal în format electronic sau împiedică persoana vizată să transmită datele cu caracter personal către o altă aplicație, încălcând articolul 18; |
|
|
(e) nu definește sau nu definește suficient responsabilitățile respective cu operatorii asociați în temeiul articolului 24; |
|
|
(f) nu păstrează sau nu păstrează suficient documentația în temeiul articolului 28, articolului 31 alineatul (4) și al articolului 44 alineatul (3); |
|
|
(g) nu respectă, în cazurile în care nu sunt implicate categorii speciale de date, în temeiul articolelor 80, 82 și 83, normele privind libertatea de exprimare sau normele privind prelucrarea în contextul ocupării unui loc de muncă sau condițiile pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică. |
|
Justificare | |
A se vedea articolul 79 alineatul (3). | |
Amendamentul 210 Propunere de regulament Articolul 79 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Autoritatea de supraveghere impune o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
eliminat |
|
(a) prelucrează datele cu caracter personal fără niciun temei juridic sau fără un temei juridic suficient pentru prelucrare sau nu respectă condițiile privind consimțământul, în temeiul articolelor 6, 7 și 8; |
|
|
(b) prelucrează categorii speciale de date, încălcând articolele 9 și 81; |
|
|
(c) nu respectă o opoziție sau nu se conformează cerinței în temeiul articolului 19; |
|
|
(d) nu respectă condițiile legate de măsurile bazate pe crearea de profiluri în temeiul articolului 20; |
|
|
(e) nu adoptă norme interne sau nu pune în aplicare măsuri corespunzătoare pentru a asigura și a demonstra conformitatea în temeiul articolelor 22, 23 și 30; |
|
|
(f) nu desemnează un reprezentant în temeiul articolului 25; |
|
|
(g) prelucrează date cu caracter personal sau dă instrucțiuni de prelucrare a datelor cu caracter personal încălcând obligațiile privind prelucrarea în numele unui operator în temeiul articolelor 26 și 27; |
|
|
(h) nu semnalează sau nu notifică o încălcare a securității datelor cu caracter personal sau nu notifică la timp ori complet autorității de supraveghere sau persoanei vizate încălcarea securității datelor, în temeiul articolelor 31 și 32; |
|
|
(i) nu efectuează o evaluare a impactului privind protecția datelor sau prelucrează date cu caracter personal fără autorizare prealabilă sau consultarea prealabilă a autorității de supraveghere în temeiul articolelor 33 și 34; |
|
|
(j) nu desemnează un responsabil cu protecția datelor sau nu asigură condițiile pentru îndeplinirea sarcinilor în temeiul articolelor 35, 36 și 37; |
|
|
(k) utilizează abuziv sigiliile și mărcile din domeniul protecției datelor, în sensul articolului 39; |
|
|
(l) efectuează sau dă instrucțiuni pentru transferarea de date către o țară terță sau o organizație internațională care nu este autorizată printr-o decizie privind caracterul adecvat sau prin garanții adecvate sau printr-o derogare în temeiul articolelor 40-44; |
|
|
(m) nu respectă un ordin sau o interdicție temporară sau definitivă privind prelucrarea sau suspendarea fluxurilor de date emisă de autoritatea de supraveghere, în temeiul articolului 53 alineatul (1); |
|
|
(n) nu respectă obligațiile de a oferi asistență sau de a răspunde sau de a furniza informațiile relevante autorității de supraveghere sau de a da acesteia acces la clădirile sale, în temeiul articolului 28 alineatul (3), al articolului 29, al articolului 34 alineatul (6) și al articolului 53 alineatul (2); |
|
|
(o) nu respectă normele pentru garantarea secretului profesional, în temeiul articolului 84. |
|
Justificare | |
A se vedea articolul 79 alineatul (3). | |
Amendamentul 211 Propunere de regulament Articolul 79 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor amenzilor administrative menționate la alineatele (4), (5) și (6), ținând seama de criteriile menționate la alineatul (2). |
eliminat |
Justificare | |
A se vedea articolul 79 alineatul (3). | |
Amendamentul 212 Propunere de regulament Articolul 81 – alineatul 1 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În limitele prevăzute de prezentul regulament și în conformitate cu articolul 9 alineatul (2), litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare și specifice pentru garantarea intereselor legitime ale persoanei vizate și care sunt necesare: |
(1) În limitele prevăzute de prezentul regulament și în conformitate cu articolul 9 alineatul (2), litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare, coerente și specifice pentru garantarea intereselor legitime ale persoanei vizate și care sunt necesare: |
Justificare | |
Prin adăugarea cerinței referitoare la coerență, legile statelor membre dispun de o marjă mai redusă de libertate, având în vedere obiectivul pieței unice. | |
Amendamentul 213 Propunere de regulament Articolul 81 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul precizării în continuare a altor motive de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și a unor criterii și cerințe referitoare la garanții în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
eliminat |
Justificare | |
Nu sunt necesare astfel de precizări suplimentare. | |
Amendamentul 214 Propunere de regulament Articolul 82 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În limitele prezentului regulament, statele membre pot adopta pe cale legislativă norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării, îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. |
(1) În limitele prezentului regulament, statele membre pot adopta pe cale legislativă sau prin intermediul acordurilor colective dintre angajatori și angajați norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul recrutării, îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, al condamnărilor penale, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. În conformitate cu principiile menționate la articolul 5, prezentul regulament trebuie să respecte acordurile colective privind reglementarea descentralizată a activității de prelucrare a datelor desfășurată de angajator încheiate conform prezentului regulament. |
Amendamentul 215 Propunere de regulament Articolul 82 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
(3) Prezentul regulament recunoaște rolul partenerilor sociali. În statele membre în care reglementarea salariilor și a altor condiții de muncă prin acorduri colective a fost lăsată în seama părților de pe piața muncii, la aplicarea articolului 6 alineatul (1) litera (f) ar trebui să se acorde o atenție deosebită obligațiilor și drepturilor partenerilor sociali ce decurg din acordurile colective. |
Amendamentul 216 Propunere de regulament Articolul 83 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
3. Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul prelucrării datelor cu caracter personal în scopurile menționate la alineatele (1) și (2), precum și a tuturor limitărilor necesare privind drepturile la informare și la acces ale persoanei vizate și care detaliază condițiile și garanțiile pentru drepturile persoanelor vizate în aceste circumstanțe. |
eliminat |
Justificare | |
Nu sunt necesare astfel de precizări suplimentare. | |
Amendamentul 217 Propunere de regulament Articolul 83 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) Statele membre pot adopta măsuri specifice pentru a reglementa prelucrarea datelor cu caracter personal în scopuri istorice, statistice sau științifice cu respectarea dispozițiilor alineatelor (1) și (2) din prezentul articol, precum și cu respectarea Cartei drepturilor fundamentale a Uniunii Europene. |
Amendamentul 218 Propunere de regulament Articolul 83 – alineatul 3 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3b) Un stat membru care adoptă măsuri specifice în virtutea articolului 83 alineatul (3a) trebuie să informeze Comisia cu privire la măsurile adoptate înainte de data stabilită la articolul 91 alineatul (2) și să informeze Comisia, fără întârzieri nejustificate, cu privire la eventuale modificări aduse acestor măsuri într-o etapă ulterioară. |
Amendamentul 219 Propunere de regulament Articolul 84 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Fiecare stat membru notifică Comisiei normele adoptate în temeiul alineatului (1), până la data precizată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, orice modificare ulterioară care le afectează. |
(2) Fiecare stat membru notifică Comisiei normele adoptate în temeiul alineatului (1), pentru ca Comisia să verifice coerența cu normele adoptate de alte state membre, până la data precizată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, orice modificare ulterioară care le afectează. |
Justificare | |
Este necesară o aplicare coerentă a prezentului regulament pentru a permite finalizarea pieței unice. | |
Amendamentul 220 Propunere de regulament Articolul 86 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
(2) Delegarea de competențe menționată la articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 20 alineatul (5), articolul 23 alineatul (3), articolul 30 alineatul (3), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (7) și articolul 82 alineatul (3) îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
Justificare | |
Este necesară stabilirea unei corespondențe între amendamentele care au retras aceste competențe. În cazul în care s-au constatat greșeli legate de numerele alineatelor la care se face trimitere, acestea au fost corectate. | |
Amendamentul 221 Propunere de regulament Articolul 86 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. |
(3) Delegarea de competențe menționată la articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 20 alineatul (5), articolul 23 alineatul (3), articolul 30 alineatul (3), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (7) și la articolul 82 alineatul (3) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. |
Justificare | |
Prezentul amendament vine în completarea amendamentelor prin care au fost retrase aceste competențe. În cazul în care a fost modificat numărul articolului la care se face trimitere, s-a constatat o eroare de tastare. | |
Amendamentul 222 Propunere de regulament Articolul 86 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Un act delegat adoptat în temeiul articolului 6 alineatul (5), articolului 8 alineatul (3), articolului 9 alineatul (3), articolului 12 alineatul (5), articolului 14 alineatul (7), articolului 15 alineatul (3), articolului 17 alineatul (9), articolului 20 alineatul (6), articolului 22 alineatul (4), articolului 23 alineatul (3), articolului 26 alineatul (5), articolului 28 alineatul (5), articolului 30 alineatul (3), articolului 31 alineatul (5), articolului 32 alineatul (5), articolului 33 alineatul (6), articolului 34 alineatul (8), articolului 35 alineatul (11), articolului 37 alineatul (2), articolului 39 alineatul (2), articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 79 alineatul (6), articolului 81 alineatul (3), articolului 82 alineatul (3) și articolului 83 alineatul (3), intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu două luni, la inițiativa Parlamentului European sau a Consiliului. |
(5) Un act delegat adoptat în temeiul articolului 8 alineatul (3), articolului 9 alineatul (3), articolului 12 alineatul (5), articolului 20 alineatul (5), articolului 23 alineatul (3), articolului 30 alineatul (3), articolului 33 alineatul (6), articolului 34 alineatul (8), articolului 39 alineatul (2), articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 79 alineatul (7) și articolului 82 alineatul (3) intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu două luni, la inițiativa Parlamentului European sau a Consiliului. |
Justificare | |
Acest amendament este necesar pentru ca amendamentele prin care au fost retrase competențele menționate la începutul prezentului articol să devină efective. | |
Amendamentul 223 Propunere de regulament Articolul 86 – alineatul 5 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(5a) La adoptarea actelor menționate la prezentul articol, Comisia promovează neutralitatea tehnologică. |
Amendamentul 224 Propunere de regulament Articolul 89 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) În ceea ce privește persoanele fizice sau juridice care sunt obligate să notifice încălcările securității datelor cu caracter personal în temeiul Directivei 2002/58/CE, modificată prin Directiva 2009/136/CE în ceea ce privește prelucrarea datelor cu caracter personal în legătură cu furnizarea de servicii de comunicații electronice destinate publicului, prezentul regulament nu impune obligații suplimentare în ceea ce privește procesul de notificare a unei încălcări a securității datelor către autoritatea de supraveghere și în ceea ce privește procesul de comunicare a unei încălcări a datelor cu caracter personal către persoanele vizate. Această persoană fizică sau juridică notifică încălcările securității datelor cu caracter personal ce afectează toate datele cu caracter personal pentru care este operator în conformitate cu procesul de notificare al încălcării securității datelor cu caracter personal prevăzut în Directiva 2002/58/CE modificată prin Directiva 2009/136/CE. |
Justificare | |
Acest nou alineat stabilește că furnizorii de servicii de comunicații electronice fac obiectul unui regim unic de notificare a oricăror încălcări legate de datele pe care le prelucrează și nu unor regimuri multiple care depind de serviciul oferit sau de datele deținute. Aceasta garantează condiții de concurență echitabile în rândul jucătorilor din sectorul industrial. | |
Amendamentul 225 Propunere de regulament Articolul 89 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Articolul 1 alineatul (2) din Directiva 2002/58/CE se elimină. |
(2) Articolul 1 alineatul (2), articolul 2 litera (c) și articolul 9 din Directiva 2002/58/CE se elimină. |
Justificare | |
Prezentul amendament asigură o aliniere esențială a Directivei 2002/58/CE la prezentul regulament. În plus, acesta evită dubla reglementare care ar putea dăuna grav competitivității sectoarelor reglementate de Directiva 2002/58/CE. Cerințele generale ale prezentului regulament, inclusiv cele referitoare la evaluările de impact asupra vieții private, vor garanta că datele referitoare la localizare sunt tratate cu grija cuvenită indiferent de sursa sau de sectorul de activitate al operatorului. | |
Amendamentul 226 Propunere de regulament Articolul 90 – paragraful 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Actele delegate și actele de punere în aplicare adoptate de către Comisie ar trebui evaluate de Parlament și de către Consiliu la fiecare doi ani. |
PROCEDURĂ
|
Titlu |
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) |
||||
|
Referințe |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Comisie competentă în fond Data anunțului în plen |
LIBE 16.2.2012 |
|
|
|
|
|
Aviz emis de către Data anunțului în plen |
IMCO 16.2.2012 |
||||
|
Raportor/Raportoare pentru aviz: Data numirii |
Lara Comi 29.2.2012 |
||||
|
Examinare în comisie |
21.6.2012 |
10.10.2012 |
28.11.2012 |
17.12.2012 |
|
|
Data adoptării |
23.1.2013 |
|
|
|
|
|
Rezultatul votului final |
+: –: 0: |
19 16 1 |
|||
|
Membri titulari prezenți la votul final |
Preslav Borissov, Cristian Silviu Bușoi, Jorgo Chatzimarkakis, Sergio Gaetano Cofferati, Birgit Collin-Langen, Lara Comi, Anna Maria Corazza Bildt, Cornelis de Jong, Christian Engström, Dolores García-Hierro Caraballo, Evelyne Gebhardt, Małgorzata Handzlik, Malcolm Harbour, Philippe Juvin, Hans-Peter Mayer, Angelika Niebler, Sirpa Pietikäinen, Phil Prendergast, Mitro Repo, Heide Rühle, Christel Schaldemose, Andreas Schwab, Catherine Stihler, Emilie Turunen, Bernadette Vergnaud, Barbara Weiler |
||||
|
Membri supleanți prezenți la votul final |
Raffaele Baldassarre, Jürgen Creutzmann, Anna Hedh, Constance Le Grip, Morten Løkkegaard, Emma McClarkin, Konstantinos Poupakis, Kyriacos Triantaphyllides, Patricia van der Kammen, Sabine Verheyen |
||||
- [1] Regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor), COM (2012)0011, denumit în continuare „Regulamentul general”.
- [2] Directivă a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date, COM(2012)0010.
AVIZ al Comisiei pentru afaceri juridice (25.3.2013)
destinat Comisiei pentru libertăți civile, justiție și afaceri interne
referitor la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)
(COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD))
Raportoare pentru aviz: Marielle Gallo
JUSTIFICARE SUCCINTĂ
Propunerea de regulament menține principiile Directivei 95/46/CE și consolidează drepturile cetățenilor în materie de protecție a datelor cu caracter personal. Raportoarea pentru aviz salută activitatea Comisiei și dorește să facă următoarele observații:
În pofida reticențelor exprimate de anumite părți, raportoarea pentru aviz dorește să păstreze o definiție extinsă a datelor cu caracter personal, precum și principiul consimțământului explicit ca motiv al legalității prelucrării. Este vorba despre două condiții necesare pentru a proteja în mod eficace acest drept fundamental și a inspira încrederea cetățenilor noștri, în special în lumea digitală.
Apoi, raportoarea pentru aviz propune consolidarea protecției prevăzute pentru copii prin extinderea domeniului de aplicare al articolului 8 pentru a acoperi vânzarea tuturor bunurilor și serviciilor și a nu se mai limita doar la serviciile societății informației.
De asemenea, raportoarea pentru aviz propune eliminarea articolului 18 care introduce dreptul la portabilitatea datelor. Acest nou drept prevăzut de propunerea de directivă nu aduce nicio valoare adăugată cetățenilor față de dreptul de acces consacrat la articolul 15 din propunerea de regulament, care permite persoanei vizate să obțină comunicarea datelor prelucrate.
Raportoarea pentru aviz dorește să introducă în mod explicit principiul general al responsabilității operatorului. Într-adevăr, propunerea de regulament sporește obligațiile care le revin operatorilor pentru a permite exercitarea eficace a drepturilor conferite persoanei vizate. Cu toate acestea, este oportun să se introducă dispoziții suplimentare pentru a consacra în mod explicit acest principiu general de responsabilitate.
Este oportun, de asemenea, să se consolideze „dreptul de a fi uitat”. Articolul 17 alineatul (2) impune operatorului o obligație de responsabilitate cu privire la datele prelucrate de terți. Raportoarea pentru aviz propune să se introducă obligația ca operatorul să informeze persoana vizată cu privire la cursul dat de terții menționați solicitării sale.
Dispozițiile privind transferul datelor către țări terțe sau organizații internaționale au fost dezvoltate și clarificate în mod semnificativ. Raportoarea pentru aviz propune introducerea sistemului de recunoaștere reciprocă a regulilor corporatiste obligatorii care este deja instituit de către grupul de lucru înființat în temeiul articolului 29. Autoritatea competentă în acest domeniu ar trebui să fie cea din locul în care se află sediul principal al operatorului sau al persoanei împuternicite de operator.
În ceea ce privește competențele autorității de supraveghere, raportoarea pentru aviz salută adoptarea principiului ghișeului unic, care simplifică sarcinile operatorilor economici care au sedii în mai multe state membre. Cu toate acestea, nu trebuie uitat că cetățenii se adresează în principiu autorității din statul lor membru de origine și se așteaptă ca autoritatea respectivă să ia măsurile necesare pentru a asigura respectarea drepturilor lor. Aplicarea principiului ghișeului unic nu trebuie să transforme celelalte autorități de supraveghere în simple „cutii poștale”. Raportoarea pentru aviz propune să se clarifice faptul că autoritatea principală este obligată să coopereze cu celelalte autorități de supraveghere implicate și cu Comisia Europeană, în conformitate cu dispozițiile capitolului 7 din regulament.
În ceea ce privește sancțiunile administrative, raportoarea pentru aviz salută sumele semnificative prevăzute de propunerea de regulament. Totuși, autoritățile de supraveghere trebuie să dispună de o marjă largă de manevră în ceea ce privește aplicarea amenzilor. Articolul 8 alineatul (3) din Carta drepturilor fundamentale a UE consacră principiul independenței autorităților de supraveghere. Mecanismul pentru asigurarea coerenței va putea contribui la o politică armonizată în cadrul UE în materie de amenzi.
Propunerea de regulament conține, de asemenea, un număr considerabil de acte delegate și de punere în aplicare. Unele dintre aceste acte sunt necesare, deoarece adaugă regulamentului elemente neesențiale. În cazul altora, raportoarea pentru aviz propune pur și simplu eliminarea lor. Acest aspect poate fi examinat separat de Comisia pentru afaceri juridice. În temeiul articolului 37 alineatul (1) din Regulamentul de procedură al Parlamentului European, Comisia pentru afaceri juridice este competentă să verifice temeiul juridic al oricărei inițiative legislative și poate lua o decizie, fie din proprie inițiativă, fie la cererea comisiei competente în fond, cu privire la utilizarea actelor delegate și de punere în aplicare.
AMENDAMENTE
Comisia pentru afaceri juridice recomandă Comisiei pentru libertăți civile, justiție și afaceri interne, competentă în fond, să includă în raportul său următoarele amendamente:
Amendamentul 1 Propunere de regulament Considerentul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Integrarea economică și socială care rezultă din funcționarea pieței interne a condus la o creștere substanțială a fluxurilor transfrontaliere. Schimbul de date între actorii economici și sociali, publici și privați s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autoritățile naționale sunt chemate să coopereze și să facă schimb de date cu caracter personal pentru a putea să își îndeplinească atribuțiile sau să execute sarcini în numele unei autorități într-un alt stat membru. |
(4) Integrarea economică și socială care rezultă din funcționarea pieței interne a condus la o creștere substanțială a activităților transfrontaliere. Schimbul de date între actorii economici și sociali, publici și privați s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autoritățile naționale sunt chemate să coopereze și să facă schimb de date cu caracter personal pentru a-și îndeplini atribuțiile sau pentru a executa sarcini în numele unei autorități într-un alt stat membru. |
Amendamentul 2 Propunere de regulament Considerentul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea schimbului și a colectării de date a crescut spectaculos. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor. Din ce în ce mai multe persoane fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și necesită facilitarea în continuare a liberei circulații a datelor în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal. |
(5) Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea schimbului și a colectării de date a crescut spectaculos. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în vederea realizării activităților lor. Din ce în ce mai multe persoane fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială, determinând necesitatea de a facilita libera circulație a datelor în cadrul Uniunii și de a garanta transferul către țări terțe și organizații internaționale, precum și de a asigura cel mai înalt nivel de protecție a datelor cu caracter personal. |
Amendamentul 3 Propunere de regulament Considerentul 15 | |
|
Textul propus de Comisie |
Amendamentul |
|
(15) Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale sau casnice, cum ar fi corespondența și repertoriul de adrese, fără niciun scop lucrativ și, prin urmare, fără nicio legătură cu o activitate profesională sau comercială. Exceptarea ar trebui, de asemenea, să nu aplice operatorilor sau persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau casnice. |
(15) Prezentul regulament nu ar trebui să se aplice prelucrării de către o persoană fizică a datelor cu caracter personal care sunt exclusiv personale sau casnice, cum ar fi corespondența și repertoriul de adrese, fără niciun scop lucrativ și, prin urmare, fără nicio legătură cu o activitate profesională sau comercială și care nu implică acordarea accesului la datele respective unui număr nedeterminat de persoane. Exceptarea ar trebui, de asemenea, să nu aplice operatorilor sau persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau casnice. |
Justificare | |
Este oportun să se clarifice domeniul de aplicare al acestei excepții, mai ales ca urmare a dezvoltării rețelelor sociale care permit împărtășirea informațiilor unor sute de persoane. Curtea de Justiție a Uniunii Europene (CJUE) (cauzele C-101/01 și C-73/07) preconizează accesibilitatea de către „un număr nedeterminat de persoane” drept criteriu de aplicare a acestei excepții. Autoritatea Europeană pentru Protecția Datelor (AEPD) este de aceeași părere. | |
Amendamentul 4 Propunere de regulament Considerentul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele. |
(24) Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, ar trebui să se analizeze de la caz la caz și în funcție de evoluțiile tehnologice dacă numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele. |
Justificare | |
Având în vedere oferta în creștere de noi servicii online și dezvoltarea tehnologică constantă, trebuie să se asigure un nivel ridicat de protecție a datelor cu caracter personal ale cetățenilor. O analiză de la caz la caz pare, așadar, indispensabilă. | |
Amendamentul 5 Propunere de regulament Considerentul 25 | |
|
Textul propus de Comisie |
Amendamentul |
|
(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. |
(25) Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare mijlocului de comunicare utilizat care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin bifarea unei căsuțe atunci când vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns sau a unei acțiuni nu ar trebui să constituie un consimțământ. Aceasta nu aduce atingere posibilității de exprimare a consimțământului față de prelucrare în conformitate cu Directiva 2002/58/CE, prin utilizarea parametrilor corespunzători ai unui program de navigare sau ai unei alte aplicații. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. |
Amendamentul 6 Propunere de regulament Considerentul 27 | |
|
Textul propus de Comisie |
Amendamentul |
|
(27) Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de către operator ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune. |
(27) Sediul principal al unei întreprinderi sau al unor grupuri de întreprinderi, indiferent dacă este vorba despre operator sau persoana împuternicită de operator, ar trebui să fie desemnat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de prelucrare a datelor care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. |
Amendamentul 7 Propunere de regulament Considerentul 34 | |
|
Textul propus de Comisie |
Amendamentul |
|
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
(34) Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă, sau atunci când un operator deține o putere de piață semnificativă cu privire la anumite produse sau servicii, aceste produse sau servicii fiind furnizate cu condiția acordării consimțământului prelucrării datelor cu caracter personal, sau atunci când o modificare unilaterală și neesențială legată de un serviciu nu oferă persoanei vizate decât două opțiuni, și anume, de a accepta modificarea sau de a renunța la o resursă online în care aceasta a investit o perioadă semnificativă de timp. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. |
Justificare | |
Many social media sites lead users to invest significant time and energy in developing online profiles. There would be a clear imbalance, in the sense of the Commission’s proposal, in any situation where the user was given the choice between accepting new and unnecessary data processing and abandoning the work they have already put into their profile. Another case of clear imbalance would be if the market for the service in question is monopolistic/oligopolistic, so that the data subject does not in fact have a real possibility to choose a privacy-respecting service provider. Data portability would not fully address this issue, as it does not resolve the loss of the network effects in larger social networks. | |
Amendamentul 8 Propunere de regulament Considerentul 38 | |
|
Textul propus de Comisie |
Amendamentul |
|
(38) Interesele legitime ale unui operator pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
(38) Interesele legitime ale unei persoane pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul sau terții cărora le sunt comunicate datele ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. |
Justificare | |
Ar trebui păstrată formularea din Directiva 95/46/CE. Reamintim că regulamentul nu vizează doar lumea digitală, ci se va aplica și activităților offline. Pentru a-și finanța activitățile, anumite sectoare, precum cel al editării de ziare, trebuie să utilizeze surse externe pentru a contacta noi abonați potențiali. | |
Amendamentul 9 Propunere de regulament Considerentul 45 | |
|
Textul propus de Comisie |
Amendamentul |
|
(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. |
(45) Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a recurge la informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. |
Amendamentul 10 Propunere de regulament Considerentul 48 | |
|
Textul propus de Comisie |
Amendamentul |
|
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata stocării datelor, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. |
(48) Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, criteriile care permit să se stabilească durata stocării datelor pentru fiecare scop, existența dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. |
Justificare | |
Nu se poate stabili întotdeauna cu precizie durata exactă de stocare a datelor cu caracter personal, în special în cazul stocării lor în scopuri diferite. | |
Amendamentul 11 Propunere de regulament Considerentul 51 | |
|
Textul propus de Comisie |
Amendamentul |
|
(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, pentru ce perioadă, identitatea destinatarilor datelor, care este logica de prelucrare a datelor și care ar putea fi, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
(51) Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, pentru ce perioadă, identitatea destinatarilor datelor, care este logica de prelucrare a datelor și care ar putea fi, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. În plus, orice persoană vizată ar trebui să aibă dreptul de a comunica datele cu caracter personal care sunt în curs de prelucrare și, în urma unei cereri electronice, o copie electronică a datelor necomerciale care fac obiectul prelucrării într-un format interoperabil și structurat care permite utilizarea ulterioară. Aceste drepturi nu ar trebui să aducă atingere drepturilor și libertăților altora și nici secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția software-ului. Cu toate acestea, considerațiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. |
Justificare | |
Nu se poate stabili întotdeauna cu precizie durata exactă de stocare a datelor cu caracter personal, în special în cazul stocării lor în scopuri diferite. | |
Amendamentul 12 Propunere de regulament Considerentul 53 | |
|
Textul propus de Comisie |
Amendamentul |
|
(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. |
(53) Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică, științifică și mixtă, din motive de interes public în domeniul sănătății publice, pentru prelucrarea unor date medicale în scopuri medicale, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. |
Justificare | |
Este în interesul fundamental al persoanei vizate să țină un istoric complet al stării sale de sănătate pentru a putea beneficia de cele mai bune îngrijiri și tratamente pe parcursul vieții. Dreptul de a fi uitat nu ar trebui să se aplice atunci când datele sunt prelucrate în scopuri medicale, astfel cum se prevede la articolul 81 litera (a). | |
Amendamentul 13 Propunere de regulament Considerentul 55 | |
|
Textul propus de Comisie |
Amendamentul |
|
(55) Pentru a se consolida în continuare controlul asupra propriilor date și dreptul lor de acces, persoanele vizate ar trebui să aibă dreptul, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice într-un format structurat și utilizat în mod curent, de a obține, de asemenea, o copie a datelor care le privesc într-un format electronic utilizat în mod curent. Persoana vizată ar trebui, de asemenea, să fie autorizată să transmită datele respective, pe care le-a furnizat, dintr-o aplicație automată, cum ar fi o rețea socială, către alta. Aceasta ar trebui să se aplice în cazul în care persoana vizată a furnizat datele sistemului de prelucrare automată, pe baza consimțământului său sau în cadrul executării unui contract. |
eliminat |
Justificare | |
Persoanele vizate dispun de dreptul de acces prevăzut la articolul 15 din propunerea de regulament. Odată cu dreptul de acces, orice persoană vizată are dreptul de a i se comunica datele cu caracter personal care sunt prelucrate. Articolul 18, care le permite persoanelor vizate să obțină o copie a datelor lor, nu aduce nicio valoare adăugată în materie de protecție a datelor cu caracter personal ale cetățenilor și creează confuzie în ceea ce privește domeniul de aplicare exact al dreptului de acces, care este un drept esențial. | |
Amendamentul 14 Propunere de regulament Considerentul 58 | |
|
Textul propus de Comisie |
Amendamentul |
|
(58) Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează pe crearea de profiluri prin mijloace de prelucrare automată a datelor. Cu toate acestea, o astfel de măsură ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține intervenție umană, iar o astfel de măsură nu ar trebui să se refere la un minor. |
(58) Orice persoană vizată ar trebui să aibă dreptul de a nu fi supusă unei decizii care se bazează pe crearea de profiluri prin mijloace de prelucrare automată a datelor și care dă naștere unor efecte juridice adverse sau care o afectează în mod negativ. Cele de mai sus nu se aplică măsurilor vizând comunicarea comercială, de exemplu în domeniul gestionării relațiilor cu clienții sau al atragerii de clienți. Cu toate acestea, o astfel de decizie ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, sau atunci când prelucrarea este legală în temeiul articolului 6 alineatul (1) literele (a)-(fa). În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține intervenție umană, iar o astfel de măsură nu ar trebui să se refere la un minor. Crearea de profiluri nu ar trebui să aibă drept efect discriminarea împotriva persoanelor fizice pe baza originii rasiale sau etnice, a religiei sau a orientării sexuale, fără a aduce atingere prevederilor articolului 9 alineatul (2). |
Justificare | |
Formularea propusă de Comisie implică faptul că în toate situațiile crearea de profiluri are consecințe negative, când, de fapt, anumite profiluri pot avea consecințe pozitive semnificative, precum îmbunătățirea sau personalizarea serviciilor pentru clienți similari. | |
Amendamentul 15 Propunere de regulament Considerentul 60 | |
|
Textul propus de Comisie |
Amendamentul |
|
(60) Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. |
(Nu privește versiunea în limba română.) |
Justificare | |
Pentru a consolida protecția datelor cu caracter personal, trebuie să se prevadă în mod explicit un principiu general al responsabilității operatorului. | |
Amendamentul 16 Propunere de regulament Considerentul 62 | |
|
Textul propus de Comisie |
Amendamentul |
|
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. |
(62) Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de către operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. În caz de răspundere solidară, persoana împuternicită de către operator care a despăgubit persoana vizată poate înainta o acțiune împotriva operatorului pentru a solicita rambursarea, dacă a acționat în conformitate cu actul juridic care o angajează față de acesta din urmă. |
Justificare | |
Persoana împuternicită de operator este definită drept persoana care acționează în numele operatorului. Prin urmare, în cazul în care persoana împuternicită de operator respectă cu rigurozitate instrucțiunile care i-au fost date, o încălcare a securității datelor cu caracter personal ar trebui imputată operatorului, și nu persoanei împuternicite de operator, fără ca acest lucru să afecteze dreptul la remunerare al persoanei vizate. | |
Amendamentul 17 Propunere de regulament Considerentul 65 | |
|
Textul propus de Comisie |
Amendamentul |
|
(65) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să documenteze fiecare operațiune de prelucrare. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare respective. |
(65) În vederea demonstrării conformității cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să păstreze informațiile relevante referitoare la principalele categorii de prelucrare efectuate. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, astfel încât aceasta să ajute autoritatea de supraveghere să evalueze conformitatea respectivelor categorii principale de prelucrare cu prezentul regulament. |
Amendamentul 18 Propunere de regulament Considerentul 67 | |
|
Textul propus de Comisie |
Amendamentul |
|
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în termen de 24 de ore. În cazul în care termenul de 24 de ore nu este respectat, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
(67) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei încălcări care afectează în mod semnificativ persoana vizată, operatorul ar trebui să o notifice autorității de supraveghere fără întârziere nejustificată. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ în mod semnificativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează negativ în mod semnificativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. |
Justificare | |
În cazul încălcării securității datelor cu caracter personal, operatorul trebuie să se concentreze, într-o primă fază, asupra luării tuturor măsurilor necesare pentru a împiedica repetarea sa. Obligația de notificare a autorității de supraveghere competente în termen de 24 de ore, însoțită de sancțiuni pentru nerespectarea sa, ar putea avea efectul contrar celui așteptat. În plus, conform avizului din 23 martie 2012 al grupului de lucru înființat în temeiul articolului 29, nu este necesară notificarea cu privire la cazurile minore de încălcare, pentru a evita suprasolicitarea autorităților de supraveghere. | |
Amendamentul 19 Propunere de regulament Considerentul 82 | |
|
Textul propus de Comisie |
Amendamentul |
|
(82) Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie interzis. În acest caz, ar trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau organizații internaționale. |
(82) Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie permis sub rezerva unor garanții adecvate sau în temeiul derogărilor prevăzute în prezentul regulament. |
Justificare | |
Raportorul respectă recomandarea AEPD cuprinsă în avizul său din 7 martie 2012 (punctul 220). | |
Amendamentul 20 Propunere de regulament Considerentul 85 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(85a) Un grup de întreprinderi care intenționează să prezinte spre aprobare reguli corporatiste obligatorii poate propune o autoritate de supraveghere în calitate de autoritate principală. Autoritatea principală ar trebui să fie autoritatea de supraveghere din statul membru în care se află sediul principal al operatorului sau al persoanei împuternicite de operator. |
Justificare | |
Grupul de lucru înființat în temeiul articolului 29 a introdus un sistem de recunoaștere reciprocă a regulilor corporatiste obligatorii (GL 107 din 14 aprilie 2005). Prezentul regulament trebuie să includă sistemul de recunoaștere reciprocă respectiv. Criteriul de desemnare a autorității competente ar trebui să fie sediul unității principale, care este cel enunțat la articolul 51 alineatul (2) din regulament. | |
Amendamentul 21 Propunere de regulament Considerentul 87 | |
|
Textul propus de Comisie |
Amendamentul |
|
(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor. |
(87) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială, între organismele responsabile cu combaterea fraudei în sport sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor. |
Amendamentul 22 Propunere de regulament Considerentul 115 | |
|
Textul propus de Comisie |
Amendamentul |
|
(115) În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii. |
eliminat |
Justificare | |
Această posibilitate nu aduce valoare adăugată cetățenilor și riscă să compromită buna funcționare a colaborării dintre autoritățile de supraveghere în cadrul mecanismului pentru asigurarea coerenței. | |
Amendamentul 23 Propunere de regulament Considerentul 118 | |
|
Textul propus de Comisie |
Amendamentul |
|
(118) Orice daună pe care o persoană o poate suferi din cauza unei prelucrări ilegale ar trebui să fie compensată de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. |
(118) Orice daună pe care o persoană o poate suferi din cauza unei prelucrări ilegale ar trebui să fie compensată de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. În caz de răspundere solidară, persoana împuternicită de către operator care a despăgubit persoana vizată poate înainta o acțiune împotriva operatorului pentru a solicita rambursarea, dacă a acționat în conformitate cu actul juridic care o angajează față de acesta din urmă. |
Justificare | |
Propunerea de regulament introduce principiul general al responsabilității operatorului (articolele 5f și 22), care trebuie păstrat și explicitat. Persoana împuternicită de operator este definită drept persoana care acționează în numele operatorului. În cazul în care persoana împuternicită de operator nu urmează instrucțiunile care îi sunt date, articolul 26 alineatul (4) prevede că aceasta este considerată responsabilă de prelucrarea datelor. | |
Amendamentul 24 Propunere de regulament Considerentul 121 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(121a) Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale în aplicarea dispozițiilor prevăzute de acesta. Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public pot fi divulgate de către această autoritate sau de către acest organism în conformitate cu legislația statului membru care se aplică autorității publice sau organismului public. O astfel de legislație reconciliază dreptul la protecția datelor cu caracter personal cu principiul accesului publicului la documente oficiale. |
Amendamentul 25 Propunere de regulament Considerentul 129 | |
|
Textul propus de Comisie |
Amendamentul |
|
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; specificarea criteriilor și a condițiilor aplicabile cererilor în mod vădit excesive și taxelor pentru exercitarea drepturilor persoanelor vizate; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului și protecția datelor începând cu momentul conceperii și protecția implicită a datelor; persoana împuternicită de operator; criteriile și cerințele privind documentația și securitatea prelucrării; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; codurile de conduită; criteriile și cerințele privind mecanismele de certificare; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; sancțiunile administrative; prelucrarea în scopuri medicale; prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu. |
(129) Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în acest sens, cu specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; criteriile și cerințele privind responsabilitatea operatorului; persoana împuternicită de operator; criteriile și cerințele privind documentația; desemnarea și sarcinile responsabilului cu protecția datelor; codurile de conduită; criteriile și cerințele privind mecanismele de certificare; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea simultană, la timp și în mod corespunzător a documentelor relevante către Parlamentul European și către Consiliu. |
Amendamentul 26 Propunere de regulament Considerentul 130 | |
|
Textul propus de Comisie |
Amendamentul |
|
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie46. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
(130) În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui investită cu competențe de executare pentru a stabili: formulare tip legate de prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie46. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
Amendamentul 27 Propunere de regulament Considerentul 131 | |
|
Textul propus de Comisie |
Amendamentul |
|
(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea consimțământului unui minor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea datelor; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat fiind că aceste acte au un domeniu de aplicare general. |
(131) Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea consimțământului unui minor; proceduri standard și formulare tip pentru exercitarea drepturilor persoanelor vizate; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; formulare tip în ceea ce privește responsabilitatea operatorului în materie de documentare; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat fiind că aceste acte au un domeniu de aplicare general. |
Amendamentul 28 Propunere de regulament Considerentul 139 | |
|
Textul propus de Comisie |
Amendamentul |
|
(139) Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta drepturilor fundamentale a Uniunii Europene consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică. |
(139) Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi consacrate în Carta drepturilor fundamentale a Uniunii Europene, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta drepturilor fundamentale a Uniunii Europene consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică. |
Amendamentul 29 Propunere de regulament Articolul 2 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) de către instituțiile, organele, oficiile și agențiile Uniunii; |
eliminat |
Amendamentul 30 Propunere de regulament Articolul 2 – alineatul 2 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice; |
(d) de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice și în cazul în care datele cu caracter personal nu devin accesibile unui număr nedeterminat de persoane; |
Justificare | |
Este oportun să se clarifice domeniul de aplicare al acestei excepții, mai ales ca urmare a dezvoltării rețelelor sociale care permit împărtășirea informațiilor unor sute de persoane. Curtea de Justiție a Uniunii Europene (CJUE) (cauzele C-101/01 și C-73/07) preconizează accesibilitatea de către „un număr nedeterminat de persoane” drept criteriu de aplicare a acestei excepții. Autoritatea Europeană pentru Protecția Datelor (AEPD) este de aceeași părere. | |
Amendamentul 31 Propunere de regulament Articolul 2 – alineatul 2 – litera ea (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ea) de către autoritățile competente în scopul elaborării și diseminării statisticilor oficiale pentru care acestea sunt responsabile. |
Justificare | |
Pentru a reduce eforturile la care sunt supuse persoanele intervievate, institutele naționale de statistică și Comisia ar trebui să aibă dreptul de a accesa în mod liber și de a utiliza registrele administrative corespunzătoare, care aparțin diferitelor departamente administrative, atunci când acest lucru este necesar pentru dezvoltarea, elaborarea și diseminarea de statistici la nivel european. | |
Amendamentul 32 Propunere de regulament Articolul 2 – alineatul 2 – litera eb (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(eb) care au fost anonimizate. |
Justificare | |
Prin definiție, datele anonime nu constituie date cu caracter personal. | |
Amendamentul 33 Propunere de regulament Articolul 2 – alineatul 2 – litera ec (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ec) de către autoritățile competente, pentru întocmirea listelor electorale. |
Justificare | |
Pentru a reduce eforturile la care sunt supuse persoanele intervievate, institutele naționale de statistică și Comisia ar trebui să aibă dreptul de a accesa în mod liber și de a utiliza registrele administrative corespunzătoare, care aparțin diferitelor departamente administrative, atunci când acest lucru este necesar pentru dezvoltarea, elaborarea și diseminarea de statistici la nivel european. | |
Amendamentul 34 Propunere de regulament Articolul 4 – punctul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
1. „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective; |
1. „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de o altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective; |
Amendamentul 35 Propunere de regulament Articolul 4 – punctul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
2a. „date anonime” înseamnă informații care nu au fost niciodată corelate cu o persoană vizată sau au fost colectate, modificate sau prelucrate în alt mod, astfel încât nu mai pot fi atribuite unei persoane vizate; |
Amendamentul 36 Propunere de regulament Articolul 4 – punctul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
3a. „date pseudonime” înseamnă orice date cu caracter personal care au fost colectate, modificate sau prelucrate în alt mod, astfel încât, în sine, să nu poată fi atribuite unei persoane vizate fără a se utiliza date suplimentare care fac obiectul unor controale separate și distincte de natură tehnică și organizațională pentru a garanta că această atribuire nu are loc; |
Amendamentul 37 Propunere de regulament Articolul 4 – punctul 3 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
3b. „creare de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea sau generarea de date cu privire la aspecte legate de persoanele fizice sau efectuarea de analize sau previziuni în legătură cu performanțele unei persoane fizice la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul sau personalitatea acesteia; |
Justificare | |
Profiling can entail serious risks for data subjects. It is prone to reinforcing discriminations, making decisions less transparent and carries an unavoidable risk of wrong decisions. For these reasons, it should be tightly regulated: its use should be clearly limited, and in those cases where it can be used, there should be safeguards against discrimination and data subjects should be able to receive clear and meaningful information on the logic of the profiling and its consequences. While some circles see profiling as a panacea for many problems, it should be noted that there is a significant body of research addressing its limitations. Notably, profiling tends to be useless for very rare characteristics, due to the risk of false positives. Also, profiles can be hard or impossible to verify. Profiles are based on complex and dynamic algorithms that evolve constantly and that are hard to explain to data subjects. Often, these algorithms qualify as commercial secrets and will not be easily provided to data subjects. However, when natural persons are subject to profiling, they should be entitled to information about the logic used in the measure, as well as an explanation of the final decision if human intervention has been obtained. This helps to reduce intransparency, which could undermine trust in data processing and may lead to loss or trust in especially online services. There is also a serious risk of unreliable and (in effect) discriminatory profiles being widely used, in matters of real importance to individuals and groups, which is the motivation behind several suggested changes in this Article that aim to improve the protection of data subjects against discrimination. In relation to this, the use of sensitive data in generating profiles should also be restricted. | |
Amendamentul 38 Propunere de regulament Articolul 4 – punctul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
5. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
5. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile prelucrării datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru; |
Amendamentul 39 Propunere de regulament Articolul 4 – punctul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
10. „date genetice” înseamnă toate datele, indiferent de tipul acestora, referitoare la caracteristicile unei persoane, care sunt moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală; |
10. „date genetice” înseamnă date cu privire la caracteristicile ereditare sau la modificarea caracteristicilor ereditare ale unei persoane identificate sau identificabile, obținute prin analiza acidului nucleic; |
Justificare | |
Definiția propusă este prea amplă, ceea ce ar include anumite caracteristici moștenite, precum culoarea părului și a ochilor, în categoria informațiilor confidențiale care necesită un nivel sporit de protecție. Modificarea propusă se bazează pe standardele internaționale existente. | |
Amendamentul 40 Propunere de regulament Articolul 4 – punctul 13 | |
|
Textul propus de Comisie |
Amendamentul |
|
13. „sediu principal” înseamnă, în ceea ce privește operatorul, locul de stabilire al acestuia pe teritoriul Uniunii, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul în care se desfășoară principalele activități de prelucrare în cadrul activităților unui sediu al unui operator din Uniune. În ceea ce privește persoana împuternicită de operator, „sediu principal” înseamnă locul administrației sale centrale din Uniune; |
13. „sediu principal” înseamnă locul de stabilire al întreprinderii sau grupului de întreprinderi pe teritoriul Uniunii, indiferent dacă au calitatea de operator sau de persoană împuternicită de operator, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal. |
|
|
Următoarele criterii obiective pot fi luate în considerare, printre altele: |
|
|
1. locul sediului central al operatorului sau al persoanei împuternicite de operator; |
|
|
|
|
|
2. locul în care se află entitatea din cadrul grupului de întreprinderi care este cea mai în măsură, din perspectiva funcțiilor de conducere și a responsabilităților administrative, să se ocupe de normele stabilite în prezentul regulament și să le execute; sau |
|
|
3. locul în care sunt exercitate în mod efectiv reale activități de gestionare prin care se stabilește prelucrarea datelor în cadrul unor înțelegeri stabile; |
|
|
(a) întreprinderea sau grupul de întreprinderi de pe teritoriul Uniunii, indiferent dacă au calitatea de operator sau de persoană împuternicită de către operator, desemnează sediul principal în vederea respectării normelor de protecție a datelor și informează autoritatea de supraveghere relevantă cu privire la sediul desemnat; |
|
|
(b) în cazul în care nu se ajunge la un acord cu privire la desemnarea sediului principal, autoritatea de supraveghere notificată poate solicita avizul Comitetului european pentru protecția datelor; |
Amendamentul 41 Propunere de regulament Articolul 4 – punctul 19 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
19a. „autoritate de supraveghere competentă” înseamnă o autoritate de supraveghere care deține competența exclusivă pentru supravegherea activităților de prelucrare a datelor cu caracter personal desfășurate de către operator sau de către persoana împuternicită de operator, în conformitate cu articolul 51 alineatul (2); |
Amendamentul 42 Propunere de regulament Articolul 4 – punctul 19 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
19b. „statistici oficiale” înseamnă informațiile cantitative și calitative, agregate și reprezentative, care caracterizează un fenomen colectiv la nivelul unei anumite populații; |
Amendamentul 43 Propunere de regulament Articolul 4 – punctul 19 c (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
19c. „liste electorale” înseamnă date cu caracter personal și date referitoare la locul de reședință ale persoanelor cu drept de vot; |
Amendamentul 44 Propunere de regulament Articolul 5 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal; |
(c) să fie adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal; |
Justificare | |
Această schimbare, care permite prelucrarea „neexcesivă”, este mai adecvată. Ea constă într-o trimitere la formularea directivei inițiale privind protecția datelor, și anume, Directiva 95/46/CE, și urmărește să evite inconsecvențele cu alte norme ale UE, precum Directiva privind creditele de consum și pachetul privind cerințele de capital, care impun, la rândul lor, instituțiilor de credit să prelucreze date cu caracter personal. | |
Amendamentul 45 Propunere de regulament Articolul 5 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) să fie exacte și actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere; |
(d) să fie exacte și, atunci când acest lucru este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie șterse sau rectificate fără întârziere; |
Justificare | |
Se dorește o mai mare claritate, simplitate și eficiență. | |
Amendamentul 46 Propunere de regulament Articolul 5 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică, în conformitate cu normele și condițiile prevăzute la articolul 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea; |
(e) să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică, științifică sau mixtă, în conformitate cu normele și condițiile prevăzute la articolele 81 și 83, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea; |
Amendamentul 47 Propunere de regulament Articolul 6 – alineatul 1 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de terțul ori terții cărora le sunt comunicate datele, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. |
Justificare | |
Raportoarea propune păstrarea formulării din Directiva 95/46/CE. Reamintim că regulamentul nu vizează doar lumea digitală, ci se va aplica și activităților offline. Pentru a-și finanța activitățile, anumite sectoare, precum cel al editării de ziare, trebuie să utilizeze surse externe pentru a contacta noi abonați potențiali. | |
Amendamentul 48 Propunere de regulament Articolul 6 – alineatul 1 – litera fa (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(fa) prelucrarea este necesară în scopuri de detectare și prevenire a fraudelor, în conformitate cu regulamentul financiar aplicabil sau cu codurile de practici ale unei ramuri industriale sau ale unui organism profesional. |
Justificare | |
În practică, experiența a demonstrat că o „obligație legală” nu include regulamentul financiar sau codurile de conduită naționale, care prezintă o importanță fundamentală în prevenirea și detectarea fraudelor, pentru operatori și pentru protecția persoanelor vizate. | |
Amendamentul 49 Propunere de regulament Articolul 6 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (e). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract. |
(4) În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a)-(f). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract. |
Justificare | |
Referința ar trebui să includă și litera (f) de la alineatul (1) deoarece, în caz contrar, prelucrării ulterioare i s-ar aplica condiții mai stricte decât colectării datelor cu caracter personal. | |
Amendamentul 50 Propunere de regulament Articolul 6 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor. |
eliminat |
Justificare | |
Propunerea de regulament prevede un număr nejustificat de mare de acte delegate. Mai exact, există o jurisprudență în domeniu și chestiunea consimțământului privind prelucrarea datelor cu caracter personal ale copiilor este reglementată de articolul 8. | |
Amendamentul 51 Propunere de regulament Articolul 7 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază de celălalt aspect. |
(2) În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază de celălalt aspect. Consimțământul persoanei vizate poate fi solicitat în mod electronic, în special în contextul serviciilor societății informaționale. |
Amendamentul 52 Propunere de regulament Articolul 7 – alineatul 3 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3a) În cazul în care persoana vizată își retrage consimțământul, operatorul poate refuza să îi furnizeze alte servicii respectivei persoane vizate dacă prelucrarea datelor este esențială pentru furnizarea serviciului sau pentru garantarea menținerii caracteristicilor serviciului. |
Amendamentul 53 Propunere de regulament Articolul 7 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Consimțământul nu reprezintă un temei juridic pentru prelucrare atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului. |
(4) Consimțământul nu reprezintă un temei juridic pentru prelucrare atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului, conducând la situația în care acordarea consimțământului nu se face în mod liber. |
Justificare | |
Era necesară sporirea securității juridice deoarece în anumite situații există un dezechilibru semnificativ între persoana vizată și operatorul de date; de exemplu, o relație la locul de muncă, relația dintre doctor și pacient etc. În acest caz, ar trebui să se acorde o atenție deosebită dacă acordarea consimțământului se face în mod liber. | |
Amendamentul 54 Propunere de regulament Articolul 7 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) Pentru a stabili condițiile în care o persoană care nu are capacitatea juridică de a acționa își acordă sau autorizează consimțământul, se aplică legislația statului membru în care își are reședința persoana respectivă. |
Amendamentul 55 Propunere de regulament Articolul 8 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În sensul prezentului regulament, în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de tutorele minorului. Operatorul depune toate eforturile rezonabile pentru a obține consimțământul verificabil, ținând seama de tehnologiile disponibile. |
(1) În sensul prezentului regulament, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani ar presupune în mod normal ca consimțământul să fie acordat sau autorizat de părintele sau de reprezentantul legal al minorului. Metodele adecvate de obținere a consimțământului ar trebui să țină seama de riscurile pe care cantitatea de informații, tipul acestora și natura prelucrării lor le-ar avea asupra minorului. Operatorul depune toate eforturile rezonabile pentru a obține consimțământul verificabil, ținând seama de tehnologiile disponibile. Metodele de obținere a consimțământului verificabil nu determină prelucrarea suplimentară a datelor cu caracter personal care în caz contrar nu ar fi necesară. |
Amendamentul 56 Propunere de regulament Articolul 8 – alineatul 4 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(4a) Alineatele (1), (2) și (3) nu se aplică în cazul în care prelucrarea datelor cu caracter personal ale unui copil se referă la datele cu privire la sănătate și în cazul în care legislația statului membru în materie de îngrijire a sănătății și îngrijire socială acordă prioritate competenței unei persoane înaintea vârstei fizice. |
Justificare | |
În contextul îngrijirii sănătății și îngrijirii sociale, autorizația părintelui sau a tutorelui copilului nu ar trebui să fie necesară în cazul în care copilul are competența de a lua o decizie pentru sine. În cazurile de protecție a copilului, nu este întotdeauna în interesul persoanei vizate ca părintele sau tutorele său să aibă acces la datele sale, iar acest lucru ar trebui să se reflecte în legislație. | |
Amendamentul 57 Propunere de regulament Articolul 9 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența sindicală, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. |
(1) Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile, apartenența și activitățile sindicale, precum și prelucrarea datelor genetice sau a datelor privind sănătatea, viața sexuală, condamnările penale sau măsurile de securitate conexe. În special, aceasta ar include garanții care împiedică practica includerii lucrătorilor pe o listă neagră, de exemplu, din cauza activităților sindicale sau a rolurilor acestora de reprezentanți responsabili cu chestiuni legate de sănătate și securitate. |
Justificare | |
Sunt necesare precizări suplimentare prin care să se confirme că datele cu caracter personal nu vor fi niciodată utilizate împotriva persoanei vizate într-un context legat de relațiile de muncă. În plus, este important să se sublinieze faptul că accesul la datele cu caracter personal ale lucrătorilor ar trebui interzis în ce privește apartenența sindicală, dar și în ce privește activitățile sindicale la care aceștia ar putea participa. | |
Amendamentul 58 Propunere de regulament Articolul 9 – alineatul 2 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau |
(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau în cadrul unei proceduri administrative de orice tip, sau |
Justificare | |
Este util să se introducă o referire mai amplă, astfel încât să se clarifice faptul că acest tip de date se pot prelucra atunci când se vizează recunoașterea, exercitarea sau apărarea unui drept în instanță sau în cadrul unei proceduri administrative de orice tip. | |
Amendamentul 59 Propunere de regulament Articolul 9 – alineatul 2 – litera j | |
|
Textul propus de Comisie |
Amendamentul |
|
(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate. Un registru complet al condamnărilor penale este ținut numai sub controlul autorității publice. |
(j) prelucrarea datelor referitoare la condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate. Un registru complet sau parțial al condamnărilor penale este ținut numai sub controlul autorității publice. |
Justificare | |
Orice registru de acest gen, fie el complet sau parțial, ar trebui să se afle numai sub controlul autorității publice. | |
Amendamentul 60 Propunere de regulament Articolul 9 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor, condițiilor și garanțiilor corespunzătoare pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2). |
eliminat |
Justificare | |
Ipoteza abilitării Comisiei, menționată la alineatul (3), este excesivă întrucât ea permite Comisiei să dezvolte aspecte esențiale ale acestui regulament, într-un domeniu deosebit de delicat pentru tipul de date vizate. Prin urmare, ar fi mai adecvat ca aceste aspecte să fie dezvoltate chiar în cadrul acestui regulament. | |
Amendamentul 61 Propunere de regulament Articolul 10 | |
|
Textul propus de Comisie |
Amendamentul |
|
În cazul în care datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul nu are obligația de a obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții ale prezentului regulament. |
În cazul în care datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul nu are obligația de a recurge la informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții a prezentului regulament. |
Amendamentul 62 Propunere de regulament Articolul 11 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, adaptat în funcție de persoana vizată, în special pentru orice informație adresată în mod expres unui minor. |
(2) Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor. |
Justificare | |
Informațiile sau comunicările cu privire la prelucrarea datelor cu caracter personal trebuie să fie clare și inteligibile. Mențiunea „adaptată în funcție de persoana vizată” riscă să creeze insecuritate juridică. Ar fi echitabil să se impună o obligație anume doar în cazul copiilor care constituie o categorie specifică. | |
Amendamentul 63 Propunere de regulament Articolul 12 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de o lună de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15 - 19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. |
(2) Operatorul informează persoana vizată fără întârziere și, cel târziu, în termen de 40 de zile calendaristice de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15-19 și furnizează informațiile solicitate. Acest termen poate fi prelungit în cazul în care mai multe persoane vizate își exercită drepturile, acest lucru ducând la un număr foarte mare de solicitări, și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Cu toate acestea, operatorul trebuie să dea curs solicitărilor cât mai curând posibil și să justifice această extindere a termenului în fața autorității de supraveghere, în cazul în care i se cere acest lucru. Informațiile sunt furnizate în scris sau, dacă este posibil, operatorul de date poate furniza acces la o platformă online sigură care să ofere persoanei vizate posibilitatea de a-și consulta direct datele cu caracter personal. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format sau în care informațiile nu sunt disponibile în format electronic. |
Justificare | |
Eliminarea taxei ar putea determina creșterea numărului de cereri de acces la date, ceea ce, în combinație cu un termen scurt, impune o sarcină grea asupra întreprinderilor, precum și asupra diferitelor organizații și organisme publice. De asemenea, înregistrările de date nu sunt întotdeauna disponibile și în format electronic, iar adăugarea acestei obligații ar spori și mai mult sarcina administrativă. Operatorii ar trebui să fie încurajați să furnizeze datele prin intermediul unor platforme online sigure care ar oferi persoanelor vizate acces direct și ușor la datele cu caracter personal în schimbul unor costuri reduse pentru operatori. | |
Amendamentul 64 Propunere de regulament Articolul 12 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate să nu ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
(4) Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza volumului mare al acestora, a complexității sau a caracterului lor repetitiv, operatorul poate percepe o taxă adecvată, prin care nu se urmărește obținerea unui profit, pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate refuza să ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii. |
Justificare | |
Furnizarea de date deținute într-o bază de date are un cost. Solicitarea unei contribuții adecvate de la persoanele vizate pentru accesul la date, prin care nu se urmărește obținerea unui profit, ar contribui la limitarea cererilor fără importanță și este vitală pentru a împiedica defraudatorii să obțină volume mari de date de credit ale consumatorilor care ar putea fi utilizate în scopuri frauduloase. | |
Amendamentul 65 Propunere de regulament Articolul 12 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și condițiilor privind cererile vădit excesive și taxele menționate la alineatul (4). |
eliminat |
Justificare | |
Nu sunt necesare clarificări suplimentare în ceea ce privește această dispoziție prin intermediul unui act delegat. Autoritățile de supraveghere ale statelor membre sunt mult mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 66 Propunere de regulament Articolul 12 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate stabili formulare tip și proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). |
eliminat |
Justificare | |
Autoritățile de supraveghere ale statelor membre sunt mult mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 67 Propunere de regulament Articolul 14 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; |
(a) datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor; |
Amendamentul 68 Propunere de regulament Articolul 14 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) scopurile în care sunt prelucrate datele cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și interesele legitime urmărite de operator în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (f); |
(b) scopurile în care sunt prelucrate datele cu caracter personal și interesele legitime urmărite de operator în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (f); |
Amendamentul 69 Propunere de regulament Articolul 14 – alineatul 1 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) perioada în care vor fi stocate datele cu caracter personal; |
(c) perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; |
Amendamentul 70 Propunere de regulament Articolul 14 – alineatul 1 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere; |
(e) dreptul de a depune o plângere în fața autorității de supraveghere; |
Justificare | |
Datoria de a specifica datele de contact ale autorității de supraveghere competente în ceea ce privește răspunderea pentru furnizarea de informații eronate ar necesita o revizuire continuă a informațiilor relevante, care ar fi disproporțională în special pentru întreprinderile mici și mijlocii. | |
Amendamentul 71 Propunere de regulament Articolul 14 – alineatul 1 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
(g) dacă este cazul, intenția operatorului de a efectua un transfer către o țară terță sau o organizație internațională și nivelul de protecție oferit de țara terță sau de organizația internațională respectivă, prin trimitere la o decizie a Comisiei privind caracterul adecvat al nivelului de protecție; |
(g) dacă este cazul, intenția operatorului de a efectua un transfer către o țară terță sau o organizație internațională și existența sau absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție; |
Justificare | |
Informațiile privind decizia sau absența unei decizii a Comisiei asigură un nivel suficient de informație privind persoana vizată și oferă clarificări privind obligațiile operatorului. | |
Amendamentul 72 Propunere de regulament Articolul 14 – alineatul 1 – litera h | |
|
Textul propus de Comisie |
Amendamentul |
|
(h) orice altă informație necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate datele cu caracter personal. |
(h) orice altă informație considerată necesară de către operator pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate datele cu caracter personal. |
Justificare | |
Trebuie clarificat domeniul de aplicare al acestei dispoziții și trebuie precizat faptul că operatorii pot asigura un nivel mai ridicat de transparență. | |
Amendamentul 73 Propunere de regulament Articolul 14 – alineatul 4 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau |
(a) în general, în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau cât mai repede posibil atunci când prima opțiune nu este viabilă, necesită eforturi disproporționate sau reduce garanțiile pentru persoana vizată, sau |
Justificare | |
Anumite activități pot necesita un nivel minim de flexibilitate, a cărei valorificare va putea fi controlată cu ușurință de autoritățile de supraveghere. Pe de altă parte, în funcție de metoda de colectare a datelor, furnizarea acestor informații la un moment imediat ulterior, în scris sau prin mijloace online, îi va oferi garanții superioare persoanei vizate, astfel încât aceasta să cunoască în mod corect situația. | |
Amendamentul 74 Propunere de regulament Articolul 14 – alineatul 4 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea acestora către un alt destinatar, și cel târziu în momentul în care datele sunt comunicate pentru prima dată. |
(b) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea acestora către un alt destinatar, și cel târziu în momentul în care datele sunt comunicate pentru prima dată, sau, dacă datele sunt utilizate pentru a comunica cu persoana în cauză, cel târziu în momentul în care are loc prima comunicare cu persoana respectivă. |
Amendamentul 75 Propunere de regulament Articolul 14 – alineatul 5 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat sau |
(b) datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat și ar avea drept rezultat o sarcină administrativă excesivă, în special în cazul în care prelucrarea este efectuată de o IMM astfel cum este definită în Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii1; sau |
|
|
_____________ |
|
|
1 JO L 124, 20.5.2003, p. 36. |
Justificare | |
Acest amendament urmărește să asigure că IMM-urilor nu le revin sarcini administrative inutile din cauza regulamentului. | |
Amendamentul 76 Propunere de regulament Articolul 14 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
eliminat |
Justificare | |
Actele delegate prevăzute la alineatul 7 depășesc limitele generale pentru utilizarea acestei proceduri, întrucât se referă la aspecte ce ar trebui rezolvate prin textul regulamentului. | |
Amendamentul 77 Propunere de regulament Articolul 15 – alineatul 1 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) perioada în care vor fi stocate datele cu caracter personal; |
(d) perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; |
Amendamentul 78 Propunere de regulament Articolul 15 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. |
(2) Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare și, în urma unei cereri electronice, o copie electronică a datelor necomerciale care fac obiectul prelucrării într-un format interoperabil și structurat care permite utilizarea ulterioară. Operatorul verifică identitatea unei persoane vizate care solicită acces la date în limitele articolelor 5-10 din prezentul regulament. |
Amendamentul 79 Propunere de regulament Articolul 17 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Sunt scutite de la îndeplinirea cerințelor prezentului articol instituțiile de credit care stochează date în următoarele scopuri: |
|
|
- gestionarea riscurilor; |
|
|
- îndeplinirea cerințelor de supraveghere și de conformitate impuse la nivelul UE și la nivel internațional; |
|
|
- abuzul de piață. |
Amendamentul 80 Propunere de regulament Articolul 17 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal, acesta ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective. |
eliminat |
Justificare | |
Dată fiind natura internetului și posibilitățile de a posta informații pe diferite site-uri în întreaga lume, această dispoziție este impracticabilă. | |
Amendamentul 81 Propunere de regulament Articolul 17 – alineatul 3 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80; |
(a) pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80 sau în cazul furnizării unui serviciu al societății informaționale pentru a facilita accesul la liberă exprimare; |
Justificare | |
Propunerea Comisiei conține suficiente dispoziții prin intermediul cărora mass-media își poate apăra drepturile în actuala epocă digitală. | |
Amendamentul 82 Propunere de regulament Articolul 17 – alineatul 3 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81; |
(b) din motive medicale sau din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81; |
Justificare | |
Este în interesul fundamental al persoanei vizate să țină un istoric complet al stării sale de sănătate pentru a putea beneficia de cele mai bune îngrijiri și tratamente pe parcursul vieții. Dreptul de a fi uitat nu ar trebui să se aplice atunci când datele sunt prelucrate în scopuri medicale, astfel cum se prevede la articolul 81 alineatul (1) litera (a). | |
Amendamentul 83 Propunere de regulament Articolul 17 – alineatul 3 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte esența dreptului la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit; |
(d) pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului în conformitate cu legislația Uniunii; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte esența dreptului la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit; |
Amendamentul 84 Propunere de regulament Articolul 17 – alineatul 9 | |
|
Textul propus de Comisie |
Amendamentul |
|
(9) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul de a detalia: |
eliminat |
|
(a) criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor; |
|
|
(b) condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2); |
|
|
(c) criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4). |
|
Justificare | |
În ceea ce privește actele delegate, nu putem accepta alineatul (9) al acestui articol, întrucât el prevede reglementarea unor aspecte esențiale pentru înțelegerea corectă a normelor. Dacă se consideră că aceste aspecte trebuie să fie neapărat incluse, ele trebuie dezvoltate chiar în cadrul regulamentului. | |
Amendamentul 85 Propunere de regulament Articolul 19 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) În cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal. |
(3) În cazul în care există o opoziție în conformitate cu alineatul (1), operatorul informează persoana vizată cu privire la motivele imperioase și legitime care îi justifică acțiunile în conformitate cu alineatul (1). În caz contrar, operatorul nu mai utilizează sau nu mai prelucrează sub nicio altă formă respectivele date cu caracter personal. În cazul în care există o opoziție în conformitate cu alineatul (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele date cu caracter personal. |
Justificare | |
Într-adevăr, dacă operatorul poate invoca motive imperioase și legitime pentru a răspunde dreptului la opoziție, atunci nu există nici un motiv pentru care simpla exprimare a opoziției ar trebui să aibă consecințele menționate la alineatul (3). | |
Amendamentul 86 Propunere de regulament Articolul 20 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice persoană fizică are dreptul de a nu fi supusă unei măsuri care produce efecte juridice privind această persoană fizică sau care o afectează în mod semnificativ și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană fizică sau să analizeze ori să prevadă, în special, performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acestuia. |
(1) Orice persoană vizată are dreptul de a nu fi supusă unei decizii care produce efecte juridice adverse sau care o afectează în mod negativ și care se bazează exclusiv sau predominant pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană. |
Justificare | |
Este important să se aibă în vedere faptul că anumite activități de creare de profiluri aduc beneficii considerabile consumatorului și pot constitui o bază optimă pentru servicii de înaltă calitate destinate clienților. Definiția largă a creării de profiluri nu face nicio diferență între activitățile de prelucrare periodică a datelor, care sunt pozitive prin natura lor, și alte activități de creare de profiluri care au și efecte negative. Crearea de profiluri cu efecte pozitive se utilizează deseori pentru adaptarea serviciilor în funcție de consumatori prin înregistrarea nevoilor și preferințelor acestora. | |
Amendamentul 87 Propunere de regulament Articolul 20 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă unei măsuri de acest tip, astfel cum se prevede la alineatul (1), numai dacă prelucrarea datelor: |
(2) Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană vizată poate face obiectul unei decizii de acest tip, astfel cum se prevede la alineatul (1), dacă prelucrarea datelor: |
|
(a) se efectuează în faza de încheiere sau de executare a unui contract, atunci când a fost acceptată cererea de încheiere sau de executare a contractului, depusă de persoana vizată sau atunci când au fost invocate măsuri corespunzătoare intereselor legitime ale persoanei vizate, cum ar fi dreptul de a obține intervenție umană; sau |
(a) este autorizată de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate; sau |
|
(b) este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate; sau |
(b) este legitimă în conformitate cu articolul 6 alineatul (1) literele (a)-(fa) din prezentul regulament. |
|
(c) se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare. |
|
|
|
Ținând seama în mod corespunzător de prevederile articolului 9 alineatul (2), crearea de profiluri nu are drept efect discriminarea împotriva persoanelor fizice pe baza, de exemplu, a originii rasiale sau etnice, a religiei sau a orientării sexuale. |
[Litera (b) din textul Comisiei a devenit litera (a) în amendamentul Parlamentului și este, de asemenea, modificată] | |
Amendamentul 88 Propunere de regulament Articolul 20 – alineatul 3 b (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(3b) Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică nu se utilizează pentru identificarea sau individualizarea copiilor. |
Justificare | |
Profiling can entail serious risks for data subjects. It is prone to reinforcing discriminations, making decisions less transparent and carries an unavoidable risk of wrong decisions. For these reasons, it should be tightly regulated: its use should be clearly limited, and in those cases where it can be used, there should be safeguards against discrimination and data subjects should be able to receive clear and meaningful information on the logic of the profiling and its consequences. While some circles see profiling as a panacea for many problems, it should be noted that there is a significant body of research addressing its limitations. Notably, profiling tends to be useless for very rare characteristics, due to the risk of false positives. Also, profiles can be hard or impossible to verify. Profiles are based on complex and dynamic algorithms that evolve constantly and that are hard to explain to data subjects. Often, these algorithms qualify as commercial secrets and will not be easily provided to data subjects. However, when natural persons are subject to profiling, they should be entitled to information about the logic used in the measure, as well as an explanation of the final decision if human intervention has been obtained. This helps to reduce intransparency, which could undermine trust in data processing and may lead to loss or trust in especially online services. There is also a serious risk of unreliable and (in effect) discriminatory profiles being widely used, in matters of real importance to individuals and groups, which is the motivation behind several suggested changes in this Article that aim to improve the protection of data subjects against discrimination. In relation to this, the use of sensitive data in generating profiles should also be restricted. | |
Amendamentul 89 Propunere de regulament Articolul 20 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2). |
eliminat |
Amendamentul 90 Propunere de regulament Articolul 21 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice, cel puțin în ceea ce privește obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului. |
(2) În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice, cel puțin în ceea ce privește obiectivele care trebuie urmărite și avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului. |
Justificare | |
Pentru a asigura un nivel mai ridicat de protecție, în caz de limitare, legislația trebuie să menționeze, de asemenea, obiectivele urmărite în cadrul procesului de prelucrare a datelor cu caracter personal. | |
Amendamentul 91 Propunere de regulament Articolul 22 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Responsabilitatea operatorului |
Principiul general al responsabilității operatorului |
Justificare | |
Principiul responsabilității, introdus implicit la capitolul 4 din propunerea de regulament trebuie menționat în mod explicit pentru a asigura un nivel mai ridicat de protecție. | |
Amendamentul 92 Propunere de regulament Articolul 22 – alineatul 2 – teza introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Măsurile prevăzute la alineatul (1) cuprind în special: |
(2) Măsurile prevăzute la alineatul (1) ar putea cuprinde în special: |
Justificare | |
Este de preferat ca aceste măsuri să fie promovate ca bune practici mai ales pentru că, în caz contrar, se creează o obligație nerealistă din perspectiva reglementării. | |
Amendamentul 93 Propunere de regulament Articolul 22 – alineatul 2 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) desemnarea unui responsabil cu protecția datelor, în conformitate cu articolul 35 alineatul (1). |
(e) desemnarea unui responsabil cu protecția datelor, în conformitate cu articolul 35 alineatul (1) sau obligativitatea și menținerea unei certificări în conformitate cu politicile de certificare definite de Comisie. |
Amendamentul 94 Propunere de regulament Articolul 22 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor măsurilor corespunzătoare menționate la alineatul (1), altele decât cele menționate la alineatul (2), condițiile pentru verificare și mecanismele de audit menționate la alineatul (3) și criteriile de proporționalitate prevăzute la alineatul (3), și în scopul de a prevedea măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii. |
eliminat |
Amendamentul 95 Propunere de regulament Articolul 23 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Având în vedere stadiul actual al tehnicii și costurile de implementare, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate. |
(1) Având în vedere stadiul actual al tehnicii, cunoștințele tehnice actuale și costurile de implementare, operatorul pune în aplicare, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare activităților desfășurate și scopurilor acestora, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate. |
Amendamentul 96 Propunere de regulament Articolul 23 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate sau păstrate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane. |
(2) Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care nu sunt excesive pentru fiecare scop specific al prelucrării și că aceste date colectate sau păstrate sau diseminate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane. |
Amendamentul 97 Propunere de regulament Articolul 23 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor și mecanismelor de certificare menționate la alineatele (1) și (2), în special în ceea ce privește cerințele legate de protecția datelor începând cu momentul conceperii aplicabile în cazul tuturor sectoarelor, al produselor și al serviciilor. |
eliminat |
Justificare | |
Prezenta propunere de regulament se aplică tuturor sectoarelor, atât online, cât și offline. Comisia nu trebuie să aibă sarcina de a adopta acte delegate în domeniul protecției datelor începând de la bun început și implicit, acte care ar putea aduce atingere inovării tehnologice. Autoritățile de supraveghere ale statelor membre și Comitetul european pentru protecția datelor sunt mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 98 Propunere de regulament Articolul 23 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia poate stabili standarde tehnice pentru cerințele menționate la alineatele (1) și (2). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
eliminat |
Justificare | |
Prezenta propunere de regulament se aplică tuturor sectoarelor, atât online, cât și offline. Nu este de competența Comisiei să stabilească norme tehnice care ar putea să aducă atingere inovării tehnologice. Autoritățile de supraveghere ale statelor membre și Comitetul european pentru protecția datelor sunt mai în măsură să soluționeze eventualele dificultăți. | |
Amendamentul 99 Propunere de regulament Articolul 24 | |
|
Textul propus de Comisie |
Amendamentul |
|
Atunci când un operator stabilește, împreună cu alți operatori, scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. |
Atunci când un operator stabilește, împreună cu alți operatori, scopul prelucrării datelor cu caracter personal, operatorii asociați stabilesc, de comun acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. |
Amendamentul 100 Propunere de regulament Articolul 25 – alineatul 2 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) unei întreprinderi cu mai puțin de 250 de angajați; sau |
(b) unei întreprinderi cu mai puțin de 250 de angajați, cu excepția cazului în care autoritățile de supraveghere consideră că prelucrările realizate în cadrul întreprinderii prezintă un risc ridicat, în funcție de caracteristicile, tipul de date sau numărul persoanelor afectate; or |
Amendamentul 101 Propunere de regulament Articolul 26 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente responsabilităților, drepturilor și sarcinilor unei persoane împuternicite de către operator în conformitate cu alineatul (1), precum și condițiilor care permit facilitarea procesului de prelucrare a datelor cu caracter personal în cadrul unui grup de întreprinderi, în special pentru verificare și raportare. |
eliminat |
Justificare | |
Considerăm că atribuțiile conferite Comisiei prin această dispoziție sunt excesive. În cazul în care conținutul acestora este considerat indispensabil, el ar trebui dezvoltat în textul regulamentului. | |
Amendamentul 102 Propunere de regulament Articolul 28 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la toate operațiunile de prelucrare derulate sub responsabilitatea sa. |
(1) Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la principalele categorii de prelucrare aflate sub responsabilitatea sa. |
Amendamentul 103 Propunere de regulament Articolul 28 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Obligația prevăzută la alineatul (1) nu se aplică IMM-urilor care prelucrează date cu caracter personal doar ca activitate auxiliară vânzării de bunuri și servicii. |
Justificare | |
În acest caz trebuie să se aplice principiul „a gândi mai întâi la scară mică” și ar trebui să se acorde o atenție deosebită IMM-urilor pentru care această obligație ar constitui o sarcină dificilă. Activitățile de prelucrare a datelor cu caracter personal care nu reprezintă mai mult de 50 % din cifra de afaceri a unei IMM sunt considerate auxiliare. | |
Amendamentul 104 Propunere de regulament Articolul 28 – alineatul 2 – literele d și e | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care le privesc; |
(d) dacă este cazul, transferurile de date către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare; |
|
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv operatorii cărora le sunt comunicate datele cu caracter personal în interesul legitim pe care îl urmăresc; |
(e) descrierea mecanismelor prevăzute la articolul 22 alineatul (3). |
Justificare | |
Este necesar să se stabilească criterii mai stricte în materie de răspundere pentru organizațiile care nu dispun de un responsabil cu protecția datelor sau de o certificare suficientă, ceea ce ar impune crearea unui anumit model și existența unui volum minim de documentație în forma prevăzută în lege. | |
Amendamentul 105 Propunere de regulament Articolul 28 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului. |
(5) Comisia adoptă acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului. |
Amendamentul 106 Propunere de regulament Articolul 28 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia poate să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
(6) Comisia concepe formulare standard pentru documentele la care se face referire la alineatul (2). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
Amendamentul 107 Propunere de regulament Articolul 29 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). |
(1) Operatorul și, după caz, persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). |
Justificare | |
Alineatul (1) ar trebui să clarifice faptul că persoana împuternicită de operator va răspunde în cazurile în care este necesar, și nu ca regulă generală, așa cum se întâmplă în cazul operatorului. | |
Amendamentul 108 Propunere de regulament Articolul 29 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Ca urmare a exercitării, de către autoritatea de supraveghere, a competențelor prevăzute la articolul 53 alineatul (2), operatorul și persoana împuternicită de către operator răspund autorității de supraveghere într-un termen rezonabil stabilit de către autoritatea de supraveghere. Răspunsul include o descriere a măsurilor adoptate și a rezultatelor obținute, ca răspuns la observațiile autorității de supraveghere. |
Ca urmare a exercitării, de către autoritatea de supraveghere, a competențelor prevăzute la articolul 53 alineatul (2), operatorul, personal sau prin intermediul unui reprezentant, și persoana împuternicită de către operator răspund autorității de supraveghere într-un termen rezonabil stabilit de către autoritatea de supraveghere. Răspunsul include o descriere a măsurilor adoptate și a rezultatelor obținute, ca răspuns la observațiile autorității de supraveghere. |
Justificare | |
La alineatul (2) nu se menționează reprezentanții, pentru cazurile în care operatorii nu sunt stabiliți în UE. | |
Amendamentul 109 Propunere de regulament Articolul 30 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor, cu excepția cazului în care se aplică alineatul (4). |
eliminat |
Justificare | |
Propunerea de regulament prevede un număr nejustificat de mare de acte delegate. Mai exact, adoptarea, de către Comisie, a unor măsuri tehnice în domeniul securității prelucrării datelor ar putea aduce atingere inovării tehnologice. În plus, alineatul (4) al aceluiași articol prevede adoptarea unor acte de punere în aplicare pentru specificarea cerințelor menționate la alineatele (1) și (2). | |
Amendamentul 110 Propunere de regulament Articolul 30 – alineatul 4 – paragraful 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Comisia poate adopta, dacă este cazul, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special pentru a: |
eliminat |
|
(a) preveni accesul neautorizat la date cu caracter personal; |
|
|
(b) preveni orice act neautorizat de divulgare, citire, copiere, modificare, ștergere sau eliminare a datelor cu caracter personal; |
|
|
(c) asigura verificarea legalității operațiunilor de prelucrare. |
|
Amendamentul 111 Propunere de regulament Articolul 31 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Notificarea autorității de supraveghere trebuie să fie însoțită de o explicație motivată în cazul în care aceasta nu are loc în termen de 24 de ore. |
(1) În cazul în care are loc o încălcare a securității datelor cu caracter personal care afectează considerabil persoana vizată, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate. |
Amendamentul 112 Propunere de regulament Articolul 31 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator imediat după ce s-a constatat încălcarea securității datelor cu caracter personal. |
(2) În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator imediat după ce s-a constatat încălcarea securității datelor cu caracter personal menționată la alineatul (1).
|
Amendamentul 113 Propunere de regulament Articolul 31 – alineatul 2 – paragraful 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal nu este necesară în cazul în care operatorul a pus în aplicare măsuri adecvate de protecție, iar măsurile respective au fost aplicate datelor afectate de încălcarea securității datelor cu caracter personal. Prin aceste măsuri tehnologice de protecție, datele devin neinteligibile pentru persoanele care nu sunt autorizate să le acceseze. |
Amendamentul 114 Propunere de regulament Articolul 31 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a indica mai detaliat criteriile și cerințele necesare pentru stabilirea încălcării menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal. |
eliminat |
Justificare | |
În acest caz, actele delegate adoptate de Comisie ar trebui să se limiteze la stabilirea unui format standard pentru notificarea incidentelor și pentru înregistrarea încălcărilor anterioare și a consecințelor lor. | |
Amendamentul 115 Propunere de regulament Articolul 33 – alineatul 2 – partea introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Următoarele operațiuni de prelucrare prezintă în special riscurile specifice la care se face referire la alineatul (1): |
(2) Următoarele operațiuni de prelucrare prezintă riscurile specifice la care se face referire la alineatul (1): |
Justificare | |
Lista operațiunilor de prelucrare care trebuie să facă obiectul unei evaluări de impact, prevăzută la articolul 33 alineatul (2), este formulată de o manieră generală. Pentru a respecta principiul proporționalității și pentru a asigura securitatea juridică, această listă trebuie să fie restrictivă. | |
Amendamentul 116 Propunere de regulament Articolul 33 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Operatorul solicită avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare. |
eliminat |
Justificare | |
Oricare ar fi sectorul vizat, impunerea unei obligații generale de consultare a persoanelor vizate de către operatori înaintea prelucrării datelor pare a fi o măsură disproporționată. | |
Amendamentul 117 Propunere de regulament Articolul 33 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Atunci când operatorul este o autoritate sau un organism public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1) - (4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare. |
(5) Atunci când operatorul este o autoritate sau un organism public sau atunci când datele sunt prelucrate de către un alt organism căruia i s-a încredințat responsabilitatea îndeplinirii unor sarcini de administrație publică și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1)-(4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare. |
Justificare | |
Natura serviciului prestat, și nu natura organismului care prestează acest serviciu ar trebui să stabilească dacă se aplică normele privind evaluarea impactului datelor. De exemplu, organizațiilor private li se încredințează adesea responsabilitatea de a presta servicii publice. Ar trebui să existe o abordare unică a prestării serviciilor publice, indiferent dacă organismul care le prestează este o autoritate sau un organism public sau o organizație privată în calitate de contractant. | |
Amendamentul 118 Propunere de regulament Articolul 33 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind operațiunile de prelucrare care pot prezenta riscurile specifice menționate la alineatele (1) și (2), precum și cerințelor pentru evaluare la care se face referire la alineatul (3), inclusiv condițiile de scalabilitate, de verificare și posibilitatea auditării. În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. |
eliminat |
Justificare | |
Actele delegate nu se justifică în acest caz, întrucât ar detalia aspecte esențiale ale articolului care, din punctul nostru de vedere, ar trebui să conțină dispoziții care să îi delimiteze în mod clar domeniul de aplicare. | |
Amendamentul 119 Propunere de regulament Articolul 34 – titlu | |
|
Textul propus de Comisie |
Amendamentul |
|
Autorizarea prealabilă și consultarea prealabilă |
Consultarea prealabilă |
Justificare | |
Articolul 34 alineatul (1) ar trebui mutat la capitolul 5, care se referă la transferul de date cu caracter personal către o țară terță sau o organizație internațională. Prin urmare, titlul articolului ar trebui modificat. | |
Amendamentul 120 Propunere de regulament Articolul 34 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Operatorul sau persoana împuternicită de către operator, după caz, obține o autorizație din partea autorității de supraveghere înainte de prelucrarea datelor cu caracter personal, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care un operator sau o persoană împuternicită de către operator adoptă clauzele contractuale prevăzute la articolul 42 alineatul (2) litera (d) sau nu oferă garanții corespunzătoare printr-un instrument obligatoriu din punct de vedere juridic, astfel cum se menționează la articolul 42 alineatul (5) în ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională. |
eliminat |
Amendamentul 121 Propunere de regulament Articolul 34 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptate de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate. |
eliminat |
Justificare | |
Deși susținem includerea, în cadrul proceselor legislative, a unor consultări privind natura și adecvarea normelor elaborate, nu credem că un regulament al Uniunii poate fi un instrument adecvat pentru introducerea unor astfel de dispoziții care afectează procedurile legislative din statele membre. | |
Amendamentul 122 Propunere de regulament Articolul 35 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) prelucrarea este efectuată de o întreprindere cu 250 de angajați sau mai mult; sau |
eliminat |
Amendamentul 123 Propunere de regulament Articolul 35 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) Operatorii și persoanele împuternicite de operatori din cadrul IMM-urilor desemnează un responsabil cu protecția datelor numai atunci când activitățile principale ale IMM-urile constau în operațiuni de prelucrare a datelor care, prin natura, domeniul de aplicare și/sau scopurile lor necesită o monitorizare regulată și sistematică a persoanelor vizate. |
Justificare | |
Desemnarea unui responsabil cu protecția datelor nu ar trebui să se facă în funcție de numărul angajaților unei întreprinderi, ci ar trebui să constituie o abordare bazată pe riscuri care să se concentreze asupra activităților de prelucrare, precum și asupra numărului de persoane vizate ale căror date sunt prelucrate de către organizație. | |
Amendamentul 124 Propunere de regulament Articolul 35 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul menționat la alineatul (1) litera (b), un grup de întreprinderi poate numi un responsabil unic cu protecția datelor. |
(2) Un grup de întreprinderi poate numi un responsabil unic cu protecția datelor. |
Amendamentul 125 Propunere de regulament Articolul 35 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În alte cazuri decât cele menționate la alineatul (1), operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor. |
(4) Operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor. |
Amendamentul 126 Propunere de regulament Articolul 35 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. |
(5) Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37, în conformitate cu standarde profesionale stricte. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator. |
Justificare | |
Responsabilul cu protecția datelor ar trebui să își desfășoare activitatea conform unor standarde profesionale stricte [amendamentul la alineatul (5)], iar una dintre cauzele pentru care poate fi demis trebuie să fie încălcarea gravă a acestora [a se vedea amendamentul la alineatul (7)]. | |
Amendamentul 127 Propunere de regulament Articolul 35 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin doi ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă responsabilul cu protecția datelor nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale. |
(7) Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale sau ca urmare a unor încălcări grave ale acestora.
|
Justificare | |
Din punctul nostru de vedere, această garanție poate submina libertatea de a contracta servicii publice și poate afecta negativ concurența de pe piață. Perioada menționată ar putea contraveni unor dispoziții din dreptul muncii sau din statutele funcționarilor publici, creând probleme. Prin urmare, garanțiile aferente funcției de responsabil cu protecția datelor ar trebui să fie asigurate prin alte mijloace decât impunerea unei perioade minime de angajare. | |
Amendamentul 128 Propunere de regulament Articolul 35 – alineatul 11 | |
|
Textul propus de Comisie |
Amendamentul |
|
(11) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 cu scopul de a specifica în detaliu criteriile și cerințele pentru activitățile principale ale operatorului sau ale persoanei împuternicite de către operator prevăzute la alineatul (1) litera (c), precum și criteriile privind calitățile profesionale ale responsabilului cu protecția datelor prevăzute la alineatul (5). |
eliminat |
Amendamentul 129 Propunere de regulament Articolul 36 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37. |
(3) Operatorul sau persoana împuternicită de către operator îl sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și, atunci când este necesar, pune la dispoziție personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37. |
Justificare | |
Considerăm că acest articol a fost redactat ținând seama în principal de situația în care responsabilii cu protecția datelor au o legătură profesională sau funcțională cu întreprinderea sau instituția în cauză. Totuși, formularea nu este adecvată și pentru situațiile de externalizare a acestei funcții prin contracte de servicii. | |
Amendamentul 130 Propunere de regulament Articolul 37 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, păstrarea unei evidențe a acestei activități și a răspunsurilor primite; |
(a) informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament; |
Amendamentul 131 Propunere de regulament Articolul 37 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind sarcinile, certificarea, statutul, competențele și resursele responsabilului cu protecția datelor la care se face referire la alineatul (1). |
(2) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind certificarea și statutul responsabilului cu protecția datelor. |
Justificare | |
Eforturile Comisiei ar trebui să se concentreze asupra certificării și a statutului responsabilului cu protecția datelor, astfel încât, atunci când este posibil, această funcție să fie îndeplinită de persoane care dețin competențele necesare și garanțiile adecvate. | |
Amendamentul 132 Propunere de regulament Articolul 38 – alineatul 1 – litera aa (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(aa) respectarea drepturilor consumatorilor; |
Amendamentul 133 Propunere de regulament Articolul 39 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre și Comisia încurajează, în special la nivel european, instituirea de mecanisme de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Mecanismele de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare. |
(1) Statele membre și Comisia încurajează, în special la nivel european, instituirea de politici de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Politicile de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament și la realizarea acțiunilor și beneficiilor prevăzute de acesta, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare. |
|
|
Politicile de certificare de la nivelul Uniunii sunt concepute de Comitetul european pentru protecția datelor, cu participarea altor părți interesate, și sunt aprobate oficial de Comisie. Aceste politici se concentrează nu numai asupra instituțiilor, ci mai ales asupra operatorilor din domeniu. |
|
|
Politicile de certificare vizează necesitățile specifice ale actorilor din diferitele sectoare de activitate, luând în considerare în special necesitățile microîntreprinderilor și ale întreprinderilor mici și mijlocii, precum și aspectul esențial al limitării costurilor, astfel încât politicile respective să poată deveni un instrument eficace. Obținerea, reînnoirea și pierderea certificatelor antrenează consecințele prevăzute în prezentul regulament. |
Justificare | |
Certificările ar trebui să fie relaționate prin intermediul unei proceduri riguroase de consolidare a capacităților, care trebuie să fie independentă și să se poată actualiza. Astfel, în anumite cazuri, certificările ar trebui să fie supuse unui proces de reînnoire și actualizare și ar trebui să poată fi anulate în cazul unor încălcări grave. O astfel de situație ar trebui să conducă în mod automat la pierderea beneficiilor pe care le-ar putea oferi. | |
Amendamentul 134 Propunere de regulament Articolul 40 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 40a |
|
|
Autorizarea prealabilă |
|
|
Operatorul sau persoana împuternicită de către operator, după caz, obține o autorizație din partea autorității de supraveghere înainte de prelucrarea datelor cu caracter personal, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care un operator sau o persoană împuternicită de către operator adoptă clauzele contractuale prevăzute la articolul 42 alineatul (2) litera (d) sau nu oferă garanții corespunzătoare printr-un instrument cu forță juridică obligatorie, astfel cum se menționează la articolul 42 alineatul (5) în ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională. |
Amendamentul 135 Propunere de regulament Articolul 41 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită alte autorizări suplimentare. |
(1) Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale. |
Justificare | |
Prin utilizarea expresiei „autorizări suplimentare” la alineatul (1) al acestui articol, se poate înțelege că, deși există o decizie privind asigurarea unui nivel de protecție adecvat, este nevoie de o autorizație inițială pentru transfer. Nu suntem de această părere. Deciziile privind asigurarea nivelului de protecție adecvat sunt destinate să permită realizarea de transferuri fără o autorizație prealabilă specială. Din acest motiv, propunem modificarea formulării, înlocuind „autorizări suplimentare” cu „autorizări speciale”. | |
Amendamentul 136 Propunere de regulament Articolul 41 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia poate decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). |
(3) Comisia poate decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). |
Justificare | |
Deciziile Comisiei nu trebuie adoptate numai în conformitate cu procedura de examinare. În plus, în acest context, ar trebui consultat Comitetul european pentru protecția datelor. | |
Amendamentul 137 Propunere de regulament Articolul 41 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, fără a aduce atingere articolelor 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol. |
(6) În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt limitate în conformitate cu articolele 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol. |
Justificare | |
Ar trebui evitată utilizarea termenului „interzise”în favoarea termenului „limitate”. | |
Amendamentul 138 Propunere de regulament Articolul 42 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie. |
(1) În cazul în care Comisia nu a luat o decizie în temeiul articolului 41 sau a constatat că o țară terță, o regiune sau un sector de prelucrare a datelor dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor, operatorul sau persoana împuternicită de către operator poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie și, după caz, în urma unei evaluări de impact, în cazul în care operatorul sau persoana împuternicită de către operator s-a asigurat că destinatarul datelor din țara terță aplică standarde înalte de protecție a datelor. |
Amendamentul 139 Propunere de regulament Articolul 43 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Autoritatea de supraveghere care aprobă regulile corporatiste obligatorii ar trebui să fie cea din locul în care se află unitatea principală a operatorului sau a persoanei împuternicite de către operator. |
Justificare | |
Grupul de lucru înființat în temeiul articolului 29 a introdus un sistem de recunoaștere reciprocă a regulilor corporatiste obligatorii (WP 107 din 14 aprilie 2005 și, în cazul persoanei împuternicite de către operator, WP 195 din 6 iunie 2012). Prezentul regulament ar trebui să includă sistemul de recunoaștere reciprocă respectiv. Criteriul de desemnare a autorității competente ar trebui să fie sediul unității principale, în conformitate cu articolul 51 alineatul (2) din regulament. | |
Amendamentul 140 Propunere de regulament Articolul 44 – alineatul 1 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) transferul este necesar din motive importante, de interes public; sau |
(d) transferul este necesar din motive importante, de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor; sau |
Amendamentul 141 Propunere de regulament Articolul 44 – alineatul 1 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau |
(e) transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță sau la nivel administrativ; sau |
Justificare | |
Considerăm că ar trebui incluse și procedurile administrative, întrucât acestea reprezintă în multe situații calea inițială de exercitare și apărare a drepturilor unei persoane. | |
Amendamentul 142 Propunere de regulament Articolul 44 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii „motivelor importante, de interes public”, în sensul alineatului (1) litera (d), precum și a criteriilor și cerințelor aplicabile garanțiilor corespunzătoare prevăzute la alineatul (1) litera (h). |
eliminat |
Justificare | |
Actele delegate prevăzute la alineatul (7) ni se par excesive, întrucât vizează aspecte esențiale ale articolului, nu doar îl dezvoltă. Dacă se consideră necesară completarea aspectelor esențiale ale normelor prevăzute la acest articol, aceste completări ar trebui să fie realizate direct în articol. | |
Amendamentul 143 Propunere de regulament Articolul 47 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Autoritatea de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate. |
(1) Autoritățile de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care le sunt încredințate. |
Amendamentul 144 Propunere de regulament Articolul 47 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În îndeplinirea îndatoririlor, membrii autorității de supraveghere nu solicită și nici nu acceptă niciun fel de instrucțiuni. |
(2) În îndeplinirea îndatoririlor, membrii autorităților de supraveghere nu solicită și nici nu acceptă niciun fel de instrucțiuni. |
Amendamentul 145 Propunere de regulament Articolul 47 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Fiecare stat membru se asigură că autoritatea de supraveghere beneficiază de resurse umane, tehnice și financiare adecvate, de sediul și infrastructura necesară pentru buna executare a sarcinilor și competențelor, inclusiv a celor care urmează să fie efectuate în contextul asistenței reciproce, al cooperării și participării la Comitetul european pentru protecția datelor. |
(5) Fiecare stat membru se asigură, în conformitate cu distribuția competențelor la nivel intern, că autoritățile de supraveghere beneficiază de resurse umane, tehnice și financiare adecvate, de sediul și infrastructura necesară pentru buna executare a sarcinilor și competențelor, inclusiv a celor care urmează să fie efectuate în contextul asistenței reciproce, al cooperării și participării la Comitetul european pentru protecția datelor. |
Amendamentul 146 Propunere de regulament Articolul 47 – alineatul 6 | |
|
Textul propus de Comisie |
Amendamentul |
|
(6) Fiecare stat membru se asigură că autoritatea de supraveghere dispune de personal propriu, numit de șeful autorității de supraveghere și care răspunde în fața acestuia. |
(6) Fiecare stat membru se asigură, în conformitate cu distribuția competențelor la nivel intern, că autoritățile de supraveghere dispun de personal propriu, care este numit de șeful autorității de supraveghere și care răspunde în fața acestuia. |
Amendamentul 147 Propunere de regulament Articolul 47 – alineatul 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(7) Statele membre se asigură că autoritatea de supraveghere face obiectul unui control financiar care nu aduce atingere independenței sale. Statele membre se asigură că autoritatea de supraveghere dispune de bugete anuale distincte. Bugetele se fac publice. |
(7) Statele membre se asigură, în conformitate cu distribuția competențelor la nivel intern, că autoritățile de supraveghere fac obiectul unui control financiar care nu aduce atingere independenței lor. Statele membre se asigură, în conformitate cu distribuția competențelor la nivel intern, că autoritățile de supraveghere dispun de bugete anuale distincte. Bugetele se fac publice. |
Amendamentul 148 Propunere de regulament Articolul 48 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre prevăd dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți fie de parlament, fie de guvernul statului membru în cauză. |
(1) Statele membre prevăd dispoziții potrivit cărora membrii autorității sau autorităților de supraveghere trebuie numiți fie de parlament, fie de organismele guvernamentale ale statului membru în cauză. |
Amendamentul 149 Propunere de regulament Articolul 48 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Funcțiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau destituirii conform dispozițiilor alineatului (5). |
(3) Funcțiile unui membru încetează în cazul expirării mandatului sau în cazul incapacității de exercitare a funcției, în caz de incompatibilitate, demisie, demitere, condamnare definitivă pentru o infracțiune premeditată sau destituire. |
Amendamentul 150 Propunere de regulament Articolul 48 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Un membru poate fi demis sau poate fi decăzut din dreptul la pensie sau la alte beneficii echivalente de către instanța națională competentă, în cazul în care membrul respectiv nu mai îndeplinește condițiile necesare pentru executarea funcțiilor sau este vinovat de comiterea unei abateri disciplinare grave. |
(4) Un membru poate fi demis sau desemnarea său poate fi revocată de către organismul care l-a numit, în cazul în care membrul respectiv nu mai îndeplinește condițiile necesare pentru executarea funcțiilor sau este vinovat de nerespectarea gravă a obligațiilor aferente funcției sale. |
Amendamentul 151 Propunere de regulament Articolul 49 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) instituirea și statutul autorității de supraveghere; |
(a) instituirea și statutul autorităților de supraveghere; |
Amendamentul 152 Propunere de regulament Articolul 49 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) calificările, experiența și competențele necesare pentru exercitarea funcției de membru al autorității de supraveghere; |
(b) calificările, experiența și competențele necesare pentru exercitarea funcției de membru al autorităților de supraveghere; |
Amendamentul 153 Propunere de regulament Articolul 49 – litera c | |
|
Textul propus de Comisie |
Amendamentul |
|
(c) normele și procedurile pentru numirea membrilor autorității de supraveghere, precum și normele privind acțiunile sau ocupațiile incompatibile cu funcțiile membrilor; |
(c) normele și procedurile pentru numirea membrilor autorităților de supraveghere, precum și normele privind acțiunile sau ocupațiile incompatibile cu funcțiile membrilor; |
Amendamentul 154 Propunere de regulament Articolul 49 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) durata mandatului membrilor autorității de supraveghere, care nu poate fi sub patru ani, cu excepția primului mandat după intrarea în vigoare a prezentului regulament, care poate fi pe o perioadă mai scurtă în cazul în care acest lucru este necesar pentru a proteja independența autorității de supraveghere printr-o procedură de numiri eșalonate; |
(d) durata mandatului membrilor autorităților de supraveghere, care nu poate fi sub patru ani, cu excepția primului mandat după intrarea în vigoare a prezentului regulament, care poate fi pe o perioadă mai scurtă în cazul în care acest lucru este necesar pentru a proteja independența autorităților de supraveghere printr-o procedură de numiri eșalonate; |
Amendamentul 155 Propunere de regulament Articolul 49 – litera e | |
|
Textul propus de Comisie |
Amendamentul |
|
(e) posibilitatea de reînnoire a mandatului membrilor autorității de supraveghere; |
(e) posibilitatea de reînnoire a mandatului membrilor autorităților de supraveghere; |
Amendamentul 156 Propunere de regulament Articolul 49 – litera f | |
|
Textul propus de Comisie |
Amendamentul |
|
(f) regulile și condițiile comune care reglementează îndatoririle membrilor și ale personalului autorității de supraveghere; |
(f) regulile și condițiile comune care reglementează îndatoririle membrilor și ale personalului autorităților de supraveghere; |
Amendamentul 157 Propunere de regulament Articolul 49 – litera g | |
|
Textul propus de Comisie |
Amendamentul |
|
g) normele și procedurile privind încetarea funcțiilor asumate de membrii autorității de supraveghere, inclusiv în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri disciplinare grave. |
(g) normele și procedurile privind încetarea funcțiilor asumate de membrii autorităților de supraveghere, inclusiv în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri disciplinare grave. |
Amendamentul 158 Propunere de regulament Articolul 50 | |
|
Textul propus de Comisie |
Amendamentul |
|
În cursul mandatului și după încetarea mandatului, membrii și personalul autorității de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale. |
În cursul mandatului și după încetarea mandatului, membrii și personalul autorităților de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale. |
Amendamentul 159 Propunere de regulament Articolul 51 – alineatul 1 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(1a) În cazul în care o persoană, un organism, o organizație sau o asociație dintre cele menționate la articolul 73 alineatul (2) depune o plângere, autoritatea de supraveghere competentă pentru a trata plângerea este cea din statul membru în care aceasta a fost depusă. |
Amendamentul 160 Propunere de regulament Articolul 51 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Atunci când prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator, din Uniune, iar operatorul sau persoană împuternicită de către operator are unități pe teritoriul mai multor state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator are competența supravegherii activităților de prelucrare desfășurate de operator sau de persoana împuternicită de către operator în toate statele membre, fără a aduce atingere dispozițiilor capitolului VII din prezentul regulament. |
(2) În contextul activităților unui operator sau ale unei persoane împuternicite de către operator pe teritoriul mai multor state membre, autoritatea de supraveghere a statului membru unde se află unitatea principală are competența supravegherii activităților de prelucrare desfășurate de operator sau de persoana împuternicită de către operator, inclusiv a adoptării de decizii în temeiul prezentului regulament, în toate statele membre. |
|
|
Autoritatea de supraveghere competentă cooperează cu celelalte autorități de supraveghere și cu Comisia, în conformitate cu dispozițiile capitolului VII din prezentul regulament. |
|
|
În cazul unui dezacord privind aplicarea regulamentului, orice autoritate de supraveghere poate solicita avizul Comitetului european pentru protecția datelor. |
Amendamentul 161 Propunere de regulament Articolul 52 – alineatul 1 – litera d | |
|
Textul propus de Comisie |
Amendamentul |
|
(d) desfășoară anchete fie din proprie inițiativă, fie pe baza unei reclamații sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere; |
(d) desfășoară anchete fie din proprie inițiativă, pe baza unei reclamații sau la cererea altei autorități de supraveghere, fie în urma unei plângeri depuse la poliție și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere; |
Justificare | |
Depunerea unei plângeri la poliție ar trebui considerată în egală măsură o posibilă cauză pentru demararea unei anchete atunci când, în cursul activităților polițienești, apar informații relevante care demonstrează încălcarea dreptului la viața privată al unei persoane. | |
Amendamentul 162 Propunere de regulament Articolul 52 – alineatul 1 – litera ja (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ja) coordonează politicile de certificare pe teritoriul de care este responsabilă, în conformitate cu dispozițiile articolului 39. |
Justificare | |
Conform poziției noastre de susținere a consolidării politicilor de certificare, considerăm că este important să se facă referire la sfera competențelor autorităților de supraveghere în legătură politicile în cauză. | |
Amendamentul 163 Propunere de regulament Articolul 53 – alineatul 1 – litera jb (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(jb) realizează audituri sau planuri de audit cu privire la protecția datelor cu caracter personal. |
Amendamentul 164 Propunere de regulament Articolul 54 | |
|
Textul propus de Comisie |
Amendamentul |
|
Fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale. Raportul trebuie să fie prezentat parlamentului național și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor. |
Fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale. Raportul se prezintă parlamentului în cauză și/sau celorlalte autorități prevăzute de legislația națională și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor. |
Justificare | |
Amendamentul a fost depus pentru a include în propunere și țările care au mai multe autorități de supraveghere pe teritoriul lor. | |
Amendamentul 165 Propunere de regulament Articolul 59 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) În cazul în care autoritatea de supraveghere în cauză intenționează să nu se conformeze avizului Comisiei, acesta informează Comisia și Comitetul european pentru protecția datelor respectând termenul menționat la alineatul (1) și furnizează o motivare. În acest caz, proiectul de măsură nu este adoptat timp de o lună suplimentară. |
(4) În cazul în care autoritatea de supraveghere în cauză intenționează să nu se conformeze avizului Comisiei, acesta informează Comisia și Comitetul european pentru protecția datelor respectând termenul menționat la alineatul (1) și furnizează o motivare. |
Justificare | |
Perioada de timp suplimentară pare nerezonabilă. | |
Amendamentul 166 Propunere de regulament Articolul 62 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Din motive imperative de urgență pe deplin justificate legate de interesul persoanelor vizate în cazurile menționate la alineatul (1) litera (a), Comisia adoptă acte de punere în aplicare imediat aplicabile, în conformitate cu procedura menționată la articolul 87 alineatul (3). Aceste acte rămân în vigoare pentru o perioadă de cel mult 12 luni. |
eliminat |
Justificare | |
Această competență a Comisiei ar aduce atingere independenței autorităților de supraveghere. | |
Amendamentul 167 Propunere de regulament Articolul 66 – alineatul 1 – litera ga (nouă) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(ga) să propună bazele politicii europene în materie de certificare, să monitorizeze și să evalueze punerea în aplicare și să transmită Comisiei concluziile sale. |
Amendamentul 168 Propunere de regulament Articolul 69 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Comitetul european pentru protecția datelor alege un președinte și doi vicepreședinți din rândul membrilor săi. Unul dintre vicepreședinți este Autoritatea Europeană pentru Protecția Datelor, cu excepția cazului în care aceasta a fost aleasă președinte. |
(1) Comitetul european pentru protecția datelor alege un președinte și doi vicepreședinți din rândul membrilor săi. |
Justificare | |
Nu există niciun motiv legitim pentru care Autoritatea Europeană pentru Protecția Datelor să fie mai îndreptățită decât altă autoritate să ocupe permanent funcția de vicepreședinte. | |
Amendamentul 169 Propunere de regulament Articolul 73 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament. |
(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la autoritatea de supraveghere din statul membru în care aceasta are reședința obișnuită sau din statul membru în care se află unitatea principală a operatorului de date, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament. |
Amendamentul 170 Propunere de regulament Articolul 73 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal. |
eliminat |
Amendamentul 171 Propunere de regulament Articolul 74 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 52 alineatul (1) litera (b). |
(2) Se consideră că plângerea a fost respinsă dacă, în termen de trei luni de la data depunerii sale de către persoana vizată, autoritatea de supraveghere nu a informat persoana vizată cu privire la cursul acțiunii. De asemenea, se consideră că plângerea a fost respinsă dacă, în termen de șase luni de la data depunerii sale, autoritatea de supraveghere nu a soluționat definitiv plângerea. |
Justificare | |
Pentru a asigura securitatea juridică, ar trebui să se stabilească un termen maxim de șase luni pentru adoptarea deciziilor cu privire la plângeri. Pentru situațiile excepționale s-ar putea avea în vedere un termen mai îndelungat. În orice caz, ar trebui să se stabilească și un termen maxim în care autoritățile de supraveghere să informeze persoana vizată cu privire la evoluția acțiunii sale. Dacă se depășește acest termen, ar trebui să se considere că plângerea a fost respinsă. | |
Amendamentul 172 Propunere de regulament Articolul 74 – alineatul 4 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) O persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru. |
eliminat |
Justificare | |
Această posibilitate nu aduce valoare adăugată cetățenilor și riscă să compromită cooperarea autorităților de supraveghere în cadrul mecanismului pentru asigurarea coerenței. | |
Amendamentul 173 Propunere de regulament Articolul 75 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) În cazul în care o acțiune care se referă la aceeași măsură, decizie sau practică este în curs în cadrul mecanismului pentru asigurarea coerenței menționat la articolul 58, o instanță poate suspenda acțiunile care i-au fost înaintate, cu excepția cazurilor în care caracterul urgent al chestiunii privind protecția drepturilor persoanei vizate nu îi permite să aștepte rezultatul acțiunii în cadrul mecanismului pentru asigurarea coerenței. |
(3) În cazul în care o acțiune care se referă la aceeași măsură, decizie sau practică este în curs în cadrul mecanismului pentru asigurarea coerenței menționat la articolul 58, o instanță poate suspenda acțiunile care i-au fost înaintate, la solicitarea oricăreia dintre părți și după audierea tuturor părților, cu excepția cazurilor în care caracterul urgent al chestiunii privind protecția drepturilor persoanei vizate nu îi permite să aștepte rezultatul acțiunii în cadrul mecanismului pentru asigurarea coerenței. |
Justificare | |
Considerăm că acțiunea ar trebui să fie suspendată doar la solicitarea uneia dintre părți și după audierea tuturor părților, aceasta fiind soluția cea mai adecvată pentru astfel de cazuri. | |
Amendamentul 174 Propunere de regulament Articolul 76 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74 și 75 în numele uneia sau mai multor persoane vizate. |
eliminat |
Justificare | |
Un astfel de mecanism nu este necesar din punct de vedere practic. | |
Amendamentul 175 Propunere de regulament Articolul 77 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului. |
(2) În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului. În caz de răspundere solidară, persoana împuternicită de către operator care a despăgubit persoana vizată poate înainta o acțiune împotriva operatorului pentru a solicita rambursarea, dacă a acționat în conformitate cu actul juridic menționat la articolul 26 alineatul (2). |
Amendamentul 176 Propunere de regulament Articolul 79 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. |
(1) Autoritatea de supraveghere competentă în temeiul articolului 51 alineatul (2) este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. |
Amendamentul 177 Propunere de regulament Articolul 79 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării. |
(2) În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată, printre altele, în funcție de: |
|
|
(a) natura, gravitatea și durata încălcării; |
|
|
(b) caracterul sensibil al datelor în cauză; |
|
|
(c) faptul că încălcarea a fost comisă intenționat sau din neglijență; |
|
|
(d) gradul de cooperare sau refuzul ori obstrucționarea cooperării cu orice procedură de punere în aplicare; |
|
|
(e) măsurile adoptate de persoana fizică sau juridică pentru a asigura respectarea obligațiilor relevante; |
|
|
(f) gradul de prejudiciu sau de risc de prejudiciu creat de încălcare; |
|
|
(g) gradul de responsabilitate a persoanei fizice sau juridice și încălcările comise anterior de această persoană; |
|
|
(h) măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării. |
[O parte a alineatului (2) din textul Comisiei a devenit literele (a), (c), (g) și (h) în amendamentul Parlamentului.] | |
Amendamentul 178 Propunere de regulament Articolul 79 – alineatul 2 a | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Autoritatea de supraveghere poate transmite o avertizare în scris, fără să impună nicio sancțiune. Autoritatea de supraveghere poate impune, în cazul încălcărilor repetate și intenționate, o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală de la nivel mondial. |
Justificare | |
Trebuie specificată valoarea maximă a amenzii pe care o poate impune o autoritate de supraveghere și care se poate ridica la 1 000 000 EUR sau, în cazul întreprinderilor, la 2 % din cifra lor de afaceri anuală de la mondial. Totodată, trebuie menținută independența autorităților de supraveghere prevăzută la articolul 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene. În plus, mecanismul pentru asigurarea coerenței, îndeosebi articolul 58 alineatele (3) și (4, ar putea contribui la o politică armonizată în cadrul UE în materie de sancțiuni administrative. | |
Amendamentul 179 Propunere de regulament Articolul 79 – alineatul 3 – literele a și b | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) o persoană fizică prelucrează date cu caracter personal fără vreun interes comercial; sau |
(a) o întreprindere sau o organizație cu mai puțin de 250 de angajați este dispusă să coopereze cu autoritatea de supraveghere pentru conceperea unor măsuri corective care să permită evitarea, pe viitor, a unor încălcări similare. Cooperarea în acest domeniu este reglementată de acorduri obligatorii încheiate cu autoritatea de supraveghere. Necooperarea cu autoritatea de supraveghere acreditată în mod corespunzător în termen de șase luni de la începerea procedurii determină aplicarea amenzii care ar fi fost aplicată inițial; |
|
(b) o întreprindere sau o organizație cu mai puțin de 250 de angajați prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale. |
(b) o administrație publică cooperează cu o autoritate de supraveghere pentru a stabili măsuri care să permită evitarea, pe viitor, a unor încălcări similare. Cooperarea în acest domeniu se stabilește pe baza acordurilor sau a deciziilor adoptate de administrația respectivă, în care se face referire la originea măsurilor adoptate. Necooperarea cu autoritatea de supraveghere acreditată în mod corespunzător în termen de un an de la începerea procedurii determină aplicarea amenzii care ar fi fost aplicată inițial. În sensul prezentului articol, sancțiunile anterioare stabilite prin hotărâre definitivă pentru infracțiuni din neglijență se anulează după cum urmează: |
|
|
în termen de doi ani pentru sancțiunile însoțite de amenzi de până la 250 000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală de la nivel mondial; în termen de patru ani pentru sancțiunile însoțite de amenzi de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală de la nivel mondial; în termen de șase ani pentru sancțiunile însoțite de amenzi de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală de la nivel mondial.
|
|
|
În sensul prezentului articol, sancțiunile anterioare stabilite prin hotărâre definitivă pentru infracțiuni comise din neglijență gravă sau în mod premeditat se anulează după cum urmează:
|
|
|
în termen de cinci ani pentru sancțiunile însoțite de amenzi de până la 250 000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală de la nivel mondial; în termen de zece ani pentru sancțiunile însoțite de amenzi de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală de la nivel mondial; în termen de 15 ani pentru sancțiunile însoțite de amenzi de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală de la nivel mondial. |
[O parte a literei (b) din textul Comisiei a devenit o parte a literei (a) în amendamentul Parlamentului.] | |
Justificare | |
Se creează o gamă mai amplă de sancțiuni alternative concentrate pe o strategie care urmărește evitarea altor încălcări. Majoritatea sancțiunilor alternative prevăzute vizează stabilirea unui acord cu privire la mijloacele prin care se pot evita încălcările pe viitor. Măsurile corective se stabilesc pornind de la acordurile încheiate cu autoritatea de supraveghere sau de la actele ori deciziile adoptate de administrația în cauză. | |
Amendamentul 180 Propunere de regulament Articolul 79 – alineatele 4 - 7 | |
|
Textul propus de Comisie |
Amendamentul |
|
(4) Autoritatea de supraveghere impune o amendă de până la 250.000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
eliminat |
|
(a) nu prevede mecanisme care să permită persoanelor vizate să formuleze solicitări sau nu răspunde prompt sau nu în forma adecvată persoanelor vizate, în temeiul articolului 12 alineatele (1) și (2); |
|
|
(b) percepe o taxă pentru informații sau pentru răspunsurile la solicitările persoanelor vizate, încălcând articolul 12 alineatul (4). |
|
|
(5) Autoritatea de supraveghere impune o amendă de până la 500.000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
|
|
(a) nu furnizează persoanei vizate informațiile sau furnizează informații incomplete sau nu furnizează informațiile într-un mod suficient de transparent, în conformitate cu articolul 11, articolul 12 alineatul (3) și articolul 14; |
|
|
(b) nu oferă acces persoanei vizate sau nu rectifică datele cu caracter personal în temeiul articolelor 15 și 16 sau nu comunică unui destinatar informațiile relevante, în temeiul articolului 13; |
|
|
(c) nu respectă „dreptul de a fi uitat” ori dreptul la ștergere sau nu instituie mecanisme pentru a asigura că termenele sunt respectate sau nu ia toate măsurile necesare pentru a informa părțile terțe că o persoană vizată solicită ștergerea tuturor linkurilor către datele sale cu caracter personal, sau a tuturor copiilor sau a reproducerilor acestora, în temeiul articolului 17; |
|
|
(d) nu furnizează o copie a datelor cu caracter personal în format electronic sau împiedică persoana vizată să transmită datele cu caracter personal către o altă aplicație, încălcând articolul 18; |
|
|
(e) nu definește sau nu definește suficient responsabilitățile respective cu operatorii asociați în temeiul articolului 24; |
|
|
(f) nu păstrează sau nu păstrează suficient documentația în temeiul articolului 28, articolului 31 alineatul (4) și al articolului 44 alineatul (3); |
|
|
(g) nu respectă, în cazurile în care nu sunt implicate categorii speciale de date, în temeiul articolelor 80, 82 și 83, normele privind libertatea de exprimare sau normele privind prelucrarea în contextul ocupării unui loc de muncă sau condițiile pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică. |
|
|
(6) Autoritatea de supraveghere impune o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență: |
|
|
(a) prelucrează datele cu caracter personal fără niciun temei juridic sau fără un temei juridic suficient pentru prelucrare sau nu respectă condițiile privind consimțământul, în temeiul articolelor 6, 7 și 8; |
|
|
(b) prelucrează categorii speciale de date, încălcând articolele 9 și 81; |
|
|
(c) nu respectă o opoziție sau nu se conformează cerinței în temeiul articolului 19; |
|
|
(d) nu respectă condițiile legate de măsurile bazate pe crearea de profiluri în temeiul articolului 20; |
|
|
(e) nu adoptă norme interne sau nu pune în aplicare măsuri corespunzătoare pentru a asigura și a demonstra conformitatea în temeiul articolelor 22, 23 și 30; |
|
|
(f) nu desemnează un reprezentant în temeiul articolului 25; |
|
|
(g) prelucrează date cu caracter personal sau dă instrucțiuni de prelucrare a datelor cu caracter personal încălcând obligațiile privind prelucrarea în numele unui operator în temeiul articolelor 26 și 27; |
|
|
(h) nu semnalează sau nu notifică o încălcare a securității datelor cu caracter personal sau nu notifică la timp ori complet autorității de supraveghere sau persoanei vizate încălcarea securității datelor, în temeiul articolelor 31 și 32; |
|
|
(i) nu efectuează o evaluare a impactului privind protecția datelor sau prelucrează date cu caracter personal fără autorizare prealabilă sau consultarea prealabilă a autorității de supraveghere în temeiul articolelor 33 și 34; |
|
|
(j) nu desemnează un responsabil cu protecția datelor sau nu asigură condițiile pentru îndeplinirea sarcinilor în temeiul articolelor 35, 36 și 37; |
|
|
(k) utilizează abuziv sigiliile și mărcile din domeniul protecției datelor, în sensul articolului 39; |
|
|
(l) efectuează sau dă instrucțiuni pentru transferarea de date către o țară terță sau o organizație internațională care nu este autorizată printr-o decizie privind caracterul adecvat sau prin garanții adecvate sau printr-o derogare în temeiul articolelor 40-44; |
|
|
(m) nu respectă un ordin sau o interdicție temporară sau definitivă privind prelucrarea sau suspendarea fluxurilor de date emisă de autoritatea de supraveghere, în temeiul articolului 53 alineatul (1); |
|
|
(n) nu respectă obligațiile de a oferi asistență sau de a răspunde sau de a furniza informațiile relevante autorității de supraveghere sau de a da acesteia acces la clădirile sale, în temeiul articolului 28 alineatul (3), al articolului 29, al articolului 34 alineatul (6) și al articolului 53 alineatul (2); |
|
|
(o) nu respectă normele pentru garantarea secretului profesional, în temeiul articolului 84. |
|
|
(7) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor amenzilor administrative menționate la alineatele (4), (5) și (6), ținând seama de criteriile menționate la alineatul (2). |
|
Amendamentul 181 Propunere de regulament Articolul 80 – alineatul 1 | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI și privind cooperarea și coerența de la capitolul VII, pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare. |
(1) Capitolul II (Principiile generale), capitolul III (Drepturile persoanei vizate), capitolul IV (Operatorul și persoana împuternicită de către operator), capitolul V (Transferul datelor cu caracter personal către țări terțe și organizații internaționale), capitolul VI (Autoritățile de supraveghere independente), capitolul VII (Cooperarea și coerența), precum și articolele 73, 74, 76 și 79 din capitolul VIII (Căi de atac, răspundere și sancțiuni) nu se aplică în cazul prelucrării datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare. |
Justificare | |
The new draft legislation on data protection takes the form of a regulation and thus is directly applicable. If data protection law applies directly, the freedom of the press exception must also be directly applicable. An implementation by Member States should not lower down the current level of protection. Furthermore, the exemption should be extended to Articles 73, 74,76 and 79 of Chapter VIII (on Remedies, Liabilities and Sanctions) because these Articles include new elements which go far beyond what is foreseen in the current directive and are not suitable for journalistic activities or pose a serious threat to press freedom. The word "solely" undermines legal certainty as it provides for a potentially significant loophole which undermines the provision set by this article. | |
Amendamentul 182 Propunere de regulament Articolul 80 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează. |
eliminat |
Amendamentul 183 Propunere de regulament Articolul 80 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
Articolul 80a |
|
|
Prelucrarea datelor cu caracter personal și principiul accesului publicului la documente oficiale |
|
|
Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public pot fi divulgate de către autoritatea sau organismul respectiv în conformitate cu legislația statului membru privind accesul publicului la documente oficiale, care conciliază dreptul la protecția datelor cu caracter personal cu principiul accesului publicului la documente oficiale. |
Justificare | |
Este esențial să se asigure faptul că normele de protecție a datelor nu împiedică supravegherea publică a afacerilor publice. Astfel cum se specifică în avizele AEPD, Grupului de lucru înființat în temeiul articolului 29 și FRA, principiul accesului publicului la documente oficiale ar trebui, prin urmare, garantat în cadrul unui articol, nu numai al unui considerent. | |
Amendamentul 184 Propunere de regulament Articolul 81 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 87 în scopul precizării în continuare a altor motive de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și a unor criterii și cerințe referitoare la garanții în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
eliminat |
Justificare | |
Singura obiecție pe care o formulăm deocamdată cu privire la acest articol se referă la împuternicirea Comisiei prevăzută la alineatul (3). Considerăm că se depășesc limitele acceptabile pentru delegarea legislativă și, prin urmare, aspectele la care se face referire ar trebui să fie tratate în prezentul instrument, fie în momentul de față, fie cu ocazia formulării altor amendamente, pentru a se garanta eficacitatea acestuia pe viitor. | |
Amendamentul 185 Propunere de regulament Articolul 82 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). |
eliminat |
Justificare | |
Delegarea de competențe conferită Comisiei prevăzută la alineatul (3) este excesivă, iar măsurile menționate ar trebui să fie adoptate în condițiile existente. | |
Amendamentul 186 Propunere de regulament Articolul 83 – alineatul 1 – formula introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(1) În limitele prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă: |
(1) În limitele prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică sau de anchetă judiciară sau administrativă preliminară pentru determinarea filiației naturale numai dacă:
|
Justificare | |
În scopul facilitării anchetelor privind determinarea filiației naturale în cazurile de furt sau răpire a nou-născuților, propunem extinderea alineatului (1), astfel încât să se stabilească în mod clar caracterul legitim al procedurilor aplicate pentru astfel de anchete. | |
Amendamentul 187 Propunere de regulament Articolul 83 – alineatul 1 – litera a | |
|
Textul propus de Comisie |
Amendamentul |
|
(a) aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate; |
(a) aceste scopuri nu pot fi îndeplinite în mod rezonabil prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate; și |
Amendamentul 188 Propunere de regulament Articolul 83 – alineatul 1 – litera b | |
|
Textul propus de Comisie |
Amendamentul |
|
(b) datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații atât timp cât aceste scopuri pot fi îndeplinite în acest mod. |
(b) datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații atât timp cât aceste scopuri pot fi îndeplinite în acest mod. |
|
|
Datele cu caracter personal prelucrate în cadrul anchetelor judiciare sau administrative preliminare pentru determinarea filiației naturale se comunică doar persoanelor vizate, dacă și atunci când este cazul și fără a aduce atingere niciunei proceduri penale prevăzute de lege. |
Justificare | |
În scopul facilitării anchetelor privind determinarea filiației naturale în cazurile de furt sau răpire a nou-născuților, propunem adăugarea unui paragraf la această literă, astfel încât să se stabilească mecanisme de protecție corespunzătoare a confidențialității datelor cu caracter personal prelucrate în cadrul anchetelor judiciare sau administrative preliminare, pentru a se garanta faptul că aceste date sunt comunicate numai dacă și când acest lucru este prevăzut de lege. | |
Amendamentul 189 Propunere de regulament Articolul 83 – alineatul 2 – formula introductivă | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Organismele care desfășoară activități de cercetare istorică, statistică sau științifică pot publica sau face publice în alt mod date cu caracter personal numai dacă: |
(2) Organismele care desfășoară activități de cercetare istorică, statistică, agregată sau științifică pot publica sau face publice în alt mod date cu caracter personal numai dacă: |
Amendamentul 190 Propunere de regulament Articolul 83 – alineatul 2 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(2a) Prelucrarea ulterioară a datelor în scopuri de cercetare istorică, statistică, agregată sau științifică nu este considerată incompatibilă în temeiul articolului 5 litera (b), atât timp cât prelucrarea: |
|
|
(a) este supusă condițiilor și garanțiilor prevăzute la prezentul articol și |
|
|
(b) respectă toate celelalte dispoziții legislative relevante. |
Justificare | |
Actuala propunere pentru articolul 83 pare să permită prelucrarea datelor medicale identificabile în scopuri de cercetare, fără a face referire la acordarea consimțământului. Singurele măsuri de siguranță prevăzute (și anume păstrarea separată a datelor identificabile și utilizarea de către cercetători a datelor identificabile numai în cazurile în care cercetarea nu se poate realiza numai cu ajutorul datelor neidentificabile) reduc în mod semnificativ nivelul de protecție a datelor medicale. Există riscul ca actuala propunere să le permită cercetătorilor să utilizeze date identificabile fără consimțământul persoanelor vizate. | |
Amendamentul 191 Propunere de regulament Articolul 83 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul prelucrării datelor cu caracter personal în scopurile menționate la alineatele (1) și (2), precum și a tuturor limitărilor necesare privind drepturile la informare și la acces ale persoanei vizate și care detaliază condițiile și garanțiile pentru drepturile persoanelor vizate în aceste circumstanțe. |
eliminat |
Amendamentul 192 Propunere de regulament Articolul 85 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Bisericile și asociațiile religioase care aplică un set cuprinzător de norme în conformitate cu alineatul (1) asigură instituirea unei autorități de supraveghere independente, în conformitate cu capitolul VI din prezentul regulament. |
(2) Bisericile și asociațiile religioase care aplică un set cuprinzător de norme în conformitate cu alineatul (1) asigură instituirea unei autorități de supraveghere independente, în conformitate cu capitolul VI din prezentul regulament sau obțin certificarea necesară pentru procedurile prevăzute la articolul 39. |
Justificare | |
Cerința privind certificarea ar putea constitui o alternativă adecvată la cerința privind autoritatea de supraveghere, mai ales pentru confesiunile cu resurse economice reduse. | |
Amendamentul 193 Propunere de regulament Articolul 86 – alineatul 2 | |
|
Textul propus de Comisie |
Amendamentul |
|
(2) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
(2) Competența de a adopta acte delegate menționată la articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 14 alineatul (7), articolul 15 alineatul (3), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30, articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. |
Amendamentul 194 Propunere de regulament Articolul 86 – alineatul 3 | |
|
Textul propus de Comisie |
Amendamentul |
|
(3) Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. |
(3) Delegarea de competențe menționată la articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 14 alineatul (7), articolul 15 alineatul (3), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 39 alineatul (2), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 81 alineatul (3), articolul 82 alineatul (3) și articolul 83 alineatul (3) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. |
Amendamentul 195 Propunere de regulament Articolul 86 – alineatul 5 | |
|
Textul propus de Comisie |
Amendamentul |
|
(5) Un act delegat adoptat în temeiul articolului 6 alineatul (5), articolului 8 alineatul (3), articolului 9 alineatul (3), articolului 12 alineatul (5), articolului 14 alineatul (7), articolului 15 alineatul (3), articolului 17 alineatul (9), articolului 20 alineatul (6), articolului 22 alineatul (4), articolului 23 alineatul (3), articolului 26 alineatul (5), articolului 28 alineatul (5), articolului 30 alineatul (3), articolului 31 alineatul (5), articolului 32 alineatul (5), articolului 33 alineatul (6), articolului 34 alineatul (8), articolului 35 alineatul (11), articolului 37 alineatul (2), articolului 39 alineatul (2), articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 79 alineatul (6), articolului 81 alineatul (3), articolului 82 alineatul (3) și articolului 83 alineatul (3), intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu două luni, la inițiativa Parlamentului European sau a Consiliului. |
(5) Un act delegat adoptat în temeiul articolului 8 alineatul (3), articolului 9 alineatul (3), articolului 14 alineatul (7), articolului 15 alineatul (3), articolului 17 alineatul (9), articolului 20 alineatul (6), articolului 22 alineatul (4), articolului 23 alineatul (3), articolului 26 alineatul (5), articolului 28 alineatul (5), articolului 31 alineatul (5), articolului 32 alineatul (5), articolului 33 alineatul (6), articolului 34 alineatul (8), articolului 35 alineatul (11), articolului 37 alineatul (2), articolului 39 alineatul (2), articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 81 alineatul (3), articolului 82 alineatul (3) și articolului 83 alineatul (3) intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu două luni, la inițiativa Parlamentului European sau a Consiliului. |
Amendamentul 196 Propunere de regulament Articolul 86 – alineatul 5 a (nou) | |
|
Textul propus de Comisie |
Amendamentul |
|
|
(5a) La adoptarea actelor menționate la prezentul articol, Comisia promovează neutralitatea tehnologică. |
PROCEDURĂ
|
Titlu |
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) |
||||
|
Referințe |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Comisie competentă în fond Data anunțului în plen |
LIBE 16.2.2012 |
|
|
|
|
|
Aviz emis de către Data anunțului în plen |
JURI 14.6.2012 |
||||
|
Raportor/Raportoare pentru aviz: Data numirii |
Marielle Gallo 14.6.2012 |
||||
|
Examinare în comisie |
10.7.2012 |
6.11.2012 |
21.2.2013 |
|
|
|
Data adoptării |
19.3.2013 |
|
|
|
|
|
Rezultatul votului final |
+: –: 0: |
14 6 4 |
|||
|
Membri titulari prezenți la votul final |
Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Zbigniew Ziobro, Tadeusz Zwiefka |
||||
|
Membri supleanți prezenți la votul final |
Piotr Borys, Eva Lichtenberger, Axel Voss |
||||
|
Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final |
Ricardo Cortés Lastra |
||||
PROCEDURĂ
|
Titlu |
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) |
||||
|
Referințe |
COM(2012)0011 – C7-0025/2012 – 2012/0011(COD) |
||||
|
Data prezentării la PE |
25.1.2012 |
|
|
|
|
|
Comisie competentă în fond Data anunțului în plen |
LIBE 16.2.2012 |
|
|
|
|
|
Comisie(i) sesizată(e) pentru avizare Data anunțului în plen |
ECON 16.2.2012 |
EMPL 24.5.2012 |
ITRE 16.2.2012 |
IMCO 16.2.2012 |
|
|
|
JURI 14.6.2012 |
|
|
|
|
|
Avize care nu au fost emise Data deciziei |
ECON 13.2.2012 |
|
|
|
|
|
Raportor(i) Data numirii |
Jan Philipp Albrecht 12.4.2012 |
|
|
|
|
|
Examinare în comisie |
27.2.2012 |
31.5.2012 |
9.7.2012 |
19.9.2012 |
|
|
|
5.11.2012 |
10.1.2013 |
21.1.2013 |
20.3.2013 |
|
|
|
6.5.2013 |
21.10.2013 |
|
|
|
|
Data adoptării |
21.10.2013 |
|
|
|
|
|
Rezultatul votului final |
+: –: 0: |
48 1 3 |
|||
|
Membri titulari prezenți la votul final |
Jan Philipp Albrecht, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Frank Engel, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra |
||||
|
Membri supleanți prezenți la votul final |
Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria |
||||
|
Membri supleanți [articolul 187 alineatul (2)] prezenți la votul final |
Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski, Pablo Zalba Bidegain |
||||
|
Data depunerii |
22.11.2013 |
||||