Rezoluţia Parlamentului European din 12 martie 2014 referitoare la rolul regional al Pakistanului și relațiile sale politice cu UE (2013/2168(INI))

P7_TA(2014)0208 A7-0117/2014

Parlamentul European,

–  având în vedere articolele 2 și 21 din Tratatul privind Uniunea Europeană și Tratatul privind funcționarea Uniunii Europene (TFUE),

–  având în vedere Planul de angajament pe 5 ani UE-Pakistan, din februarie 2012(1),

–  având în vedere Cadrul strategic și Planul de acțiune al UE privind drepturile omului și democrația (11855/2012), adoptat de Consiliul Afaceri Externe la 25 iunie 2012(2),

–  având în vedere strategia europeană de securitate intitulată „O Europă mai sigură într-o lume mai bună”, adoptată de Consiliul European la 12 decembrie 2003, și raportul privind punerea în aplicare a acesteia, intitulat „Asigurarea securității într-o lume în schimbare”, aprobat de Consiliul European la 11-12 decembrie 2008,

–  având în vedere Regulamentul (UE) nr. 978/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 de aplicare a unui sistem de preferințe tarifare generalizate(3), ce prevede în special, regimul special de încurajare pentru „dezvoltare durabilă și bună guvernare” (GSP +),

–  având în vedere anexa VIII la regulamentul de mai sus care face referire la Convențiile ONU/OIM privind drepturile fundamentale ale omului și drepturile lucrătorilor, precum și cele legate de mediu și de principiile guvernanței, pe care Pakistan le-a ratificat și a convenit să le pună efectiv în aplicare,

–  având în vedere concluziile Consiliului Afaceri Externe referitoare la Pakistan din 11 martie 2013,

–  având în vedere rezoluția sa din 7 februarie 2013 referitoare la recentele atacuri asupra personalului medical auxiliar din Pakistan(4), poziția sa din 13 septembrie 2012 referitoare la propunerea de regulament al Parlamentului European și al Consiliului de introducere a unor preferințe comerciale autonome de urgență pentru Pakistan(5) și rezoluția sa din 15 decembrie 2011 cu privire la situația femeilor în Afganistan și Pakistan(6), precum și vizita delegației din partea Subcomitetului pentru drepturile omului în Pakistan din august 2013,

–  având în vedere raportul Raportorului special al ONU, Ben Emmerson, privind promovarea și protecția drepturilor omului și a libertăților fundamentale în lupta împotriva terorismului din 18 septembrie 2013 și raportul Raportorului special al ONU, Christof Heyns, privind execuțiile extrajudiciare, sumare sau arbitrare din 13 septembrie 2013,

–  având în vedere Rezoluția Adunării Generale a ONU 68/178 din 18 decembrie 2013 privind protecția drepturilor omului și a libertăților fundamentale în lupta împotriva terorismului,

–  având în vedere articolul 48 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru afaceri externe și avizul Comisiei pentru dezvoltare (A7-0117/2014),

A.  întrucât rolul strategic al Pakistanului în regiune, relațiile cu vecinii și relațiile UE-Pakistan au importanță majoră și din ce în ce mai pronunțată pentru interesele UE, datorită poziției geografice centrale într-o regiune instabilă, caracterului esențial al securității și dezvoltării sale în Asia Centrală și de Sud, precum și rolului său esențial în combaterea terorismului, neproliferarea armelor, migrația ilegală, traficul de droguri, traficul de ființe umane și alte amenințări transnaționale, toate aceste aspecte afectând securitatea și bunăstarea cetățenilor europeni;

B.  întrucât alegerile parlamentare din mai 2013 au marcat primul transfer de putere între două guverne civile alese în istoria modernă a Pakistanului; întrucât procesul democratic din Pakistan se bazează pe schimbări mai ample la nivelul societății, inclusiv pe o clasă de mijloc urbană în creștere și o societate civilă din ce în ce mai vibrantă și o mass-media din ce în ce mai independentă;

C.  întrucât progresul politic și economic al țării este obstrucționat de persistente probleme interne și regionale de securitate, cum ar fi extremismul, conflicte între secte, sinucideri și execuții selective, zonele tribale aflate în afara legii, agravate de slăbiciunea instituțiilor de aplicare a legii și sistemul de justiție penală;

D.  întrucât Pakistanul are una dintre cele mai numeroase populații neșcolarizate din lume, cu un număr estimativ de 12 milioane de copii care nu urmează nicio școală, aproximativ două treimi dintre femeile pakistaneze și jumătate dintre bărbații pakistanezi fiind analfabeți; întrucât țara încă se plasează pe locul 134 din 135 de țări analizate în cadrul raportului Forumului Economic Mondial privind disparitățile de gen;

E.  întrucât, potrivit Indicelui global de risc climatic, Pakistan se numără printre cele 12 țări cel mai grav afectate de schimbările climatice în ultimii 20 de ani, fiind victima unor inundații severe și al unei penurii de apă și direct afectat de retragerea ghețarilor din lanțurile muntoase Himalaya și Karakorum;

F.  întrucât Pakistanul este o țară semiindustrializată, cu venituri medii reduse, aproximativ o treime din populația sa trăind sub pragul sărăciei; întrucât, în 2012, Pakistanul s-a clasat pe locul 146 din 187 în clasamentul țărilor în funcție de indicele dezvoltării umane (IDU), după ce în 2011 ocupa poziția 145; întrucât situația economică din Pakistan a fost afectată de dezastre naturale succesive și întrucât gradul ridicat de insecuritate, instabilitatea și corupția larg răspândită din această țară reduc creșterea economică și limitează capacitatea guvernului de a dezvolta statul;

G.  întrucât Pakistanul este vulnerabil în fața a numeroase pericole, îndeosebi inundații și cutremure; întrucât situația instabilă a securității, împreună cu provocările sociale din Pakistan, acționează ca un catalizator, mărindu-i vulnerabilitățile; Întrucât multiplele dezastre au condus la o epuizare a strategiilor de adaptare ale comunităților deja sărăcite și le-au redus considerabil rezistența în fața dezastrelor viitoare;

H.  întrucât contribuția constructivă a Pakistanului este vitală pentru realizarea reconcilierii, a păcii și a stabilității politice în vecinătate și, îndeosebi, în Afganistan, în special în contextul retragerii planificate a trupelor combatante ale NATO în 2014;

I.  întrucât Pakistan este unul dintre cei mai mari destinatari ai asistenței umanitare și pentru dezvoltare a UE și întrucât UE reprezintă cea mai mare piață de export pentru Pakistan;

J.  întrucât Pakistan este un partener tot mai important pentru UE în ceea ce privește combaterea terorismului, proliferarea nucleară, traficul de droguri și ființe umane, criminalitatea organizată, precum și în vederea asigurării stabilității în regiune;

K.  întrucât UE și Pakistan au ales recent să aprofundeze și să extindă relațiile bilaterale, astfel cum se arată în planul de angajament pe cinci ani, lansat în februarie 2012, și în primul dialog strategic UE-Pakistan, desfășurat în iunie 2012;

L.  întrucât obiectivul Planului de angajament UE-Pakistan din 2012, încheiat pe o perioadă de 5 ani, este de a crea o relație strategică și de a încheia un parteneriat pentru pace și dezvoltare bazat pe valori și principii comune;

M.  întrucât, începând cu 1 ianuarie 2014, Pakistan este integrat în sistemul generalizat special de preferințe comerciale (GSP+) al UE;

N.  întrucât, în ​​septembrie 2012, fabrica Ali Enterprises în Karachi, care produce blugi pentru piața europeană, a fost devastată de un incendiu, ducând la moartea a 286 de muncitori blocați; întrucât integrarea Pakistan în sistemul GSP+ ar putea stimula producția în sectorul textil și făcând din ce în ce mai importantă îmbunătățirea drepturilor de muncă și condițiile de producție,

1.  subliniază importanța alegerilor din mai 2013 pentru consolidarea democrației și a conducerii civile în Pakistan; încurajează elitele politice pakistaneze să utilizeze acest impuls pentru a consolida instituțiile democratice, statul de drept, controlul civil în toate domeniile administrației publice, în special forțele de securitate și domeniul judiciar, pentru a promova securitatea internă și regională, pentru a pune în practică reformele în materie de guvernare menite să revigoreze creșterea economică, să consolideze transparența și să încurajeze lupta împotriva criminalității organizate, precum și să atenueze nedreptățile sociale și să combată și să remedieze toate încălcările drepturilor omului;

2.  este de opinie, totuși că construcția unei democrații sustenabile și a unei societăți pluraliste, precum și realizarea unei justiții sociale mai ample, eradicarea sărăciei profunde și a malnutriției în unele părți ale țării, creșterea nivelului de educație de bază, pregătirea țării pentru efectele schimbărilor climatice, toate acestea implică reforme politice și socioeconomice profunde și dificile în Pakistan, o țară caracterizată prin structuri feudale de proprietate asupra terenurilor și de loialități politice, dezechilibre de priorități între cheltuielile militare și cele pentru protecția socială, precum și printr-un sistem nefuncțional de colectare a veniturilor care subminează în mod sistematic capacitatea statului de a furniza bunuri publice;

3.  sprijină și încurajează eforturile guvernului pakistanez să dezvolte mijloace efective de prevenire și monitorizare a posibilității apariției unor dezastre naturale în viitor, precum și pentru o coordonare și cooperare mai eficiente cu actorii locali din domeniul asistenței umanitare, cu ONG-urile internaționale și colectorii de fonduri;

4.  reiterează faptul că cele mai importante elemente pentru abordarea legăturii dintre dezvoltare și securitate în Pakistan sunt buna guvernanță, instituțiile responsabile și favorabile incluziunii, separarea puterilor și respectul pentru drepturile fundamentale; consideră, de asemenea, că guvernele civile alese, care au legitimitate democratică, cedarea puterii la nivelul provinciilor și administrarea locală eficientă sunt cel mai bine poziționate pentru a limita fluxul de violență și extremism, pentru a restaura autoritatea statului în zonele FATA și pentru a asigura suveranitatea și integritatea teritorială a Pakistanului;

5.  sprijină, în acest sens, intenția guvernului pakistanez de a purta un dialog de pace cu Pakistanul Tehreek-e-Taliban (TTP), cu condiția ca acest lucru să deschidă calea pentru o soluție politică și de durată în cazul insurgenței și pentru o ordine democratică stabilă, care să respecte drepturile omului; face apel însă, la negociatori să ia în considerare faptul că nivelul educațional – în special în rândul femeilor – este un element absolut decisiv pentru progresul societăților și să acorde o atenție deosebită școlarizării fetelor în cadrul negocierilor;

6.  apreciază angajamentul continuu al Pakistanului de a lupta împotriva terorismului pe ambele părți ale frontierei sale și încurajează autoritățile să ia măsuri mai ferme vizând limitarea și mai mare a posibilităților de recrutare și instruire a teroriștilor pe teritoriul pakistanez, care constituie un fenomen care transformă anumite zone din Pakistan în zone sigure pentru organizațiile teroriste al căror scop este destabilizarea țării și a regiunii, cel mai important a Afganistanului;

7.  remarcă faptul că liderul pakistanez taliban Hakimullah Mehsud a fost ucis de o dronă operată de SUA la 1 noiembrie 2013 și că parlamentul pakistanez și noul guvern s-au opus în mod oficial unor astfel de intervenții, iar limitele utilizării de atacuri cu drone ar trebui să fie mai clar precizate în legislația internațională;

8.  invită guvernul pakistanez să își îndeplinească obligațiile și responsabilitățile de securitate, angajându-se în continuare în lupta împotriva extremismului, terorismului și radicalizării, cu implementarea unor măsuri de securitate stricte și intransigente și aplicarea legii, precum și prin abordarea inegalităților și a aspectelor socio-economice care pot contribui la radicalizarea tineretului pakistanez;

9.  observă că guvernul pakistanez și-a exprimat în mod clar opoziția față de atacurile cu drone efectuate de SUA pe teritoriul său; salută rezoluția Adunării generale a ONU care solicită o clarificare suplimentară a cadrului juridic aplicabil utilizării dronelor armate;

10.  salută contribuția Pakistanului la procesele de construcție statală și de reconciliere din Afganistan, inclusiv asistența pentru facilitarea reluării negocierilor de pace; speră că Pakistanul va continua să adopte o atitudine pozitivă în perioada premergătoare alegerilor prezidențiale din Afganistan, precum și după aceea; își exprimă îngrijorarea cu privire la competiția geopolitică dintre puterile vecine în ceea ce privește Afganistanul după retragerea trupelor combatante NATO;

11.  își pune speranțele în rolul constructiv al Pakistanului în promovarea stabilității regionale, inclusiv cu privire la prezența NATO și a statelor membre ale UE în Afganistan după 2014, prin promovarea în continuare a angajamentului sub forma unui trilog în Afganistan cu India, Turcia, China, Rusia și Regatul Unit, precum și prin promovarea cooperării regionale în combaterea traficului de persoane, de droguri și de bunuri;

12.  este încurajat de progresele concrete înregistrate recent în dialogul dintre Pakistan și India, în special în ceea ce privește comerțul și contactele directe între oameni, posibile prin atitudinea constructivă a ambelor părți; regretă că realizările în urma dialogului rămân vulnerabile la evenimente neprevăzute, cum ar fi actualele incidentele pe linia de control care separă zonele ocupate în Kașmir de Pakistan și India; solicită ambelor guverne să asigure lanțuri adecvate de comandă, responsabilitatea cadrelor militare, precum și dialogul între militari, pentru a evita incidente similare în viitor;

13.  recunoaște interesul legitim al Pakistanului în construirea relațiilor strategice, economice și energetice cu China; consideră că este important ca relațiile strânse între Pakistan și China să consolideze stabilitatea geopolitică în Asia de Sud, și nu să o submineze;

14.  observă faptul că Pakistan urmărește să devină membru deplin al Organizației pentru Cooperare de la Shanghai (OCS) ca semn favorabil al ambiției țării de a se implica mai mult în inițiativele multilaterale; constată totuși absența vreunui mecanism oficial de cooperare între OCS și UE și subliniază divergențele dintre bazele normative ale acestora și perspectivele lor asupra chestiunilor globale;

15.  este preocupat de relatările conform cărora Pakistanul intenționează să exporte arme nucleare în țările terțe; speră ca UE și statele sale membre, în pofida dezmințirilor oficiale, să transmită un mesaj clar Pakistanului că exportul de arme nucleare este inacceptabil; invită Pakistanul, ca un stat care are arme nucleare, să interzică exporturile tuturor materialelor legate de armele nucleare sau de know-how și să contribuie în mod activ la eforturile internaționale de neproliferare; consideră că semnarea și ratificarea Tratatului de neproliferare (TNP) de către Pakistan - precum India - ar demonstra un angajament puternic pentru coexistența pașnică în regiune și ar contribui enorm la securitatea întregii regiuni;

16.  consideră că lupta împotriva extremismului și a radicalismului este direct legată de un proces democratic mai solid și reafirmă interesul puternic al UE, precum și sprijinul continuu pentru un Pakistan democratic, sigur și bine guvernat, cu un sistem judiciar independent și bazat pe buna guvernanță, care sprijină statul de drept și drepturile omului, se bucură de relații de prietenie cu vecinii și proiectează o influență stabilizatoare în regiune;

17.  reamintește că relațiile UE-Pakistan s-au dezvoltat în mod tradițional în interiorul unui cadru axat pe dezvoltare și comerț; apreciază contribuția semnificativă și durabilă a UE pentru dezvoltare și pentru cooperarea umanitară și salută decizia ca Pakistanul să beneficieze de regimul GSP+ Plus al UE începând cu 2014; invită Pakistanul să respecte pe deplin condițiile relevante anexate și invită Comisia să garanteze că se aplică o monitorizare strictă, după cum este prevăzut în noul Regulament GSP+ și subliniază faptul că această cooperare, în special în ceea ce privește educația, construirea democrației și sectoarele vizând adaptarea la schimbările climatice, ar trebui să continue să primească o atenție deosebită;

18.  este convins că relațiile dintre UE și Pakistan trebuie să devină mai aprofundate și mai ample prin dezvoltarea unui dialog politic, menținând astfel o relație de interes reciproc în rândul unor parteneri egali; salută, în acest context, adoptarea Planului de angajament pe cinci ani și începerea dialogului strategic UE-Pakistan, ceea ce reflectă ponderea crescută a cooperării politice și în domeniul securității, inclusiv cu privire la politicile privind combaterea terorismului, dezarmarea și neproliferarea, precum și migrația, educația și cultura; speră însă că se vor realiza mai multe progrese în toate domeniile planului de angajament;

19.  încurajează atât UE, cât și Pakistanul să coopereze în cadrul procesului de implementare și să monitorizeze periodic a progresele, prin consolidarea pe termen lung a dialogului dintre cele două părți;

20.  consideră că tranziția democratică a Pakistanului a generat o oportunitate pentru UE de a urma o abordare politică mai explicită în relațiile bilaterale și în furnizarea de asistență; consideră că sprijinul UE pentru Pakistan ar trebui să aibă ca prioritate consolidarea instituțiilor democratice la toate nivelurile, consolidarea capacității statului și a bunei guvernări, instituirea unor structuri eficiente de aplicare a legii și de combatere a terorismului civil, inclusiv a unui sistem judiciar independent, precum și autonomizarea societății civile și mijloacele media libere;

21.  salută, în această privință, programele existente cuprinzătoare de sprijin pentru democrație, legate de punerea în aplicare a recomandărilor din 2008 și 2013 ale misiunilor UE de observare a alegerilor;

22.  invită SEAE și Comisia să urmărească o politică nuanțată și multidimensională față de Pakistan care să creeze sinergie între toate instrumentele relevante aflate la dispoziția UE, cum ar fi dialogul politic, cooperarea în domeniul securității, comerțului și asistenței, în conformitate cu abordarea globală a UE privind acțiunea externă și în contextul pregătirilor pentru următorul summit UE-Pakistan;

23.  solicită SEAE, Comisiei și Consiliului să se asigure că politica UE față de Pakistan este contextualizată și integrată într-o strategie mai largă pentru această regiune, consolidând astfel interesele UE în Asia de Sud și Asia Centrală; consideră important ca relațiile bilaterale ale UE cu Pakistan și țările vecine, în special India, China și Iran, să servească, de asemenea, la discutarea și coordonarea politicilor privind situația din Afganistan, pentru a sigura o abordare specifică; subliniază, în acest sens, necesitatea unei mai mari coordonări a politicii UE-SUA și a dialogului pe teme regionale;

24.  consideră că viitorul relațiilor UE-Pakistan ar trebui să fie, de asemenea, luat în considerare în contextul evoluției setului de instrumente instituționale al UE pentru angajamentul cu țările terțe, în special prin formatul oferit de parteneriatele strategice; își reiterează apelul pentru o mai bună definire conceptuală a formatului și pentru adoptarea unor criterii de referință mai clare și mai coerente pentru a putea evalua, printre altele, dacă, și în ce condiții, Pakistanul ar deveni un partener strategic al UE la un moment dat în viitor;

25.  reiterează în final faptul că progresul în relațiile bilaterale este legat de îmbunătățirea situației drepturilor omului în Pakistan, în special în ceea ce privește eradicarea sclaviei moderne, a muncii copiilor și a traficului de ființe umane, reducerea violenței de gen, consolidarea drepturilor femeilor, inclusiv accesul la educație, promovarea toleranței și a protecției creștinilor și a minorităților religioase vulnerabile prin combaterea eficientă a tuturor formelor de discriminare; recunoaște că acest fapt necesită eliminarea culturii impunității și dezvoltarea unui sistem judiciar și juridic fiabil la toate nivelurile, care să fie accesibil tuturor;

26.  rămâne profund îngrijorat de calitatea educației și, în legătură cu aceasta, de situația alarmantă a femeilor din numeroase zone ale Pakistanului; solicită adoptarea unor măsuri concrete și vizibile pentru a pune în aplicare drepturile fundamentale ale femeilor în societate, inclusiv aplicarea legislației împotriva violenței domestice și luarea de măsuri menite să îmbunătățească cercetările și urmărirea penală în cazul crimelor de onoare și a atacurilor cu acid, precum și revizuirea legislației care permite impunitatea; subliniază nevoia de a asigura un acces mai bun la educație și o integrare mai bună a femeilor pe piața muncii, precum și nevoia de a îmbunătăți asistența medicală maternală;

27.  își exprimă din nou profunda îngrijorare cu privire la faptul că legile privind blasfemia, faptă care poate atrage pedeapsa cu moartea în Pakistan, care sunt adesea utilizate pentru a justifica cenzura, inculparea, persecutarea și, în anumite cazuri, uciderea membrilor minorităților politice și religioase, pot avea ca rezultat abuzuri care afectează locuitorii de toate religiile din Pakistan; subliniază că refuzul de a reforma sau a abroga legile privind blasfemia mențin comunitățile minoritare într-o situație de vulnerabilitate permanentă; invită guvernul Pakistanului să instituie un moratoriu privind aplicarea acestor legi, ca un prim pas spre revizuirea sau revocarea lor și, de asemenea, să cerceteze și să urmărească penal în mod corespunzător campaniile de intimidare, amenințările și violența împotriva creștinilor, ahmazilor și a altor grupuri vulnerabile;

28.  solicită îndeosebi autorităților pakistaneze: să îi aresteze și să îi urmărească în justiție pe cei care incită la violență sau care sunt responsabili pentru atacurile violente asupra școlilor sau grupurilor minoritare șiite, inclusiv asupra comunităților Hazara, Ahmadiyya și de creștini, precum și să formeze forțele de securitate să protejeze în mod activ persoanele care se confruntă cu atacuri din partea grupurilor extremiste; să pună în aplicare legi împotriva violenței domestice; să pună capăt disparițiilor forțate, execuțiilor extrajudiciare și detențiilor arbitrare, în special în Balochistan;

29.   condamnă toate atacurile comise împotriva creștinilor și a altor minorități religioase din Pakistan și se așteaptă ca Pakistan să își intensifice eforturile de menținere a libertății religiei și a credințelor, inclusiv prin îmblânzirea legislației stricte împotriva blasfemiei și prin progrese în direcția abolirii pedepsei cu moartea;

30.  salută adoptarea legii menite să prevadă înființarea unei Comisii naționale pentru drepturile omului în 2012 și îndeamnă guvernul să creez comisia pentru ca aceasta să poată începe să funcționeze;

31.  observă că UE este principalul partener de export pentru bunurile pakistaneze (22,6 % în 2012); consideră că sprijinul comercial acordat de UE Pakistanului ar trebui să contribuie la promovarea diversificării și dezvoltării modurilor de producție, inclusiv prelucrarea, să sprijine integrarea regională și transferurile de tehnologie, să favorizeze construirea sau dezvoltarea de capacități de producție interne și să contribuie la reducerea inegalităților în materie de venituri;

32.  reamintește faptul că GSP+ al UE de care beneficiază Pakistanul începând cu 2014 este acordat numai țărilor care au convenit în mod obligatoriu să pună în aplicare drepturile internaționale ale omului, drepturile lucrătorilor și convențiile privind mediul și buna guvernanță; subliniază în special obligațiile Pakistanului asumate în temeiul convențiilor din anexa VIII și reamintește Comisiei obligația sa de a monitoriza punerea eficientă în aplicare a acestora; reamintește în plus faptul că, în cazul în care o țară „nu respectă obligațiile asumate”, GSP+ Plus se suspendă temporar;

33.  invită autoritățile pakistaneze să adopte măsuri concrete în direcția punerii în aplicare a celor 36 de convenții ale Organizației Internaționale a Muncii ratificate de Pakistan, în special pentru a permite funcționarea sindicatelor, pentru a îmbunătăți condițiile de muncă și standardele de siguranță, pentru a eradica munca copiilor și pentru a combate cele mai grave forme de exploatare a celor trei milioane de lucrătoare domestice;

34.  solicită guvernului pakistanez să participe la programul „Muncă mai bună” („Better Work”) derulat de OIM/SFI, potrivit promisiunilor făcute, pentru a stimula îmbunătățirea standardelor de sănătate și siguranță pentru lucrători; solicită celor care sunt direct sau indirect responsabili de incendiul de la fabrica de confecții Ali Enterprises, inclusiv societății de audit al responsabilității sociale implicate și distribuitorilor europeni să plătească în final supraviețuitorilor incendiului compensații integrale, pe termen lung și echitabile;

35.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Guvernului și Adunării Naționale a Pakistanului, Consiliului, Comisiei, Vicepreședintelui Comisiei/Înalt Reprezentant al Uniunii pentru afaceri externe și politica de securitate, Reprezentantului Special al UE pentru drepturile omului și guvernelor statelor membre.

(1) http://eeas.europa.eu/pakistan/docs/2012_feb_eu_pakistan_5_year_engagement_plan_en.pdf (2) http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/EN/foraff/131181.pdf (3) JO L 303, 31.10.2012, p. 1. (4) Texte adoptate, P7_TA(2013)0060. (5) JO C 353 E, 3.12.2013, p. 323. (6) JO C 168 E, 14.6.2013, p. 119.

Rezoluţia Parlamentului European din 12 martie 2014 referitoare la un scut antirachetă pentru Europa și la implicațiile sale politice și strategice (2013/2170(INI))

P7_TA(2014)0209 A7-0109/2014

Parlamentul European,

–  având în vedere articolul 42 alineatul (7) din Tratatul privind Uniunea Europeană (TUE) și articolul 222 din Tratatul privind funcționarea Uniunii Europene (TFUE),

–  având în vedere articolul 24 și articolul 42 alineatul (2) din TUE, articolele 122 și 196 din TFUE și Declarația nr. 37 privind articolul 222 din TFUE,

–  având în vedere Strategia europeană de securitate adoptată de Consiliul European la 12 decembrie 2003, precum și raportul privind punerea sa în aplicare aprobat de Consiliul European din 11 și 12 decembrie 2008,

–  având în vedere Strategia de securitate internă a Uniunii Europene adoptată de Consiliul European din 25 și 26 martie 2010,

–  având în vedere Concluziile Consiliului European din 19 decembrie 2013 privind politica comună de securitate și apărare,

–  având în vedere Conceptul strategic privind apărarea și securitatea membrilor Organizației Tratatului Atlanticului de Nord, adoptat la Summitul NATO de la Lisabona din 19 și 20 noiembrie 2010,

–  având în vedere Declarația Summitului de la Chicago prezentată de șefii de stat și de guvern care au luat parte la reuniunea Consiliului Atlanticului de Nord de la Chicago din 20 mai 2012,

–  având în vedere articolul 48 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru afaceri externe (A7-0109/2014),

A.  întrucât problema apărării împotriva rachetelor balistice (BMD) a fost deja ridicată în trecut, dar a devenit mai de actualitate în ultimii ani din cauza înmulțirii amenințărilor în urma proliferării armelor nucleare și a altor arme de distrugere în masă și a proliferării rachetelor balistice căreia NATO și aliații săi europeni trebuie să îi poată răspunde în mod eficace;

B.  întrucât apărarea împotriva atacurilor cu rachete balistice și de alt tip poate constitui o evoluție pozitivă a securității europene în contextul unei dinamici rapide observate la nivelul securității internaționale, mai mulți actori statali și nestatali dezvoltând tehnologii aferente rachetelor și diverse capabilități de apărare chimică, biologică, radiologică și nucleară (CBRN) care au potențialul de a atinge teritoriul european;

C.  întrucât NATO elaborează un sistem de apărare împotriva rachetelor balistice pentru a-și îndeplini sarcina de bază de apărare colectivă, vizând să asigure acoperire și protecție deplină pentru toate populațiile, teritoriile și forțele europene membre ale NATO împotriva amenințărilor tot mai intense prezentate de proliferarea rachetelor balistice;

D.  întrucât contribuția principală a SUA la apărarea împotriva rachetelor balistice o reprezintă confirmarea angajamentului său față de NATO și față de securitatea Europei și a aliaților acesteia și întrucât trebuie subliniată importanța legăturii transatlantice, în România fiind plasate deja instalații, urmând să fie plasate în viitorul apropiat instalații și în Polonia;

E.  întrucât politica de securitate și apărare comună se va dezvolta în deplină complementaritate cu NATO, în cadrul de parteneriat strategic convenit între UE și NATO și confirmat de Consiliul European la 19 decembrie 2013,

1.  susține că, odată cu dezvoltarea și implementarea tehnologiilor de apărare împotriva rachetelor balistice, o nouă dinamică ia naștere în aria securității europene, ceea ce obligă statele membre să țină seama de implicațiile pentru securitatea lor a apărării împotriva rachetelor balistice;

2.  reamintește că măsurile de apărare împotriva rachetelor balistice adoptate de NATO sunt elaborate și întocmite astfel încât să apere statele membre ale organizației de eventuale atacuri cu rachete balistice; solicită Vicepreședintelui/Înaltului Reprezentant să urmărească un parteneriat strategic cu NATO, ținând seama de problema apărării împotriva rachetelor balistice, ceea ce ar trebui să aibă ca rezultat acoperirea integrală și protecția tuturor statelor membre ale UE, evitându-se astfel situația în care acestora li s-ar conferi grade diferite de securitate, sub orice aspect;

3.  salută realizarea capacității intermediare a NATO de protecție împotriva rachetelor balistice, care va asigura acoperire maximă în limita mijloacelor disponibile pentru apărarea împotriva atacurilor cu rachete balistice a populațiilor, teritoriilor și a forțelor din statele membre ale NATO situate în partea de sud a Europei; salută, de asemenea, obiectivul de a asigura până la sfârșitul deceniului acoperire și protecție depline pentru statele membre ale NATO din Europa;

4.  subliniază faptul că inițiativele UE, precum punerea în comun și partajarea, pot contribui la consolidarea cooperării statelor membre în sfera apărării împotriva rachetelor balistice, precum și la desfășurarea de lucrări comune de cercetare și dezvoltare; observă că, pe termen lung, această cooperare ar putea duce la o consolidare și mai puternică a industriei europene de apărare;

5.  solicită Serviciului European de Acțiune Externă, Comisiei, Agenției Europene de Apărare și Consiliului să includă aspecte legate de apărarea împotriva rachetelor balistice în viitoarele strategii, studii și cărți albe din domeniul securității;

6.  subliniază faptul că, din cauza crizei financiare și a reducerilor bugetare, nu sunt folosite destule resurse pentru a menține capabilități de apărare suficiente, ceea ce conduce la reducerea capabilităților și a capacității industriale militare ale UE;

7.  subliniază că planul NATO de apărare împotriva rachetelor balistice nu este în niciun caz îndreptat împotriva Rusiei și că NATO este dispusă să coopereze cu Rusia pe baza principiului cooperării între două sisteme independente de apărare împotriva rachetelor ‑ sistemul BMD al NATO și sistemul Rusiei; subliniază faptul că, deși o colaborare efectivă cu Rusia poate aduce beneficii reale, aceasta trebuie urmărită pe baza unei reciprocități și a unei transparențe depline, întrucât întărirea încrederii reciproce este esențială pentru dezvoltarea treptată a acestei colaborări; observă în acest sens că deplasarea rachetelor rusești mai aproape de frontierele NATO și ale UE este o măsură contraproductivă;

8.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Președintelui Consiliului European, vicepreședintelui Comisiei/Înaltului Reprezentant al Uniunii pentru afaceri externe si politica de securitate, Consiliului, Comisiei, parlamentelor statelor membre, Adunării Parlamentare a NATO și Secretarului General al NATO.

Rezoluţia Parlamentului European din 12 martie 2014 referitoare la situația actuală și perspectivele de viitor ale sectorului european al pescuitului în contextul Acordului de liber schimb între UE și Thailanda (2013/2179(INI))

P7_TA(2014)0210 A7-0130/2014

Parlamentul European,

–  având în vedere articolul 3 alineatul (5) din Tratatul privind Uniunea Europeană referitor la relațiile UE cu restul comunității internaționale,

–  având în vedere Regulamentul (CE) nr. 1005/2008 al Consiliului din 29 septembrie 2008 de instituire a unui sistem comunitar pentru prevenirea, descurajarea și eliminarea pescuitului ilegal, nedeclarat și nereglementat(1) (Regulamentul privind pescuitul INN),

–  având în vedere comunicarea Comisiei din 25 octombrie 2011, intitulată „O nouă strategie a UE (2011-2014) pentru responsabilitatea socială a întreprinderilor” (COM(2011)0681),

–  având în vedere întrebările cu solicitare de răspuns scris E-000618/2013 din 22 ianuarie 2013 privind abuzurile în lanțurile comerciale de aprovizionare cu amănuntul și E-002894/2013 din 13 martie 2013 privind Acordul de liber schimb cu Thailanda și munca copiilor în industria conservelor, precum și răspunsurile Comisiei la acestea,

–  având în vedere Rezoluția sa din 22 noiembrie 2012 referitoare la dimensiunea externă a politicii comune în domeniul pescuitului(2),

–  având în vedere articolul 48 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru pescuit și avizul Comisiei pentru comerț internațional (A7-0130/2014),

A.  întrucât sectorul european al pescuitului se redresează după o perioadă de criză care a afectat sectoarele extractive, al prelucrării și al acvaculturii, situație care a fragilizat în mod dramatic poziția sa competitivă, în special într-un moment în care piața mondială se liberalizează, iar unele state în curs de dezvoltare care dispun de resurse marine semnificative devin treptat noi puteri în domeniul pescuitului;

B.  întrucât industria europeană a pescuitului și industria de prelucrare sunt esențiale pentru aprovizionarea cu alimente a cetățenilor europeni și pentru sprijinirea vieții în zonele de coastă care depind foarte mult de aceste activități; întrucât supraviețuirea sectorului va fi periclitată în cazul în care UE liberalizează comerțul cu produse de pescuit cu țările în curs de dezvoltare care doresc să-și exporte produsele pe piața esențială a Uniunii, îndeosebi dacă li se vor oferi tarife vamale zero;

C.  întrucât UE este cel mai important importator la nivel mondial de produse de pescuit; întrucât, ca urmare a dependenței de importuri, piața comunitară este foarte atractivă pentru exportatori, cu atât mai mult cu cât cererea de produse de pescuit în UE crește anual cu 1,5 %;

D.  întrucât Thailanda este principala țară producătoare de conserve de ton din lume, deținând aproximativ 46 % din producția mondială, și exporturile sale de conserve de ton în UE depășesc 90 000 de tone pe an și reprezintă aproape 20 % din totalul importurilor Uniunii din țări terțe, UE, SUA și Japonia fiind principalele piețe de destinație ale exporturilor de produse de pescuit thailandeze;

E.  întrucât Thailanda este principalul importator mondial de ton proaspăt, refrigerat și congelat destinat industriei conservelor din această țară;

F.  întrucât 80 % din ton se consumă la conservă și, potrivit celor mai recente date disponibile în baza de date FISHSTAT a Organizației pentru Alimentație și Agricultură (FAO), 21 % din producția mondială de conserve și preparate din ton este produsă în UE, în timp ce restul de 79 % este fabricată în țări terțe, dintre care majoritatea sunt în curs de dezvoltare;

G.  ținând cont de importanța comercială, economică și strategică a Thailandei pentru UE și beneficiile considerabile ale Acordului de liber schimb (ALS) dintre UE și Thailanda pentru economia UE în ansamblu;

H.  întrucât UE sprijină integrarea regională în cadrul ASEAN (Asociația Națiunilor din Asia de Sud-Est); întrucât Acordul de liber schimb cu Thailanda constituie un pilon esențial în cadrul acestui proces de integrare, obiectivul final fiind încheierea în viitor a unui acord de liber schimb interregional;

I.  întrucât încheierea unui acord de liber schimb UE-ASEAN a fost un obiectiv prioritar pentru UE încă din 2007, în speranța de a include Indonezia, Malaysia, Filipine, Singapore, Thailanda, Brunei și Vietnam; întrucât, lipsa progreselor în negocierile acordului regional în cauză, a dus la demararea negocierilor bilaterale cu țări membre ale ASEAN, printre care se numără și Thailanda, existând un angajament politic privind încheierea ALS în termen de doi ani;

J.  întrucât, considerând Thailanda, Indonezia și Filipine ca făcând parte din regiunea Pacificului Central și de Vest, producția de conserve de ton din regiune reprezintă aproape jumătate din producția mondială;

K.  întrucât modificările în ceea ce privește producătorii de conserve de ton și producția de file de ton sunt strâns legate de tendința la nivel mondial de a asigura aprovizionarea către țări prelucrătoare cu costuri de producție reduse situate în apropierea materiei prime (de exemplu, Thailanda, Filipine, Indonezia, Papua Noua Guinee și Ecuador) și întrucât numărul de țări implicate în producția și exportarea conservelor de ton este în creștere;

L.  întrucât Thailanda și Filipine sunt principalele țări exportatoare de preparate și conserve de ton din UE, iar importurile din Thailanda au crescut cu 20 %, iar cele din Filipine au scăzut cu 5 %;

M.  întrucât orice reducere a taxelor vamale pentru conservele și preparatele din ton ar putea avea un impact asupra preferințelor de care se bucură grupul statelor din Africa, zona Caraibilor și Pacific (ACP) și beneficiarii sistemului generalizat de preferințe (SGP+), în temeiul cărora țările terțe beneficiare se angajează, în schimbul obținerii de preferințe în ceea ce privește tarifele vamale, să ducă la bun sfârșit anumite politici, cum ar fi cele legate de drepturile omului, dreptul muncii, politici în domeniul mediului și politici ce vizează buna guvernanță;

N.  întrucât reducerea taxelor vamale ar duce la denaturarea pieței europene, având în vedere faptul că cea mai mare parte a industriei conservelor de ton din UE se situează în regiuni care depind într-o foarte mare măsură de activitățile de pescuit, cum ar fi Galicia, Bretania Franceză, Insulele Azore (o regiune ultraperiferică, Țara Bascilor și Sardinia; întrucât industria tonului din UE este al doilea producător de conserve de ton la nivel mondial, iar tradiționala sa activitate este esențială în ceea ce privește crearea de valoare adăugată și crearea de locuri de muncă pe teritoriul UE, unde sunt garantate cele mai înalte standarde sociale și de mediu, precum și de protecție a igienei și sănătății;

O.  întrucât regulile de origine preferențiale au ca principal obiectiv stabilirea existenței unei legături economice suficiente între produsele importate în UE și țările care beneficiază de regimul preferențial acordat de aceasta din urmă, pentru a garanta că aceste facilități nu sunt îndreptate în mod injust în beneficiul unor țări cărora nu le sunt destinate;

P.  întrucât o dezbatere privind comerțul cu produse piscicole are ca obiect comerțul cu o resursă naturală a cărei sustenabilitate este influențată de o serie de factori diferiți, inclusiv buna gestiune și exploatarea sustenabilă a resurselor halieutice, controlul pescuitului ilegal, poluarea, schimbările climatice și cererea de pe piață; întrucât toți acești factori externi afectează comerțul internațional cu produse de pescuit, prin urmare, produsele de pescuit trebuie considerate produse sensibile, care pot face obiectul unei protecții speciale;

Q.  întrucât aprovizionarea permanentă cu materii prime suficiente este esențială pentru ca întreprinderile de prelucrare a tonului din UE să continue să existe și să se dezvolte din punct de vedere economic;

R.  întrucât, potrivit Organizației Mondiale a Comerțului (OMC), comerțul liber este un instrument de dezvoltare care are drept obiectiv dezvoltarea durabilă la nivel social și economic și la nivelul mediului;

S.  întrucât, în acest sens, normele comerciale sunt un instrument de bază, esențial atât pentru asigurarea caracterului avantajos al comerțului, cât și pentru realizarea obiectivelor în materie de protecție a sănătății și a mediului, asigurând o gestionare adecvată a resurselor naturale;

T.  întrucât globalizarea a dus la creșterea semnificativă a cantității de produse de pescuit comercializate la nivel internațional, ceea ce a generat preocupări la nivel larg cu privire la posibilitatea ca multe dintre țările producătoare să nu dispună de mijloace suficiente pentru a gestiona și/sau exploata stocurile de pește în mod durabil, a asigura un nivel adecvat de protecție a igienei și a sănătății, a atenua impactul activităților de pescuit și al acvaculturii asupra mediului și a garanta respectarea drepturilor omului în general, precum și a promova, în special, drepturile în materie de muncă și condițiile sociale;

U.  întrucât s-a dovedit că unii dintre partenerii comerciali ai UE au deficiențe în ceea ce privește dezvoltarea durabilă a pescuitului la nivel social, economic și la nivelul mediului;

V.  întrucât gestionarea sustenabilă a stocurilor de ton este garantată de cinci organizații regionale de gestionare a pescuitului (ORGP) de ton; întrucât colaborarea internațională între state și între state și ORGP este esențială pentru asigurarea sustenabilității stocurilor de ton;

W.  întrucât, recent, atât OIM, cât și diferite ONG-uri au scos la iveală deficiențe grave în ceea ce privește condițiile sociale și de muncă și respectarea drepturilor omului în cadrul industriei thailandeze a pescuitului; întrucât, potrivit mass mediei, anumite sectoare ale industriei pescuitului din Thailanda utilizează munca forțată a imigranților, victime ale traficului de persoane, în timp ce două companii multinaționale din Thailanda producătoare de conserve de ton folosesc munca copiilor, lucruri confirmate de Guvernul Thailandei;

X.  întrucât, potrivit FAO, de multe ori navele de pescuit thailandeze au fost confiscate de statele de coastă vecine, iar căpitanii au fost acuzați că au desfășurat activități de pescuit ilegale sau au pătruns ilegal în zona lor economică exclusivă;

Y.  întrucât, în 2013, autoritățile spaniole au refuzat debarcarea și comercializarea produselor din ton ce provin de la tonierele ce arborează pavilion ghanez, ca urmare a implicării acestora în activități de pescuit ilegal, nedeclarat și nereglementat (INN) și a nerespectării măsurilor de gestionare prevăzute de Comisia Internațională pentru Conservarea Tonului din Oceanul Atlantic și întrucât cea mai mare parte a acestor nave de pescuit ton colaborau cu întreprinderi private din Thailanda;

Z.  întrucât, în ultimele luni, în UE au fost refuzate numeroase loturi de conserve de ton importate din Thailanda, ca urmare a tratării la temperaturi neadecvate, ceea ce este esențial pentru neutralizarea unor microorganisme care, în alte condiții, presupun riscuri pentru sănătatea umană,

1.  solicită ca produsele pescărești cum ar fi conservele de ton importate din Thailanda, care prezintă riscul de a perturba producția din UE și piața pentru astfel de produse, să fie considerate produse sensibile; în plus, consideră că orice decizie privind lărgirea accesului la piața UE a conservelor de ton și a tonului prelucrat din Thailanda ar trebui luată numai în urma unor evaluări riguroase ale impactului și în strânsă colaborare cu industria pentru a analiza și evalua impactul pe care lărgirea accesului îl pot avea asupra industriei de prelucrare și comercializare a produselor piscicole în UE;

2.  solicită menținerea tarifelor vamale actuale în ceea ce privește accesul la piața UE al conservelor și preparatelor din pește și fructe de mare din Thailanda și, prin urmare, excluderea produselor în cauză de la reducerea tarifelor; dacă se are în vedere reducerea taxelor vamale, recomandă stabilirea de perioade de tranziție lungi și angajamente de liberalizare parțială, inclusiv impunerea de cote pentru preparatele și conservele de pește și fructe de mare, cu scopul de a proteja competitivitatea industriei europene a tonului și a menține activitatea semnificativă desfășurată de sector și dimensiunea sa socială (25 000 de locuri de muncă directe și 54 000 indirecte) pe teritoriul UE;

3.  solicită ca, după caz, înainte de aplicarea oricăror concesiuni la nivelul tarifelor sau a oricărei alte norme, să fie realizate evaluări riguroase ale impactului pentru a analiza și evalua consecințele acestora asupra industriei de prelucrare și comercializare a produselor de pescuit în UE;

4.  solicită asigurarea fără excepție a respectării depline a regulilor de origine ferme, coerente și stricte în cazul produselor sensibile și limitarea riguroasă a cumulării la produsele pentru care Thailanda este în primul rând o țară de prelucrare și nu o țară de pescuit;

5.  solicită ca importurile de conserve de ton și de alte produse pescărești din Thailanda să fie supuse, în măsura posibilului, acelorași condiții de concurență ca produsele pescărești din UE; consideră că aceasta înseamnă, în special, că ALS trebuie să cuprindă un capitol ambițios privind comerțul și dezvoltarea durabilă, prin care Thailanda să se angajeze să respecte, să promoveze și să aplice standarde de muncă recunoscute la nivel internațional, consacrate în convențiile fundamentale ale OIM, inclusiv cele privind munca forțată și munca copiilor; de asemenea, consideră ar trebui garantate în mod strict respectarea drepturilor omului, protecția mediului, conservarea și exploatarea sustenabilă a resurselor naturale, combaterea pescuitului ilegal, nedeclarat și nereglementat și respectarea normelor sanitare și fitosanitare ale UE; în acest sens, consideră că Comisia ar trebui să informeze în mod regulat Parlamentul cu privire la respectarea de către Thailanda a obligațiilor menționate anterior;

6.  invită Comisia să se asigure că Regulamentul INN este aplicat efectiv și că negocierile pentru acordul de liber schimb vor avea drept rezultat menționarea explicită a Regulamentului INN în textul acordului;

7.  consideră că modul optim de a asigura cooperarea deplină a Thailandei în combaterea pescuitului ilegal, nedeclarat și nereglementat este de a include în textul ALS o referire explicită la Regulamentul INN;

8.  solicită includerea în ALS a obligației de a respecta convențiile Organizației Internaționale a Muncii, precum și sporirea transparenței, controlului, supravegherii și trasabilității în sectorul pescuitului din Thailanda, astfel încât să fie posibilă supravegherea activităților de pescuit;

9.  solicită insistent să se asigure trasabilitatea produselor, acesta reprezentând nu numai un element esențial al protecției sănătății umane și a mediului înconjurător, ci și un factor fundamental și un instrument de bază pentru controlul pescuitului ilegal;

10.  solicită ca ALS să continue să fie consecvent cu celelalte politici comunitare, și totodată să promoveze strategii de responsabilitate socială a întreprinderilor; solicită stabilirea unor clauze de salvgardare;

11.  subliniază faptul că decizia Parlamentului de a aproba ALS va ține seama de rezultatul general al negocierilor, inclusiv în ceea ce privește sectorul pescuitului;

12.  solicită reciprocitate în ceea ce privește accesul la piețe și eliminarea tuturor cazurilor de discriminare în domeniul serviciilor;

13.  speră ca Thailanda, în calitatea sa de cel mai mare exportator major de conserve de ton la nivel mondial, să colaboreze cu cele trei organizații regionale de gestionare a pescuitului (ORGP) de ton din regiune și să participe la lucrările acestora, și anume: Comisia interamericană pentru tonul tropical, Comisia pentru pescuitul în Oceanul Pacific de Vest și Central și Organizația regională pentru gestionarea pescuitului în sudul Pacificului și cu ORGP de ton în Oceanul Indian, din care face parte;

14.  sprijină elaborarea unei politici de conservare și gestionare sustenabilă a resurselor de pescuit;

15.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Consiliului și Comisiei.

(1) JO L 286, 29.10.2008, p. 1. (2) Texte adoptate, P7_TA(2012)0461.

Rezoluţia Parlamentului European din 12 martie 2014 referitoare la patrimoniul gastronomic european: aspecte culturale și educative (2013/2181(INI))

P7_TA(2014)0211 A7-0127/2014

Parlamentul European,

–  având în vedere raportul Comisiei sale pentru mediu, sănătate publică şi siguranţă alimentarăprivind propunerea de regulament al Parlamentului European și al Consiliului privind informarea consumatorilor referitoare la produsele alimentare (COM(2008)0040),

–  având în vedere raportul din 2002 privind nutriția al Organizației Națiunilor Unite pentru Educație, Știință și Cultură (UNESCO),

–  având în vedere raportul Organizației Mondiale a Sănătății (OMS) intitulat „Politica în materie de alimentație și nutriție în școli”,

–  având în vedere Cartea albă a Comisiei din 30 mai 2007 intitulată „Strategie pentru Europa privind problemele de sănătate legate de alimentație, excesul de greutate și obezitate” (COM(2007)0279),

–  având în vedere concluziile Conferinței ministeriale europene a OMS privind nutriția și bolile netransmisibile în contextul politicii Sănătatea 2020, care a avut loc în Viena la 4-5 iulie 2013,

–  având în vedere Convenția UNESCO din 17 octombrie 2003 pentru salvgardarea patrimoniului cultural imaterial,

–  având în vedere înscrierea regimului alimentar mediteraneean pe lista reprezentativă UNESCO a patrimoniului cultural imaterial al umanității, din 16 noiembrie 2010 și din 4 decembrie 2013,

–  având în vedere înscrierea bucătăriei gastronomice franțuzești pe lista reprezentativă UNESCO a patrimoniului cultural imaterial al umanității (decizia 5.COM 6.14),

–  având în vedere articolul 48 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru cultură și educație (A7-0127/2014),

Aspecte educative

A.  întrucât starea de sănătate și bunăstarea populației, atât cele prezente, cât și cele viitoare, sunt strâns condiționate de tipul de alimentație și de mediul înconjurător și, prin urmare, de metodele practicate în agricultură, pescuit și creșterea animalelor;

B.  întrucât OMS, în cadrul inițiativei sale mondiale privind sănătatea în școli, consideră că instituțiile de învățământ reprezintă un spațiu important pentru achiziționarea de cunoștințe teoretice și practice cu privire la sănătate, nutriție, alimentație și gastronomie;

C.  întrucât alimentația necorespunzătoare poate avea consecințe dramatice; întrucât, cu ocazia Conferinței ministeriale europene a OMS din iulie 2013, miniștrii europeni ai sănătății au făcut apel la o mobilizare largă „pentru a lupta împotriva obezității și a alimentației necorespunzătoare ”, cauzele unei epidemii de boli netransmisibile precum afecțiunile cardiovasculare, diabetul și cancerul;

D.  întrucât stereotipurile predominante în societate legate de imaginea corpului și hrană pot determina tulburări majore de alimentație și de ordin psihologic precum anorexia și bulimia; întrucât, de acum înainte, este important să se abordeze aceste probleme, în special în rândul adolescenților;

E.  întrucât, conform Consiliului european de informare alimentară, în 2006 circa 33 de milioane de persoane din Europa erau supuse unor riscuri de malnutriție ; întrucât situația s-a agravat de la începutul crizei;

F.  întrucât copilăria reprezintă o perioadă determinantă pentru inculcarea comportamentelor sănătoase și a cunoștințelor pentru a adopta un stil de viață sănătos și întrucât școala reprezintă unul dintre locurile în care se pot întreprinde acțiuni eficace pentru a modela pe termen lung comportamentele sănătoase pentru noile generații;

G.  întrucât centrele școlare dispun de spații și de instrumente care pot promova cunoașterea și folosirea alimentelor, precum și crearea de comportamente alimentare care, alături de realizarea unei activități fizice moderate și regulate, constituie un stil de viață sănătos;

H.  întrucât informarea, educația și sensibilizarea fac parte din strategia Uniunii Europene de sprijinire a statelor membre în reducerea efectelor nocive asociate consumului de alcool (COM(2006)0625) și întrucât această strategie identifică modelele de consum adecvate; întrucât, la 5 iunie 2001, Consiliul a emis o recomandare privind consumul de alcool de către tineri și, în special, de către copii și adolescenți, în care este menționată promovarea educației prin intermediul unei abordări multisectoriale;

I.  întrucât, la reuniunea rețelei europene a fundațiilor care se ocupă de nutriție (European Nutrition Foundations Network, ENF), reuniune cu tema „Alimentația în școlile din Europa: rolul fundațiilor”, s-a constatat că este necesar să se introducă alimentația în programa școlară, atât în ceea ce privește nutriția, cât și gastronomia, și s-a hotărât, în unanimitate, ca această problemă să fie adusă în atenția unor organisme ca Parlamentul European și Comisia;

J.  întrucât diferite țări au promovat, prin intermediul a diverse instituții interne, recunoașterea regimului alimentar mediteraneean ca făcând parte din patrimoniul cultural imaterial al umanității UNESCO, ceea ce înseamnă promovarea și stabilirea unor modele de comportament care să garanteze un stil de viață sănătos, dintr-o perspectivă globală, ținând seama de aspectele educative, alimentare, școlare, familiale, nutriționale, teritoriale, peisagistice etc.;

K.  întrucât regimul alimentar mediteraneean este un model alimentar și un stil de viață echilibrat și sănătos, care are legătură directă cu prevenirea bolilor cronice și cu promovarea sănătății, atât la nivelul școlii, cât și al familiei;

L.  întrucât programele europene „Alimentație în școli” încearcă să se asigure că mâncarea servită în cantinele școlare conține toate elementele necesare pentru o alimentație de calitate și echilibrată; întrucât educația, în sensul cel mai amplu al cuvântului, incluzând domeniul alimentar, servește la consolidarea, în rândul școlarilor, a conceptului de stil de viață sănătos, bazat pe un regim alimentar echilibrat;

M.  întrucât o educație nutrițională serioasă informează cetățenii despre aspecte precum corelația dintre alimente, durabilitatea alimentară și starea de sănătate a planetei;

N.  întrucât creșterea prețurilor la cantinele școlare și la alimente în general împiedică un număr mare de familii, în special pe copii, să aibă acces la o hrană echilibrată și de calitate;

O.  întrucât mass-media și publicitatea influențează tiparele de consum ale cetățenilor;

P.  întrucât, dacă oamenii își doresc să aibă șansa de a cunoaște în detaliu produsele utilizate și calitățile lor intrinseci și gustative, este primordială dezvoltarea unor sisteme de etichetare adecvată și clară pentru orice consumator cu privire la compoziția produselor și la proveniența lor;

Q.  întrucât formarea lucrătorilor din sectorul gastronomiei contribuie la transmiterea, valorificarea, durabilitatea și dezvoltarea gastronomiei europene;

Aspecte culturale

R.  întrucât gastronomia reprezintă totalul cunoștințelor, experiențelor, artelor și meseriilor care permit oamenilor să mănânce în mod sănătos și plăcut;

S.  întrucât gastronomia face parte din identitatea noastră și este un element esențial al patrimoniului cultural european și o parte esențială a patrimoniului cultural al statelor membre;

T.  întrucât UE a promovat identificarea, apărarea și protecția internațională a indicațiilor geografice, a denumirilor de origine și a specialităților tradiționale ale produselor agroalimentare;

U.  întrucât gastronomia nu este numai o artă de elită bazată pe prepararea atentă a hranei, ci și un mod de a recunoaște valoarea materiilor prime pe care le folosește, calitatea lor și necesitatea excelenței în toate etapele de prelucrare a alimentelor, concept care include respectul pentru animale și pentru natură;

V.  întrucât gastronomia este strâns legată de agricultura practicată în diverse regiuni europene și de produsele locale;

W.  întrucât este important să se păstreze ritualurile și obiceiurile care au legătură cu gastronomia locală și regională, de exemplu, și să se încurajeze dezvoltarea gastronomiei europene;

X.  întrucât gastronomia este una dintre manifestările culturale cele mai importante ale ființei umane și întrucât prin acest termen nu trebuie să se înțeleagă numai așa-numita „haute cuisine” (bucătăria de lux), ci și toate expresiile culinare ale diverselor regiuni și pături sociale, inclusiv cele care au legătură cu bucătăria autohtonă;

Y.  întrucât supraviețuirea bucătăriei tipice care face parte din patrimoniul nostru culinar și cultural este pusă deseori în pericol de invazia alimentelor standardizate;

Z.  întrucât calitatea, reputația și diversitatea gastronomiei europene necesită o producție alimentară europeană de calitate și în cantitate suficientă;

AA.  întrucât gastronomia se identifică cu diferitele aspecte ale alimentației și întrucât cei trei piloni fundamentali ai săi sunt sănătatea, obiceiurile alimentare și plăcerea; întrucât artele culinare reprezintă, în numeroase țări, un vector de convivialitate și un monument important de sociabilitate; întrucât experimentarea diverselor culturi gastronomice este o formă de schimb cultural; întrucât gastronomia are, de asemenea, un impact pozitiv asupra relațiilor sociale și de familie;

AB.  întrucât recunoașterea de către UNESCO a regimului alimentar mediteraneean ca parte din patrimoniul cultural imaterial este importantă deoarece se consideră că acest regim reprezintă un ansamblu de cunoștințe, competențe, practici, ritualuri, tradiții și simboluri asociate cu culturi și recolte agricole, cu pescuitul și creșterea animalelor și, de asemenea, cu forma de conservare, prelucrare, preparare, distribuție și consum de alimente;

AC.  întrucât obiceiurile alimentare ale popoarelor europene sunt o moștenire socioculturală bogată pe care avem obligația de a o transmite din generație în generație; întrucât școlile, împreună cu familiile, sunt locul potrivit pentru dobândirea acestor cunoștințe;

AD.  întrucât gastronomia devine una dintre principalele reclame în materie de turism și întrucât interacțiunea dintre turism, gastronomie și nutriție are un efect foarte benefic asupra promovării turismului;

AE.  întrucât este important să se transmită generațiilor viitoare bogățiile gastronomiei din regiunea lor și, în general, ale gastronomiei europene;

AF.  întrucât gastronomia contribuie la promovarea patrimoniului regional;

AG.  întrucât este esențial să se promoveze produsele locale și regionale în vederea conservării patrimoniului nostru gastronomic, pe de o parte, și a garantării unei remunerări echitabile a producătorilor și a accesibilității cât mai mari a acestor produse, pe de altă parte;

AH.  întrucât gastronomia este o sursă de bogății culturale, dar și economice pentru regiunile UE;

AI.  întrucât patrimoniul european este constituit dintr-o serie de elemente materiale și imateriale și, în cazul gastronomiei și al alimentației, acesta este constituit și din teritoriul și peisajul de unde provin produsele pentru consum;

AJ.  întrucât perenitatea, diversitatea și bogăția culturală a gastronomiei europene se bazează pe o producție locală de calitate,

Aspecte educative

1.  solicită statelor membre să includă în educația copiilor încă de la vârste fragede studiul și experiența senzorială a hranei și cunoștințe despre nutriția și obiceiurile alimentare sănătoase, incluzând aspecte istorice, geografice, culturale și empirice, ca mijloc de a contribui la îmbunătățirea stării de sănătate și a bunăstării populației; salută programele de educație gastronomică desfășurate în școli de anumite state membre, unele realizate în colaborare cu bucătari de renume; subliniază importanța de a combina educația în vederea unei alimentații sănătoase cu combaterea stereotipurilor care pot genera tulburări de alimentație și psihologice majore, precum anorexia și bulimia;

2.  subliniază, de asemenea, importanța de a pune în aplicare recomandările OMS privind lupta împotriva obezității și a alimentației necorespunzătoare; își exprimă îngrijorarea cu privire la problema malnutriției în Europa și a intensificării acesteia încă de la începutul crizei și insistă ca statele membre să permită tuturor o alimentație sănătoasă, în special asigurând cantine școlare sau municipale de calitate și accesibile tuturor;

3.  în plus, semnalează că este necesar ca programa școlară să fie îmbogățită cu informații despre cultura gastronomică, în special cea locală, procesul de preparare, producție, conservare și distribuire a alimentelor, influențele lor socioculturale și drepturile consumatorului; sugerează statelor membre să includă în programele lor pedagogice ateliere bazate pe dezvoltarea simțurilor, în special a gustului, care să combine informații privind beneficiile nutriționale ale alimentelor și privind patrimoniul gastronomic regional și național;

4.  reamintește faptul că, în unele țări, nutriția este introdusă deja ca materie în programa școlară, în timp ce în alte state membre nu este materie obligatorie ca atare, ci se predă prin mijloace diferite, cum ar fi programele autorităților locale sau ale entităților private;

5.  reamintește că este necesar ca în școli să se asigure educația referitoare la nutriție și la o alimentație corectă, sănătoasă și plăcută;

6.  subliniază că practicarea sportului și a activității fizice ar trebui promovată în școlile primare și gimnaziale din întreaga UE;

7.  reamintește faptul că o alimentație corectă a copiilor le crește bunăstarea și le îmbunătățește capacitatea de învățare, le întărește sistemul imunitar și promovează o dezvoltare armonioasă;

8.  subliniază faptul că obiceiurile alimentare dobândite în copilărie pot influența preferințele alimentare și alegerea alimentelor, precum și metodele de preparare și de consum al acestora la vârsta adultă; prin urmare, copilăria este un moment-cheie pentru educarea gustului, iar școala are un rol important în a-i face pe elevi să descopere diversitatea produselor și a gastronomiei;

9.  reamintește că se recomandă elaborarea de programe de educație și sensibilizare cu privire la consecințele consumului inadecvat de băuturi alcoolice și de promovare a modelelor corecte de consum inteligent prin cunoașterea caracteristicilor speciale ale vinurilor, a indicațiilor geografice, a varietăților de struguri, a proceselor de producție și a semnificației mențiunilor tradiționale;

10.  solicită Comisiei să încurajeze proiecte de schimb de informații și de practici în domeniul nutriției, alimentației și gastronomiei, de exemplu în cadrul liniei Comenius (educația școlară) a programului Erasmus+ ; în plus, solicită UE și statelor membre să promoveze schimburile interculturale dintre sectoarele legate de alimentația publică, alimentație și gastronomie, profitând de oportunitățile oferite de programul Erasmus+ în materie de formare de calitate, mobilitate și stagii pentru studenți și profesioniști;

11.  remarcă faptul că pentru educația în materie de nutriție și de gastronomie, inclusiv în ceea ce privește respectul pentru natură și mediu, trebuie să se conteze pe participarea familiei, a profesorilor, a comunității educaționale, a canalelor de informare și a tuturor profesioniștilor implicați în educație;

12.  subliniază utilitatea tehnologiilor informației și comunicației (TIC) pentru învățare, drept un instrument pedagogic util; încurajează crearea unor platforme interactive care să vizeze facilitarea accesului la patrimoniul gastronomic european, național și regional și a răspândirii acestuia, pentru a promova conservarea și transmiterea cunoștințelor specifice tradiționale între profesioniști, artizani și cetățeni;

13.  solicită Comisiei, Consiliului și statelor membre să aibă în vedere un control mai strict al informațiilor și publicității despre produse alimentare, în special din perspectiva nutriției;

14.  reamintește statelor membre să asigure interzicerea în școli a oricărei publicități sau sponsorizări pentru produsele de tip junk food;

15.  solicită statelor membre să asigure o formare adecvată a profesorilor, în colaborare cu nutriționiști și cu medici, pentru ca aceștia să poată preda corect în școli și universități științele alimentației; reamintește că nutriția și mediul sunt codependente și solicită, prin urmare, de asemenea, actualizarea cunoștințelor despre mediul natural;

16.  invită Comisia și Consiliul să studieze sistemele de formare a profesioniștilor în domeniul gastronomiei; încurajează statele membre să promoveze aceste formări; subliniază că este important ca aceste acțiuni de formare să trateze gastronomia locală și europeană, diversitatea produselor, procesele de preparare, producere, conservare și distribuție a produselor alimentare;

17.  insistă că este important ca acțiunile de formare a profesioniștilor în domeniul gastronomiei să pună accentul pe produsele „făcute în casă”, precum și pe o producție locală și variată;

18.  cere statelor membre să facă schimb de cunoștințe și de bune practici în materie de activități legate de gastronomie prin intermediul educației și să facă posibilă cunoașterea gastronomică în diferite regiuni; solicită, de asemenea, să se organizeze schimburi de bune practici sau să se acorde atenție scurtării lanțul alimentar, insistând asupra producției locale și de sezon;

19.  atrage atenția asupra necesității de a promova o alimentație sănătoasă în școli, folosind programele de finanțare din cadrul politicii agricole comune pentru perioada 2014-2020;

20.  reamintește că recunoașterea regimului alimentar mediteraneean și a bucătăriei gastronomice franțuzești ca parte din patrimoniul cultural imaterial al umanității de către UNESCO a determinat înființarea de instituții și organisme care promovează cunoașterea, practicarea și educarea în spiritul valorilor și al obiceiurilor unui regim alimentar echilibrat și sănătos;

Aspecte culturale

21.  subliniază necesitatea de a răspândi informații privind varietatea și calitatea regiunilor, ale peisajelor și ale produselor care stau la baza gastronomiei europene, care face parte din patrimoniul nostru cultural și care constituie, de asemenea, un stil de viață unic, recunoscut la nivel internațional; subliniază că aceasta necesită uneori respectarea obiceiurilor locale;

22.  subliniază faptul că gastronomia este un instrument care poate fi utilizat la dezvoltarea creșterii economice și a locurilor de muncă într-o gamă largă de sectoare economice, atât în industrie, cât și în alimentația publică, turism, sectorul agroalimentar și cercetare; ia act de faptul că gastronomia poate dezvolta, de asemenea, simțul protejării naturii și a mediului, care garantează că alimentele au un gust mai autentic și că sunt mai puțin procesate cu aditivi sau conservanți;

23.  subliniază importanța gastronomiei în promovarea sectorului hotelier pe teritoriul Europei și viceversa;

24.  recunoaște rolul pe care îl joacă bucătarii calificați și talentați în păstrarea și exportarea patrimoniului nostru gastronomic și importanța menținerii expertizei noastre culinare ca factor-cheie cu valoare adăugată atât din punct de vedere educațional, cât și economic;

25.  salută inițiativele destinate promovării patrimoniului gastronomic european, cum sunt târgurile și festivalurile gastronomice locale și regionale care consolidează conceptul de proximitate ca element de respectare a mediului înconjurător și care reprezintă o garanție pentru o mai mare încredere a consumatorului; încurajează aceste inițiative să includă o dimensiune europeană;

26.  salută cele trei sisteme ale UE de indicații geografice și specialități tradiționale, cunoscute ca denumire de origine protejată (DOP), indicație geografică protejată (IGP) și specialitate tradițională garantată (STG), care sporesc valoarea produselor agricole europene la nivelul UE și la nivel internațional; invită statele membre și regiunile să elaboreze etichete DOP comune, în special etichete DOP comune pentru produse de același tip provenite din zone geografice transfrontaliere;

27.  salută inițiative precum „Slow Food”, care permit tuturor persoanelor să învețe să aprecieze importanța socială și culturală a hranei, precum și inițiativa „Wine in moderation” care promovează un stil de viață și un consum moderat de băuturi alcoolice;

28.  subliniază, de asemenea, rolul pe care îl au academiile de gastronomie, Federația Europeană a Asociațiilor de Nutriție și Academia Internațională de Gastronomie, cu sediul în Paris, în studierea și răspândirea patrimoniului gastronomic;

29.  cere statelor membre să elaboreze și să pună în aplicare politici destinate îmbunătățirii calitative și cantitative a industriei gastronomice în sine și în relația sa cu oferta turistică, în cadrul dezvoltării culturale și economice a regiunilor;

30.  subliniază că gastronomia este un bun cultural puternic de export pentru UE și statele membre;

31.  solicită statelor membre să sprijine inițiativele care au legătură cu agroturismul, care încurajează cunoașterea patrimoniului cultural și peisagistic și care oferă sprijin și promovează dezvoltarea rurală;

32.  solicită statelor membre și Comisiei să dezvolte aspectele culturale ale gastronomiei și să promoveze obiceiurile alimentare menite să păstreze sănătatea consumatorilor, să continue schimbul și împărtășirea valorilor culturale și a valorilor regionale, păstrând totodată plăcerea mâncatului, a convivialității și a sociabilității;

33.  cere statelor membre să colaboreze între ele și să sprijine inițiativele destinate păstrării calității ridicate, diversității, eterogeneității și caracterului unic al produselor artizanale, locale, regionale și naționale pentru a lupta împotriva omogeneizării care, pe termen lung, va conduce la sărăcirea patrimoniului gastronomic european;

34.  încurajează Comisia, Consiliul și statele membre să includă în dezbaterile lor privind politicile alimentare importanța de a sprijini o producție alimentară europeană durabilă, variată, de înaltă calitate și în cantitate suficientă în vederea sprijinirii diversității culinare europene;

35.  solicită Comisiei și statelor membre să consolideze măsurile privind recunoașterea și etichetarea produselor alimentare europene pentru a permite o valorificare a produselor respective, o mai bună informare a consumatorilor și o protecție a diversității gastronomiei europene;

36.  semnalează că este important să se recunoască și să se valorifice produsele gastronomice de calitate; invită Comisia, Consiliul și statele membre să aibă în vedere introducerea unei informări a consumatorilor de către specialiștii în alimentația publică cu privire la mâncărurile pregătite pe loc pe bază de produse brute;

37.  încurajează Comisia, Consiliul și statele membre să studieze impactul actelor legislative pe care le adoptă asupra capacității, diversității și calității produselor alimentare din UE și să ia măsuri pentru a combate contrafacerea produselor;

38.  sprijină inițiativele statelor membre și ale regiunilor acestora de a promova și a păstra teritoriul, peisajul și seria de produse care alcătuiesc patrimoniul gastronomic local; invită regiunile să promoveze o gastronomie locală și dietetică în cantinele școlare și colective în asociere cu producătorii locali, pentru a păstra și a spori patrimoniul gastronomic regional, pentru a stimula agricultura locală și pentru a consolida circuitele scurte;

39.  solicită statelor membre să ia măsuri pentru păstrarea patrimoniului european asociat cu gastronomia, cum ar fi protejarea patrimoniului arhitectonic al piețelor tradiționale de produse alimentare, al cramelor sau al altor construcții și, de asemenea, al ustensilelor și al mașinilor asociate cu alimentația și gastronomia;

40.  insistă asupra importanței de a identifica, a înregistra, a transmite și a răspândi bogăția culturală a gastronomiei europene; încurajează instituirea unui observator gastronomic european;

41.  sugerează Comisiei să includă gastronomia europeană în programele și inițiativele sale culturale;

42.  salută înscrierea pe lista UNESCO reprezentativă a patrimoniului cultural imaterial al umanității a bucătăriei gastronomice franțuzești, împreună cu regimul alimentar mediteraneean, turta dulce croată și bucătăria tradițională mexicană și încurajează statele membre să solicite introducerea tradițiilor și practicilor lor gastronomice în Convenția UNESCO pentru salvgardarea patrimoniului cultural imaterial, pentru a contribui la păstrarea acestora;

43.  sugerează orașelor europene să își depună candidatura pentru titlul de oraș gastronomic al UNESCO în cadrul rețelei orașelor creative;

o
o   o

44.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Consiliului și Comisiei, precum și guvernelor și parlamentelor statelor membre.

Rezoluţia legislativă a Parlamentului European din 12 martie 2014 referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))	P7_TA(2014)0212 A7-0402/2013
RECTIFICĂRI COR01

(Procedura legislativă ordinară: prima lectură)

Parlamentul European,

–  având în vedere propunerea Comisiei prezentată Parlamentului și Consiliului (COM(2012)0011),

–  având în vedere articolul 294 alineatul (2), articolul 16 alineatul (2) și articolul 114 alineatul (1) din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7-0025/2012),

–  având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

–  având în vedere avizele motivate prezentate de către Camera Reprezentanților din Belgia, Bundesratul Germaniei, Senatul Franței, Camera deputaților din Italia și Parlamentul Suediei în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,

–  având în vedere avizul Comitetului Economic și Social European din 23 mai 2012(1),

–  după consultarea Comitetului Regiunilor,

–  având în vedere avizul Autorității Europene pentru Protecția Datelor din 7 martie 2012(2),

–  având în vedere avizul Agenției pentru Drepturi Fundamentale a Uniunii Europene din 1 octombrie 2012,

–  având în vedere articolul 55 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru libertăți civile, justiție și afaceri interne și avizele Comisiei pentru ocuparea forței de muncă și afaceri sociale, Comisiei pentru industrie, cercetare și energie, Comisiei pentru piața internă și protecția consumatorilor și Comisiei pentru afaceri juridice (A7-0402/2013),

1.  adoptă poziția în primă lectură prezentată în continuare;

2.  solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;

3.  încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.

Poziția Parlamentului European adoptată în primă lectură la 12 martie 2014 în vederea adoptării Regulamentului (UE) nr. …/2014 al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 alineatul (2) și articolul 114 alineatul (1),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European(3),

după consultarea Comitetului Regiunilor,

având în vedere avizulAutorității Europene pentru Protecția Datelor(4),

hotărând în conformitate cu procedura legislativă ordinară(5),

întrucât:

(1)  Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (Carta) și articolul 16 alineatul (1) din tratat prevăd că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

(2)  Prelucrarea datelor cu caracter personal este în serviciul cetățeanului; principiile și normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal. Aceasta ar trebui să contribuie la realizarea unui spațiu de libertate, securitate și justiție și a unei uniuni economice, la progresul economic și social, la consolidarea și convergența economiilor în cadrul pieței interne și la bunăstarea persoanelor fizice.

(3)  Directiva 95/46/CE a Parlamentului European și a Consiliului(6) vizează armonizarea nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește activitățile de prelucrare și garantarea liberei circulații a datelor cu caracter personal între statele membre.

(4)  Integrarea economică și socială care rezultă din funcționarea pieței interne a condus la o creștere substanțială a fluxurilor transfrontaliere. Schimbul de date între actorii economici și sociali, publici și privați s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autoritățile naționale sunt chemate să coopereze și să facă schimb de date cu caracter personal pentru a putea să își îndeplinească atribuțiile sau să execute sarcini în numele unei autorități într-un alt stat membru.

(5)  Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea schimbului și a colectării de date a crescut spectaculos. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor. Din ce în ce mai multe persoane fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și necesită facilitarea în continuare a liberei circulații a datelor în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal.

(6)  Aceste evoluții impun construirea unui cadru solid și mai coerent în materie de protecție a datelor în Uniune, însoțit de o aplicare riguroasă a normelor, luând în considerare importanța creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piața internă. Persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru persoane fizice, operatori economici și autorități publice ar trebui să fie consolidată.

(7)  Obiectivele și principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, incertitudinea juridică și percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice care au legătură, în special, cu activitatea online. Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal permisă în statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. Această diferență între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește transpunerea și aplicarea Directivei 95/46/CE.

(8)  Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune.

(9)  Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și detalierea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru autorii infracțiunilor în statele membre.

(10)  Articolul 16 alineatul (2) din tratat mandatează Parlamentul European și Consiliul să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum și normele privind libera circulație a acestor date.

(11)  În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderile și întreprinderile mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi garantate din punct de vedere juridic, de obligații și de responsabilități pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea efectivă a autorităților de supraveghere ale diferitelor state membre. Pentru a se lua în considerare situația specifică a microîntreprinderilor și a întreprinderilor mici și mijlocii, prezentul regulament include mai multe derogări. În plus, instituțiile și organismele Uniunii, statele membre și autoritățile lor de supraveghere sunt încurajate să ia în considerare necesitățile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii în aplicarea prezentului regulament. Noțiunea de microîntreprinderi și de întreprinderi mici și mijlocii ar trebui să se bazeze pe Recomandarea 2003/361/CE a Comisiei(7) .

(12)  Protecția conferită de prezentul regulament vizează persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal. Referitor la prelucrarea datelor care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și detaliile de contact ale persoanei juridice, protecția conferită de prezentul regulament nu ar trebui să poată fi invocată de nicio persoană. Aceasta ar trebui să se aplice, de asemenea, în cazul în care numele persoanei juridice conține numele uneia sau mai multor persoane fizice.

(13)  Protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnicile utilizate, în caz contrar, creându-se un risc serios de eludare. Protecția persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automate, precum și prelucrării manuale, în cazul în care datele sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice, nu ar trebui să intre în domeniul de aplicare a prezentului regulament.

(14)  Prezentul regulament nu se referă nici la chestiuni de protecție a drepturilor și libertăților fundamentale, nici la libera circulație a datelor referitoare la activități care nu intră în domeniul de aplicare a dreptului Uniunii, nici la prelucrarea datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii, care fac obiectul Regulamentului (CE) nr. 45/2001, și nici la prelucrarea datelor cu caracter personal de către statele membre atunci când desfășoară activități legate de politica externă și de securitate comună a Uniunii. Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului(8) ar trebui adaptat la prezentul regulament și aplicat în conformitate cu prezentul regulament. [AM 1]

(15)  Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale, familiale sau casnice, cum ar fi corespondența și repertoriul de adrese fără niciun scop lucrativ și, prin urmare, sau vânzarea directă și fără nicio legătură cu o activitate profesională sau comercială. Exceptarea ar trebui, de asemenea, Cu toate acestea, prezentul regulament ar trebui să nu se aplice operatorilor și persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice. [AM 2]

(16)  Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și libera circulație a acestor date fac obiectul unui instrument juridic specific la nivelul Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele prelucrate de către autoritățile publice în temeiul prezentului regulament, în cazul în care sunt utilizate în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor ar trebui să fie reglementate de un instrument juridic mai specific la nivelul Uniunii (Directiva 2014/.../UE a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date).

(17)  Prezentul regulament nu ar trebui să aducă atingere aplicării Directivei 2000/31/CE a Parlamentului European și a Consiliului(9), în special normelor privind răspunderea furnizorilor intermediari de servicii prevăzute la articolele 12 - 15 din directiva menționată.

(18)  Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale, în aplicarea dispozițiilor prevăzute de acesta. Datele cu caracter personal din documentele deținute de către o autoritate publică sau un organism public pot fi divulgate de respectiva autoritate sau de respectivul organism în conformitate cu dreptul Uniunii sau legislația statelor membre privind accesul public la documentele oficiale, care conciliază dreptul la protecția datelor cu caracter personal cu dreptul publicului de acces la documentele oficiale și servește în mod echitabil diversele interese în joc. [AM 3]

(19)  Orice prelucrare în Uniune a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Stabilirea implică exercitarea efectivă și reală a unei activități în cadrul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință.

(20)  Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care își au reședința în din Uniune de către un operator care nu este stabilit în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii, indiferent dacă sunt sau nu cu plată, unor astfel de persoane vizate sau cu monitorizarea comportamentului acestor persoane vizate. Pentru a determina dacă un astfel de operator oferă bunuri sau servicii unor astfel de persoane vizate în Uniune, ar trebui să se stabilească dacă reiese că operatorul intenționează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. [AM 4]

(21)  Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare” a comportamentului persoanelor vizate, ar trebui să se analizeze dacă persoanele fizice sunt urmărite pe internet cu, indiferent de sursa datelor, sau dacă alte date referitoare la aceste persoane sunt colectate, inclusiv din registre și anunțuri publice din Uniune care sunt accesibile din afara Uniunii, inclusiv cu intenția de a utiliza sau în vederea unei eventuale utilizări ulterioare a unor tehnici de prelucrare a datelor care constau în aplicarea unui „profil” unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia. [AM 5]

(22)  În cazul în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.

(23)  Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană în scopul identificării sau scoaterii în evidență a persoanei fizice respective, în mod direct sau indirect. Pentru a determina ce mijloace este posibil, în mod rezonabil, să fie utilizate pentru identificarea persoanei, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor nu ar trebui astfel să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă anonime, care reprezintă informații care nu se referă la o persoană fizică identificată sau identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de date anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau pentru cercetare. [AM 6]

(24)  Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu Prezentul regulament ar trebui să se aplice operațiunile de prelucrare care implică identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie sau etichetele de identificare prin frecvențe radio, cu excepția cazului în care acești identificatori nu se referă la o persoană fizică identificată sau identificabilă. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele. [AM 7]

(25)  Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia care este rezultatul alegerii făcute de aceasta, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin. Actul neechivoc ar putea include bifarea unei căsuțe atunci când persoana vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, simpla utilizare a unui serviciu sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. [AM 8]

(26)  Datele cu caracter personal referitoare la sănătate ar trebui să includă, în special, toate datele având legătură cu starea de sănătate a persoanei vizate; informații privind înscrierea persoanei fizice pentru acordarea de servicii medicale; informații privind plățile pentru asistență medicală efectuate de persoana fizică sau privind eligibilitatea acesteia pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri medicale; orice informații privind persoana fizică respectivă colectate în cadrul furnizării de servicii de sănătate pentru aceasta; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv eșantioane de material biologic; identificarea unei persoane ca furnizor de asistență medicală pentru persoana fizică respectivă sau orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate, indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

(27)  Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de către operator ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune.

(28)  Un grup de întreprinderi ar trebui cuprindă o întreprindere care exercită controlul și întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui să fie întreprinderea care poate exercita o influență dominantă asupra celorlalte întreprinderi, de exemplu, în temeiul proprietății, al participării financiare sau al regulilor care o reglementează sau al competenței de a pune în aplicare normele în materie de protecție a datelor cu caracter personal.

(29)  Copii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului. Atunci când prelucrarea datelor se bazează pe exprimarea consimțământului de către persoana vizată cu privire la oferirea de bunuri sau servicii în mod direct unui minor, consimțământul ar trebui să fie acordat de părintele sau tutorele acestuia în cazul minorilor cu vârsta sub 13 ani. Atunci când publicul vizat este constituit din copii, ar trebui utilizat un limbaj adecvat vârstei. Alte motive pentru legalitatea prelucrării, precum motive de interes public ar trebui să rămână aplicabile, ca, de exemplu, prelucrarea în contextul serviciilor de prevenire sau consiliere oferite direct copiilor. [AM 9]

(30)  Orice prelucrare a datelor cu caracter personal ar trebui să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor. Datele ar trebui să fie adecvate, relevante și limitate la minimum necesar scopurilor în care datele sunt prelucrate; aceasta necesită, în special, asigurarea faptului că datele colectate nu sunt excesive și că perioada pentru care datele sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică.

(31)  Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei în cauză sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament. În cazul unui minor sau al unei persoane lipsite de capacitate juridică, legislația aplicabilă a Uniunii sau a statutului membru ar trebui să determine condițiile în care consimțământul este exprimat sau autorizat de persoana respectivă. [AM 10]

(32)  În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În vederea respectării principiului de reducere la minimum a datelor, sarcina probei nu ar trebui să presupună identificarea pozitivă a persoanelor vizate, decât dacă acest lucru este necesar. La fel ca dispozițiile de drept civil (Directiva 93/13/CEE)(10), politicile privind protecția datelor ar trebui să fie cât mai clare și mai transparente posibil. Acestea nu ar trebui să conțină clauze ascunse sau dezavantajoase. Nu poate fi acordat consimțământul pentru prelucrarea datelor cu caracter personal ale unor terțe persoane. [AM 11]

(33)  Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată. Aceasta se aplică, în special, în cazul în care operatorul este o autoritate publică care poate impune o obligație în virtutea competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber. Utilizarea unor opțiuni automate pe care persoana vizată trebuie să le modifice pentru a se opune prelucrării datelor, cum ar fi căsuțele pre-marcate, nu exprimă liberul consimțământ. Consimțământul pentru prelucrarea unor date cu caracter personal suplimentare, care nu sunt necesare pentru furnizarea unui serviciu, nu ar trebui solicitate pentru utilizarea serviciului respectiv. Atunci când consimțământul este retras se poate permite terminarea sau neexecutarea unui serviciu care depinde de datele respective. Atunci când atingerea scopului urmărit este neclară, operatorul ar trebui să ofere periodic persoanei vizate informații cu privire la prelucrare și cererea de reafirmare a consimțământului. [AM 12]

(34)  Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. [AM 13]

(35)  Prelucrarea ar trebui să fie legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract.

(36)  În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice, prelucrarea ar trebui să aibă un temei juridic în dreptul Uniunii sau în legislația unui stat membru care îndeplinește cerințele prevăzute de Carta, pentru orice limitare a drepturilor și libertăților. Acest lucru ar trebui să se aplice, de asemenea, acordurilor colective care pot fi recunoscute în temeiul legislației naționale ca având validitate generală. De asemenea, este de competența dreptului Uniunii sau a legislației naționale să determine dacă operatorul care îndeplinește o sarcină de interes public sau în exercitarea autorității publice ar trebui să fie o administrație publică sau altă persoană fizică sau juridică de drept public sau privat, cum ar fi o asociație profesională. [AM 14]

(37)  Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate.

(38)  Interesele legitime ale operatorului sau, în cazul divulgării, ale părții terțe ale cărei date sunt divulgate, pot constitui un temei juridic pentru prelucrare, cu condiția să răspundă așteptărilor rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul și să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Ar trebui considerat că prelucrarea de date pseudonime îndeplinește așteptările rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Interesele sau drepturile și libertățile fundamentale ale persoanei vizate pot prevala în special în raport cu interesul operatorului de date atunci când datele sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare suplimentară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. [AM 15]

(39)  Prelucrarea datelor în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme sau accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz de urgență informatică (CERT), echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică (CSIRT), furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice. Acest principiu se aplică de asemenea prelucrării de date cu caracter personal în vederea restricționării accesului abuziv la rețele sau sisteme informatice disponibile în mod public, sau a utilizării abuzive a acestora, cum ar fi introducerea pe o listă neagră a unor identificatori electronici. [AM 16]

(39a)  Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prevenirea sau limitarea daunelor pentru operatorul de date ar trebui considerate ca fiind realizate în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același principiu se aplică, de asemenea, obținerii drepturilor în instanță în legătură cu o persoană vizată, precum recuperarea unei datorii sau obținerea unor despăgubiri sau reparații. [AM 17]

(39b)  Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prelucrare datelor cu caracter personal în scopuri de marketing direct pentru propriile produse și servicii sau pentru produse și servicii similare sau în scopuri marketing direct prin poștă ar trebui considerată ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul, dacă informațiile cu privire la dreptul de a se opune sunt în mod evident vizibile și este oferită sursa datelor cu caracter personal. Prelucrarea datelor de contact comerciale ar trebui considerată în general ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același lucru se aplică și prelucrării de date făcute în mod evident publice de persoana vizată. [AM 18]

(40)  Prelucrarea datelor cu caracter personal în alte scopuri ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile în care datele au fost inițial colectate, în special în cazul în care prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică. În cazul în care celălalt scop nu este compatibil cu scopul inițial în care datele sunt colectate, operatorul ar trebuie să obțină consimțământul persoanei vizate cu privire la acest alt scop sau ar trebui să întemeieze prelucrarea legală pe un alt motiv legitim, în special în cazul în care acest fapt este prevăzut de dreptul Uniunii sau de legislația statului membru care se aplică operatorului. În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri ar trebui să fie garantată. [AM 19]

(41)  Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, necesită o protecție specifică. Astfel de date nu ar trebui să fie prelucrate, cu excepția cazului în care persoana vizată își dă consimțământul explicit. Cu toate acestea, derogări de la interdicția respectivă ar trebui prevăzute în mod explicit în ceea ce privește nevoile specifice, în special atunci când prelucrarea este efectuată în cadrul activităților legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale. [AM 20]

(42)  Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate sau, în scopuri de cercetare istorică, statistică și științifică, sau pentru servicii de arhivare. [AM 21]

(43)  În plus, prelucrarea datelor cu caracter personal de către autoritățile publice în vederea realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public, ale asociațiilor religioase recunoscute oficial se efectuează din motive de interes public.

(44)  În cazul în care, în cadrul activităților electorale, funcționarea sistemului democratic necesită, într-un stat membru, ca partidele politice să colecteze date privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisă din motive de interes public, cu condiția să se prevadă garanțiile corespunzătoare.

(45)  Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. Dacă persoana vizată poate furniza aceste date, operatorii nu ar trebui să fie în măsură să invoce lipsa informațiilor pentru a refuza o cerere de acces. [AM 22]

(46)  Principiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate ar trebui să fie ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acesta este important în special în cazul în care, în situații cum ar fi publicitatea online, multitudinea actorilor și complexitatea, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizată să știe și să se înțeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine și în ce scop. Întrucât copiii necesită o protecție specifică, orice informații și orice comunicare, în cazul în care prelucrarea vizează în mod specific un minor, ar trebui să fie exprimate într-un limbaj simplu și clar, astfel încât acesta să îl poată înțelege cu ușurință.

(47)  Ar trebui prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturile sale stipulate de prezentul regulament, inclusiv mecanismele de a solicita obține, în mod gratuit, în special, accesul la date, rectificarea și ștergerea acestora, precum și exercitarea dreptului la opoziție. Operatorul ar trebui să fie aibă obligația de a răspunde cererilor persoanelor vizate într-un termen fix rezonabil și, în cazul în care nu se conformează cererii persoanei vizate, să motiveze acest refuz. [AM 23]

(48)  Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata probabilă a stocării datelor în fiecare scop, dacă datele urmează să fie transferate unor părți terțe sau unor țări terțe, existența măsurilor pentru a se opune și a dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. Aceste informații ar trebui furnizate, ceea ce poate să însemne de asemenea că vor fi rapid disponibile, persoanei vizate după oferirea unor informații simplificate sub forma unor pictograme standardizate. Acest lucru ar trebui să însemne, de asemenea, că datele cu caracter personal sunt prelucrate într-un mod care permite efectiv persoanei vizate să își exerseze drepturile. [AM 24]

(49)  Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării sau, în cazul în care datele nu sunt colectate de la persoana vizată, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele sunt divulgate pentru prima dată destinatarului.

(50)  Cu toate acestea, nu este necesară impunerea obligației respective în cazul în care persoana vizată dispune cunoaște deja de aceste informații sau în cazul în care înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedește imposibilă sau implică eforturi disproporționate. Acesta din urmă ar putea fi cazul în special atunci când prelucrarea se efectuează în scopuri de cercetare istorică, statistică sau științifică; în această privință, pot fi luate în considerare numărul persoanelor vizate, vechimea datelor și măsurile compensatorii adoptate. [AM 25]

(51)  Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele cu caracter personal, pentru aproximativ ce perioadă, identitatea destinatarilor datelor cu caracter personal, care este logica generală de prelucrare a datelor cu caracter personal și care ar putea fi consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale, precum în legătură cu drepturile de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. [AM 26]

(52)  Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei persoane vizate care solicită acces la date, în special în contextul serviciilor online și al identificatorilor online. Un operator nu ar trebui să rețină datele cu caracter personal în scopul exclusiv de a fi în măsură să reacționeze la cereri potențiale.

(53)  Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul de a fi uitată la ștergere”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. De asemenea, dreptul la ștergere nu ar trebui să se aplice atunci când păstrarea datelor cu caracter personal este necesară pentru executarea unui contract încheiat cu persoana vizată sau atunci când există o obligație legală de a păstra aceste date. [AM 27]

(54)  Pentru a se consolida „dreptul de a fi uitat ștergere” în mediul on-line, dreptul de ștergere ar trebui, de asemenea, să fie extins astfel încât un operator care a făcut publice date cu caracter personal fără a avea un temei juridic ar trebui să aibă obligația de a informa terții care prelucrează astfel de date că o persoană vizată le solicită să șteargă orice linkuri către datele cu caracter personal respective sau copii sau reproduceri ale acestora. În scopul asigurării acestor informații, operatorul ar trebui să ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil. În legătură cu publicarea datelor cu caracter personal de către un terț, operatorul ar trebui să fie considerat responsabil de publicare, în cazul în care acesta a autorizat publicarea de către terț necesare pentru ștergerea datelor, inclusive de către terți, fără a aduce însă atingere dreptului persoanei vizate de a solicita despăgubiri. [AM 28]

(54a)  Datele contestate de persoana vizată și a căror exactitate sau lipsă de exactitate nu poate fi determinată ar trebui să fie blocate până la clarificarea chestiunii. [AM 29]

(55)  Pentru a se consolida în continuare controlul asupra propriilor date și dreptul lor de acces, persoanele vizate ar trebui să aibă dreptul, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice într-un format structurat și utilizat în mod curent, de a obține, de asemenea, o copie a datelor care le privesc într-un format electronic utilizat în mod curent. Persoana vizată ar trebui, de asemenea, să fie autorizată să transmită datele respective, pe care le-a furnizat, dintr-o aplicație automată, cum ar fi o rețea socială, către alta. Operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor. Aceasta ar trebui să se aplice în cazul în care persoana vizată a furnizat datele sistemului de prelucrare automată, pe baza consimțământului său sau în cadrul executării unui contract. Furnizorii de servicii ale societății informaționale nu ar trebui să condiționeze furnizarea serviciilor lor de transferul acestor date. [AM 30]

(56)  În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal în scopul asigurării protecției intereselor vitale ale persoanei vizate sau din motive de interes public, de exercitare a autorității publice sau de urmărire a intereselor legitime ale unui operator, orice persoană vizată ar trebui, cu toate acestea, să aibă dreptul de a se opune prelucrării oricăror date care o privesc, gratuit și într-un mod care să poată fi invocate cu ușurință și în mod efectiv. Sarcina probei ar trebui să revină operatorului pentru a demonstra că interesele sale legitime pot prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. [AM 31]

(57)  În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă gratuit are dreptul la opoziție cu privire la o astfel de prelucrare, care să poată fi invocat cu ușurință și în mod efectiv operatorul ar trebui să îl propună persoanei vizate într-un mod și sub o formă inteligibile, folosind un limbaj clar și simplu și care trebui să se distingă clar acest drept de alte informații. [AM 32]

(58)  Fără a aduce atingere legalității prelucrării datelor, orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează pe se opune creării de profiluri. Crearea de profiluri prin mijloace de prelucrare automată a datelor. Cu toate acestea, o astfel de măsură care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are în mod similar un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține apreciere umană, iar o astfel de măsură nu ar trebui să se refere la un minor. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține aprecierea umană, iar o astfel de măsură nu ar trebui să se refere la un minor. Aceste măsuri nu ar trebui să ducă la discriminarea persoanelor pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen. [AM 33]

(58a)   Crearea de profiluri bazate exclusive pe prelucrarea de date pseudonime ar trebui considerat că nu afectează semnificativ interesele, drepturile sau libertățile persoanei vizate. Atunci când crearea de profiluri, fie că se bazează pe o sursă unică de date pseudonime sau pe agregarea de date pseudonime provenite din surse diferite, permite operatorului să atribuie date pseudonime unei anume persoane vizate, datele prelucrate nu ar trebui să mai fie considerate ca fiind pseudonime. [AM 34]

(59)  Dreptul Uniunii sau legislația unui stat membru pot impune restricții ale principiilor specifice, ale drepturilor de informare, acces, rectificare și ștergere sau ale dreptului la portabilitatea de acces și de obținere a datelor, ale dreptului la opoziție, ale măsurilor bazate pe crearea al creării de profiluri, precum și ale comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și ale anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea penală a infracțiunilor sau a încălcării eticii în cazul profesiunilor profesiilor reglementate, alte interese publice specifice și bine definite ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, sau protecția persoanei vizate sau a drepturilor și libertăților unor terți. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de Carta și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. [AM 35]

(60)  Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său, în special în ceea ce privește documentarea, securitatea datelor, evaluările de impact, responsabilul cu protecția datelor și supravegherea de către autoritățile pentru protecția datelor. În special, operatorul ar trebui să asigure și să aibă obligația de a poată demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. Aceasta ar trebui verificată de auditori interni sau externi independenți. [AM 36]

(61)  Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, atât în momentul conceperii prelucrării, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. În scopul asigurării și al demonstrării conformității cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri corespunzătoare, care să respecte, în special, principiul luării în considerare a protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. Principiul protecției datelor încă din faza de concepție necesită integrarea protecției datelor în întregul ciclu de viață al tehnologiei, de la prima fază de concepție până la distribuirea, utilizarea și eliminarea sa finală. Aceasta ar trebui să includă și responsabilitatea pentru produsele și serviciile utilizate de operator sau de persoana împuternicită de către operator. Principiul protecției implicite a datelor presupune că parametrii de confidențialitate ai serviciilor și produselor ar trebui să respecte implicit principiile generale de protecție a datelor, precum minimizarea datelor și limitarea scopului. [AM 37]

(62)  Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile și modalitățile prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. Acordul dintre operatorii asociați ar trebui să reflecte rolurile lor efective și relațiile lor. În cadrul prelucrării de date cu caracter personal în temeiul prezentului regulament, ar trebui să i se permită unui operator să transmită datele unui operator asociat sau unei persoane împuternicite de către operator în vederea prelucrării datelor de către aceștia în numele lui. [AM 38]

(63)  Atunci când un operator care nu este stabilit în Uniune prelucrează date cu caracter personal ale unor persoane vizate care își au reședința în din Uniune, iar activitățile de prelucrare ale operatorului au legătură cu oferirea de bunuri și servicii unor astfel de persoane vizate sau cu monitorizarea comportamentului acestora, operatorul ar trebui să desemneze un reprezentant, cu excepția cazului în care operatorul este stabilit într-o țară terță care asigură un nivel adecvat de protecție sau în care prelucrarea vizează mai puțin de 5 000 de persoane în cursul unei perioade de 12 luni consecutive și nu privește categorii speciale de date cu caracter personal sau operatorul este o întreprindere mică sau mijlocie sau o autoritate publică sau un organism public sau în care operatorul oferă doar ocazional bunuri sau servicii unor astfel de persoane vizate. Reprezentantul ar trebui să acționeze în numele operatorului, putând fi contactat de orice autoritate de supraveghere. [AM 39]

(64)  Pentru a se stabili dacă un operator oferă doar ocazional bunuri și servicii persoanelor vizate care își au reședința în din Uniune, ar trebui să se analizeze dacă din ansamblul activităților desfășurate de către operator rezultă că oferirea de bunuri și servicii unor astfel de persoane vizate este auxiliară activităților principale respective. [AM 40]

(65)  Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să actualizeze documentația necesară pentru a respecta cerințele prevăzute de prezentul regulament. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul de a evalua respectarea prezentului regulament. Cu toate acestea, ar trebui să se acorde o atenție și o importanță egală bunelor practici și respectării obligațiilor, pe lângă cerința referitoare la o documentație completă. [AM 41]

(66)  În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, Comisia ar trebui să promoveze promovate neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, ar trebui încurajată cooperarea cu țările terțe. [AM 42]

(67)  Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în termen de 24 maxim 72 de ore. În Dacă este cazul în care termenul de 24 de ore nu este respectat, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. [AM 43]

(68)  Pentru a se determina dacă o încălcare a securității datelor cu caracter personal este notificată fără întârziere nejustificată autorității de supraveghere și persoanei vizate, ar trebui să se analizeze dacă operatorul a implementat și a aplicat măsuri tehnologice de protecție și organizatorice corespunzătoare în scopul de a stabili imediat dacă s-a produs o încălcare a securității datelor cu caracter personal și de a informa cu promptitudine autoritatea de supraveghere și persoana vizată, înainte de prejudicierea intereselor sale personale și economice, luându-se în considerare, în special, natura și gravitatea încălcării securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia asupra persoanei vizate.

(69)  La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea fraudării identității sau a altor forme de utilizare abuzivă. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare.

(70)  Directiva 95/46/CE prevede o obligație generală de a notifica prelucrarea datelor cu caracter personal autorităților de supraveghere. Cu toate că obligația respectivă generează sarcini administrative și financiare, aceasta nu contribuie întotdeauna la îmbunătățirea protecției datelor cu caracter personal. Prin urmare, o astfel de obligație de notificare generală nediferențiată ar trebui să fie abrogată și înlocuită cu proceduri și mecanisme eficace care să pună accentul, în schimb, pe operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura lor, prin domeniul lor de aplicare sau prin scopurile lor. În astfel de cazuri, operatorul sau persoana împuternicită de către operator ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor, care ar trebui să includă, în special, măsurile avute în vedere, garanții și mecanisme pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu prezentul regulament.

(71)  Aceasta ar trebui să se aplice, în special, sistemelor de evidență de mari dimensiuni recent instituite, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate.

(71a)  Evaluările de impact reprezintă elementul central al oricărui cadru sustenabil de protecție a datelor, garantând faptul că întreprinderile înțeleg de la început toate consecințele posibile ale operațiunilor lor de prelucrare a datelor. Dacă evaluările impactului sunt riguroase, posibilitatea apariției unei încălcări a securității datelor sau a unor operațiuni de invadare a vieții private poate fi limitată în mod fundamental. Prin urmare, evaluările impactului asupra protecției datelor ar trebui să ia în considerare gestionarea întregului ciclu de viață a datelor cu caracter personal, de la colectare la prelucrare și ștergere și să descrie în detaliu operațiunile de prelucrare avute în vedere, riscurile prezentate pentru drepturile și libertățile persoanelor vizate, măsurile avute în vedere pentru abordarea riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure respectarea dispozițiilor prezentului regulament. [AM 44]

(71b)  Operatorii ar trebui să se concentreze pe protecția datelor cu caracter personal pe durata întregului ciclu de viață al datelor, de la culegere la prelucrare și eliminare, investind de la început într-un cadru de gestionare sustenabilă a datelor și instituind un mecanism cuprinzător de asigurare a conformității. [AM 45]

(72)  În unele circumstanțe ar putea fi judicios și economic ca o evaluare a impactului asupra protecției datelor să aibă o perspectivă mai extinsă decât cea a unui singur proiect, de exemplu, în cazul în care autorități sau organisme publice intenționează să instituie o aplicație sau o platformă de prelucrare comună sau în cazul în care mai mulți operatori preconizează să introducă o aplicație comună sau un mediu de prelucrare comun în cadrul unui sector sau segment industrial sau pentru o activitate orizontală utilizată pe scară largă.

(73)  Evaluările impactului asupra protecției datelor ar trebui efectuate de către o autoritate publică sau un organism public în cazul în care o astfel de evaluare nu a fost deja realizată în contextul adoptării legislației naționale pe care se bazează îndeplinirea sarcinilor autorității publice sau ale organismului public și care reglementează anumite operațiuni sau serii de operațiuni de prelucrare în cauză. [AM 46]

(74)  În cazul în care o evaluare a impactului asupra protecției datelor arată că operațiunile de prelucrare implică un nivel ridicat al riscurilor specifice pentru drepturile și libertățile persoanelor vizate, cum ar fi privarea persoanelor fizice de un drept, sau prin utilizarea noilor tehnologii specifice, responsabilul cu protecția datelor sau autoritatea de supraveghere ar trebui să fie consultată, înainte de începerea operațiunilor, cu privire la o prelucrare riscantă care ar putea să nu fie conformă cu prezentul regulament și pentru a face propuneri în vederea remedierii unei astfel de situații. Această O consultare a autorității de supraveghere ar trebui, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare. [AM 47]

(74a)  Evaluările de impact pot fi utile numai dacă operatorii își respectă angajamentele prevăzute inițial în acestea. Prin urmare, operatorii de date ar trebui să efectueze periodic evaluări ale conformității care să demonstreze că actualele mecanisme de prelucrare a datelor respectă garanțiile din evaluarea impactului asupra protecției datelor. Acestea ar trebui să demonstreze și capacitatea operatorului de date de a respecta alegerile libere ale persoanelor vizate. În plus, în cazul în care la evaluarea conformității se constată nereguli, acestea ar trebui evidențiate și ar trebui să se prezinte recomandări cu privire la modul în care se poate realiza o conformitate deplină. [AM 48]

(75)  În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea este efectuată de o întreprindere de mari dimensiuni privește mai mult de 5000 de persoane vizate în cursul a 12 luni sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare a unor date confidențiale sau operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Atunci când se stabilește dacă se prelucrează date referitoare la un număr mare de persoane vizate, nu ar trebui luate în considerare datele arhivate care sunt protejate pentru a nu face obiectul unor operațiuni normale de acces și de prelucrare și care nu mai pot fi modificate. Acești responsabilii responsabili cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului și fie că îndeplinesc sau nu această sarcină cu normă întreagă, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent și beneficiază de o protecție specială împotriva concedierii. Responsabilitatea finală ar trebui să îi revină conducerii unei organizații. Responsabilul cu protecția datelor ar trebui să fie consultat în special înaintea conceperii, achiziționării, dezvoltării și instalării de sisteme pentru prelucrarea automată a datelor cu caracter personal, pentru a se garanta respectarea principiilor luării în considerare a vieții private începând cu momentul conceperii și al respectării implicite a vieții private. [AM 49]

(75a)  Responsabilul cu protecția datelor ar trebui să aibă cel puțin următoarele calificări: cunoștințe temeinice privind conținutul și punerea în aplicare a legislației privind protecția datelor, inclusiv privind măsurile și procedurile tehnice și organizatorice; cunoștințe solide privind cerințele tehnice referitoare la protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cunoștințe specifice sectorului în conformitate cu dimensiunea operatorului sau a persoanei împuternicite de operator și cu gradul de sensibilitate a datelor care trebuie prelucrate; capacitatea de a efectua inspecții, consultări, documentări și analize ale fișierelor-jurnal; și capacitatea de a lucra cu reprezentanți ai lucrătorilor. Operatorul ar trebui să permită responsabilului cu protecția datelor să participe la măsuri de formare avansată pentru a-și menține nivelul de cunoștințe specializate necesare pentru îndeplinirea sarcinilor sale. Desemnarea funcției de responsabil cu protecția datelor nu presupune în mod obligatoriu ocuparea cu normă întreagă a lucrătorului respective. [AM 50]

(76)  Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate, după consultarea reprezentanților angajaților, să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare. Aceste coduri ar trebui să simplifice respectarea prezentului regulament de către întreprinderi. [AM 51]

(77)  Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci standardizate în materie de protecție a datelor, care să permită persoanelor vizate să evalueze în mod rapid, fiabil și verificabil nivelul de protecție a datelor aferent produselor și serviciilor relevante. Un „sigiliu european privind protecția datelor” ar trebui să fie stabilit la nivel european pentru a crea un climat de încredere în rândul persoanelor vizate, certitudine juridică pentru operatori și, în același timp, pentru a exporta standardele europene în domeniul protecției datelor, permițând întreprinderilor din afara Europei să pătrundă mai ușor pe piețele europene prin obținerea certificării. [AM 52]

(78)  Fluxurile transfrontaliere de date cu caracter personal sunt necesare pentru dezvoltarea comerțului internațional și a cooperării internaționale. Creșterea acestor fluxuri a generat noi provocări și preocupări cu privire la protecția datelor cu caracter personal. Cu toate acestea, în cazul în care se transferă date cu caracter personal din Uniune către țări terțe sau organizații internaționale, nivelul de protecție a persoanelor fizice garantat în Uniune prin prezentul regulament nu ar trebui să fie diminuat. În orice caz, transferurile către țările terțe nu pot fi efectuate decât în deplină conformitate cu prezentul regulament.

(79)  Prezentul regulament nu aduce atingere acordurilor internaționale încheiate între Uniune și țări terțe în vederea reglementării transferului de date cu caracter personal, inclusiv garanții garanțiilor corespunzătoare pentru persoanele vizate, care asigură un nivel adecvat de protecție a drepturilor fundamentale ale cetățenilor. [AM 53]

(80)  Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară. De asemenea, Comisia poate să decidă, după trimiterea unei notificări și a unei justificări complete țării terțe, să anuleze o astfel de decizie. [AM 54]

(81)  În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special protecția drepturilor omului, Comisia ar trebui, în evaluarea sa referitoare la țara terță, să ia în considerare modul în care aceasta respectă statul de drept, accesul la justiție, precum și normele și standardele internaționale în materie de drepturi ale omului.

(82)  Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. Orice dispoziție legislativă care prevede accesul extrateritorial la datele cu caracter personal prelucrate pe teritoriul Uniunii, fără să existe o autorizare în conformitate cu dreptul Uniunii sau al unui stat membru, ar trebui să fie considerată drept o indicație a absenței unui nivel adecvat de protecție. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie interzis. În acest caz, ar trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau organizații internaționale. [AM 55]

(83)  În absența unei decizii privind caracterul adecvat al protecției, operatorul sau persoana împuternicită de către operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții corespunzătoare pentru persoana vizată. Astfel de garanții corespunzătoare pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecție a datelor adoptate de către Comisie, a clauzelor standard în materie de protecție a datelor adoptate de către o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere sau a altor măsuri adecvate și proporționale care sunt justificate având în vedere toate circumstanțele aferente unei operațiuni de transfer de date sau unui set de operațiuni de transfer de date și în cazurile autorizate de o autoritate de supraveghere. Respectivele garanții corespunzătoare ar trebui să sprijine respectarea adecvată a drepturilor persoanei vizate în cadrul prelucrării în interiorul UE, în special a dreptului la limitarea scopului, a dreptului de acces, rectificare și ștergere, precum și a dreptului la compensații. Respectivele garanții ar trebui să asigure în special respectarea principiilor de prelucrare a datelor cu caracter personal, să protejeze drepturile persoanelor vizate și să ofere căi de atac efective, să asigure respectarea principiilor de protecție a datelor începând cu momentul conceperii, precum și de protecție implicită a datelor, să garanteze existența unui responsabil cu protecția datelor. [AM 56]

(84)  Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze sau garanții suplimentare, atât timp acestea cât cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către Comisie sau de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. Clauzele standard în materie de protecție a datelor adoptate de către Comisie ar putea acoperi situații diferite, și anume transferul de la operatori stabiliți pe teritoriul Uniunii către operatori stabiliți în afara Uniunii și de la operatori stabiliți pe teritoriul Uniunii către persoane împuternicite de către operatori, inclusiv subcontractanți, stabiliți în afara Uniunii . Operatorii și persoanele împuternicite de către operatori ar trebui să fie încurajați să ofere garanții și mai solide prin intermediul unor angajamente contractuale suplimentare care să completeze clauzele standard în materie de protecție. [AM 57]

(85)  Un grup corporatist ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaționale dinspre Uniune către organizații din cadrul aceluiași grup de întreprinderi, atâta timp cât astfel de reguli corporatiste includ principii toate principiile esențiale și drepturi exercitabile în scopul asigurării unor garanții corespunzătoare pentru transferurile sau categoriile de transferuri de date cu caracter personal. [AM 58]

(86)  Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul, în care transferul este necesar în legătură cu un contract sau cu o acțiune în justiție, în care motive importante de interes public stabilite de dreptul Uniunii sau de legislația unui stat membru impun acest lucru sau în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor sau ansamblul categoriilor de date conținute în registru, iar atunci când registrul este destinat să fie consultat de către persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele și drepturile fundamentale ale persoanei vizate. [AM 59]

(87)  Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătate publică, sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor, inclusiv a prevenirii spălării banilor și combaterii finanțării terorismului. Transferul de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care acesta este necesar în scopul asigurării protecției unui interes esențial pentru viața persoanei vizate sau pentru viața unei alte persoane, dacă persoana vizată se află în incapacitatea de a-și da consimțământul. Transferul de date cu caracter personal pentru protecția unor astfel de motive importante de interes public ar trebui să fie utilizate doar ocazional. În fiecare caz ar trebui să se efectueze o evaluare atentă a tuturor circumstanțelor transferului. [AM 60]

(88)  Transferurile care nu pot fi considerate ca fiind frecvente sau masive, ar putea, de asemenea, să fie efectuate în scopul realizării intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, după ce aceștia au evaluat toate circumstanțele aferente transferului de date. Pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică, ar trebui să se ia în considerare așteptările legitime ale societății cu privire la creșterea nivelului de cunoștințe. [AM 61]

(89)  În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor într-o țară terță, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluții care să ofere persoanelor vizate garanția obligatorie din punct de vedere juridic că vor continua să beneficieze de drepturi fundamentale și garanții în ceea ce privește prelucrarea datelor lor în Uniune, odată ce aceste date au fost transferate, în măsura în care prelucrarea nu are un caracter masiv, repetitiv și structural. Garanția ar trebui să includă despăgubiri financiare în cazul pierderii datelor sau al accesului sau prelucrării neautorizate a acestora, precum și obligația, indiferent de legislația națională, de a furniza informații detaliate și complete cu privire la toate accesele la date de către autoritățile publice din țara terță. [AM 62]

(90)  Unele țări terțe au adoptat legi, regulamente și alte instrumente legislative care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor persoanelor fizice și juridice aflate sub jurisdicția statelor membre. Aplicarea extrateritorială a acestor legi, regulamente și alte instrumente legislative poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice garantată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în legislația unui stat membru care se aplică operatorului. Condițiile în care există un motiv important de interes public ar trebui precizate pe larg de către Comisie într-un act delegat. În cazurile în care operatorii și persoanele împuternicite de către operatori se confruntă cu un conflict de competență între Uniune, pe de o parte, și o țară terță, pe de altă parte, în ceea ce privește cerințele de conformitate, Comisia ar trebui să se asigure că dreptul Uniunii prevalează în toate situațiile. Comisia ar trebui să ofere îndrumare și asistență operatorului și persoanei împuternicite de către operator și ar trebui să încerce să soluționeze conflictul de competență cu țara terță în cauză. [AM 63]

(91)  Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a datelor, în special pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a acestor informații. În același timp, autoritățile de supraveghere pot constata că se află în imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile desfășurate în afara frontierelor lor. Eforturile acestora de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice și de existența unor obstacole de ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, este necesar să se promoveze o cooperare mai strânsă între autoritățile de supraveghere a protecției datelor pentru a putea face schimb de informații și a desfășura investigații împreună cu omologii lor internaționali.

(92)  Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Statele membre pot institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. O astfel de autoritate dispune de resurse financiare și de personal adecvate pentru a-și îndeplini pe deplin rolul, ținând seama de mărimea populației și de volumul de prelucrare a datelor cu caracter personal. [AM 64]

(93)  În cazul în care un stat membru instituie mai multe autorități de supraveghere, acesta ar trebui să stabilească prin lege mecanisme care să asigure participarea efectivă a autorităților de supraveghere respective la mecanismul pentru asigurarea coerenței. Statul membru respectiv ar trebui, în special, să desemneze autoritatea de supraveghere care îndeplinește funcția de punct unic de contact pentru participarea efectivă a acestor autorități la mecanism, în scopul asigurării unei cooperări rapide și armonioase cu alte autorități de supraveghere, cu Comitetul european pentru protecția datelor și cu Comisia.

(94)  Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, asigurându-se în special că personalul dispune de competențe tehnice și juridice adecvate, de localuri și de infrastructura necesară infrastructuri necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. [AM 65]

(95)  Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru, acordându-se atenția cuvenită minimizării posibilității de interferență politică, și să includă dispoziții privind calificarea personală, prevenirea conflictelor de interese și funcția membrilor respectivi. [AM 66]

(96)  Autoritățile de supraveghere ar trebui să monitorizeze aplicarea dispozițiilor prevăzute de prezentul regulament și să contribuie la aplicarea consecventă a acestuia în întreaga Uniune, în scopul asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și al facilitării liberei circulații a datelor cu caracter personal în interiorul pieței interne. În acest sens, autoritățile de supraveghere ar trebui să coopereze reciproc și cu Comisia.

(97)  În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile să dețină rolul de ghișeu unic și autoritate principală responsabilă de supravegherea operatorului sau a persoanei împuternicite de către operator în întreaga Uniune și de a adopta să adopte deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de operatori. [AM 67]

(98)  Autoritatea competentă principală, care furnizează un astfel de ghișeu unic, ar trebui să fie autoritatea de supraveghere a statului membru în care operatorul sau persoana împuternicită de către operator își are sediul principal sau reprezentantul său. Comitetul european pentru protecția datelor poate, în anumite cazuri, desemna autoritatea principală prin intermediul mecanismului pentru asigurarea coerenței, la cererea unei autorități competente. [AM 68]

(98a)  Persoanele vizate ale căror date cu caracter personal sunt prelucrate de un operator de date sau de o persoană împuternicită de către operator într-un alt stat membru ar trebui să aibă posibilitatea de a adresa o plângere autorității de supraveghere la alegerea lor. Autoritatea principală de protecție a datelor ar trebui să-și coordoneze activitatea cu cea a celorlalte autorități implicate. [AM 69]

(99)  Cu toate că prezentul regulament se aplică, de asemenea, activităților instanțelor naționale, prelucrarea datelor cu caracter personal nu ar trebui să fie de competența autorităților de supraveghere, în cazul în care instanțele își exercită atribuțiile judiciare, în scopul asigurării protecției independenței judecătorilor în îndeplinirea sarcinilor lor judiciare. Cu toate acestea, derogarea ar trebui să se limiteze strict la activități pur judiciare în cadrul acțiunilor în instanță și să nu se aplice altor activități în care judecătorii ar putea fi implicați, în conformitate cu legislația națională.

(100)  Pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași atribuții și competențe efective, inclusiv competențe de investigare, de intervenție cu forță juridică obligatorie, de decizie și sancționare, în special în cazul plângerilor depuse de persoane fizice, precum și de a acționa în justiție. Competențele de investigare ale autorităților de supraveghere în ceea ce privește accesul în localuri ar trebui exercitate în conformitate cu dreptul Uniunii și cu legislația națională. Aceasta se referă, în special, la cerința de a obține în prealabil o autorizare judiciară.

(101)  Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată sau asociație care acționează în interesul public și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată sau asociația cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate. [AM 70]

(102)  Activitățile de creștere a gradului de conștientizare organizate pentru public de autoritățile de supraveghere ar trebui să includă măsuri specifice care să vizeze operatorii și persoanele împuternicite de către operatori, inclusiv microîntreprinderile și întreprinderile mici și mijlocii, precum și persoanele vizate.

(103)  Autoritățile de supraveghere ar trebui să își acorde reciproc asistență în îndeplinirea atribuțiilor care le revin, pentru a se asigura consecvența aplicării și a asigurării aplicării prezentului regulament în piața internă.

(104)  Fiecare autoritate de supraveghere ar trebui să aibă dreptul de a participa la operațiuni comune între autoritățile de supraveghere. Autoritatea de supraveghere căreia i s-a adresat solicitarea ar trebui să aibă obligația de a răspunde cererii într-un anumit termen.

(105)  Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. În plus, persoanele vizate ar trebui să aibă dreptul de a solicita coerență în cazul în care consideră că o măsură luată de autoritatea de protecție a datelor a unui stat membru nu îndeplinește acest criteriu. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. [AM 71]

(106)  În aplicarea mecanismului pentru asigurarea coerenței, Comitetul european pentru protecția datelor ar trebui, într-un anumit termen, să emită un aviz în cazul în care o majoritate simplă a membrilor săi decide astfel sau în cazul în care o autoritate de supraveghere sau Comisia solicită acest lucru.

(106a)  Pentru a asigura punerea în aplicare coerentă a prezentului regulament, Comitetul european pentru protecția datelor poate adopta, în cazuri specifice, o măsură obligatorie pentru autoritatea de supraveghere competentă. [AM 72]

(107)  Pentru a se asigura conformitatea cu prezentul regulament, Comisia poate adopta un aviz privind aspectul respectiv sau o decizie, prin care să se solicite autorității de supraveghere suspendarea proiectului său de măsură. [AM 73]

(108)  Este posibil să existe o necesitate urgentă de a se acționa pentru asigurarea protecției intereselor persoanelor vizate, în special în cazul în care există pericolul ca exercitarea unui drept al unei persoane vizate să fie împiedicată în mod considerabil. Prin urmare, atunci când aplică mecanismul pentru asigurarea coerenței, o autoritate de supraveghere ar trebui să poată adopta măsuri provizorii, cu o anumită perioadă de valabilitate.

(109)  Aplicarea acestui mecanism ar trebui să fie o condiție pentru valabilitatea juridică și executarea deciziei respective de către o autoritate de supraveghere. În alte cazuri cu relevanță transfrontalieră, autoritățile de supraveghere în cauză ar putea să își acorde reciproc asistență și să efectueze investigații comune, pe bază bilaterală sau multilaterală, fără declanșarea mecanismului pentru asigurarea coerenței.

(110)  La nivelul Uniunii, ar trebui să se înființeze Comitetul european pentru protecția datelor. Acesta ar trebui să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie format din șefii autorității de supraveghere a fiecărui stat membru și din șeful Autorității Europene pentru Protecția Datelor. Comisia ar trebui să participe la activitățile sale. Comitetul european pentru protecția datelor ar trebui să contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consultanță Comisiei instituțiilor Uniunii Europene și prin promovarea cooperării autorităților de supraveghere în întreaga Uniune, inclusiv a coordonării operațiunilor comune. Comitetul european pentru protecția datelor ar trebui să acționeze în mod independent în exercitarea sarcinilor sale. Comitetul european pentru protecția datelor ar trebui să consolideze dialogul cu părțile interesate, precum asociațiile persoanelor vizate, organizațiile consumatorilor, operatorii de date și alte părți interesate relevante și experți. [AM 74]

(111)  Orice persoană vizată Persoanele vizate ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac efectivă în conformitate cu articolul 47 din Carta, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. [AM 75]

(112)  Orice organism, organizație sau asociație care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora acționează în interesul public și este constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în numele persoanelor vizate, cu acordul acestora, sau să exercite dreptul la o cale de atac în numele persoanelor vizate dacă sunt împuternicite de către persoana vizată sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal prezentului regulament. [AM 76]

(113)  Orice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac împotriva deciziilor unei autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului membru în care este stabilită autoritatea de supraveghere.

(114)  Pentru a se consolida protecția judiciară a persoanelor vizate în situațiile în care autoritatea de supraveghere competentă este stabilită în alt stat membru decât cel în care persoana vizată își are reședința, persoana vizată poate solicita oricărui împuternici orice organism, oricărei organizații sau oricărei asociații care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora organizație sau asociație care acționează în interesul public să introducă o acțiune în numele său împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. [AM 77]

(115)  În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Acest lucru nu se aplică persoanelor care nu au reședința pe teritoriul UE. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii. [AM 78]

(116)  În ceea ce privește acțiunile inițiate împotriva unui operator sau unei persoane împuternicite de către operator, reclamantul ar trebui să aibă posibilitatea de a introduce acțiunea în fața instanțelor din statele membre în care operatorul sau persoana împuternicită de către operator are un sediu sau, în cazul în care persoana vizată dispune de o reședință pe teritoriul UE, în statul membru în care persoana vizată își are reședința, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice. [AM 79]

(117)  În cazul în care există indicii conform cărora acțiuni paralele sunt pendinte în fața instanțelor din state membre diferite, instanțele ar trebui să aibă obligația de a se contacta reciproc. Instanțele ar trebui să aibă posibilitatea de a suspenda o acțiune atunci când o cauză paralelă este pendinte în alt stat membru. Statele membre ar trebui să se asigure că acțiunile în justiție, pentru a fi eficiente, permit adoptarea rapidă de măsuri în scopul remedierii sau al prevenirii încălcării prezentului regulament.

(118)  Orice daună, patrimonială sau nepatrimonială, pe care o persoană o poate suferi ca urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere doar dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. [AM 80]

(119)  Ar trebui impuse sancțiuni oricărei persoane, de drept privat sau public, care nu respectă prezentul regulament. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor. Normele privind sancțiunile ar trebui să facă obiectul unor garanții procedurale adecvate în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale, inclusiv cele referitoare la dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem. [AM 81]

(119a)  La aplicarea sancțiunilor, statele membre ar trebui să dovedească respectarea deplină a garanțiilor procedurale adecvate, inclusiv dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem. [AM 82]

(120)  Pentru consolidarea și armonizarea sancțiunilor administrative în cazul încălcării prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competența de a sancționa infracțiunile administrative. Prezentul regulament ar trebui să indice aceste infracțiuni și limita maximă a amenzilor administrative aferente, care ar trebui să fie stabilite în fiecare caz, proporțional cu situația specifică, luându-se în considerare în mod corespunzător, în special, natura, gravitatea și durata încălcării. Mecanismul pentru asigurarea coerenței poate fi, de asemenea, utilizat în scopul remedierii divergențelor în aplicarea sancțiunilor administrative.

(121)  Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice, artistice sau literare ar trebui să îndeplinească criteriile pentru aplicarea unor derogări Ori de câte ori este necesar, excepțiile sau derogările de la cerințele anumitor dispoziții din prezentul regulament, ar trebui să acordate în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal din domeniul audiovizualului, precum și din arhivele de știri și din bibliotecile de ziare. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Astfel de excepții și derogări ar trebui să fie adoptate de statele membre în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, precum și cooperarea și coerența și situațiile specifice de prelucrare a datelor. Acest lucru nu trebuie totuși să determine statele membre să stabilească derogări de la celelalte dispoziții ale prezentului regulament. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate , cum ar fi jurnalismul, să fie interpretate în sens larg. Prin urmare, în scopul excepțiilor și derogărilor care urmează să fie stabilite în prezentul regulament, statele membre ar trebui să clasifice drept „jurnalistice” să acopere în sens larg toate activitățile al căror scop este de a comunica publicului informații, opinii și idei, indiferent de suportul utilizat pentru transmiterea acestora, ținând seama, de asemenea, de dezvoltarea tehnologică. Aceste activități nu ar trebui să se limiteze la cele desfășurate de societăți de media și pot include activități cu sau fără scop lucrativ. [AM 83]

(122)  Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date necesitând un nivel mai ridicat de protecție, poate fi adesea justificată de o serie de motive legitime în beneficiul persoanelor și al societății în general, în special în contextul asigurării continuității asistenței medicale transfrontaliere. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea datelor cu caracter personal privind sănătatea, sub rezerva unor garanții specifice și corespunzătoare menite să protejeze drepturile fundamentale și datele cu caracter personal al persoanelor fizice. Acest lucru include dreptul persoanelor de a avea acces la datele lor cu caracter personal privind sănătatea, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată.

(122a)   Un profesionist care prelucrează date cu caracter personal ar trebui să primească, în măsura în care acest lucru este posibil, date anonimizate sau prezentate sub pseudonim, astfel încât identitatea să nu fie cunoscută decât de către medicul generalist sau specialist care a solicitat prelucrarea datelor. [AM 84]

(123)  Prelucrarea datelor cu caracter personal privind sănătatea poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă(11), adică toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor cu caracter personal privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părți terțe, cum ar fi angajatorii, societățile de asigurări și băncile. [AM 85]

(123a)   Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date, poate fi necesară în scopuri de cercetare istorică, statistică sau științifică. De aceea, prezentul regulament prevede o derogare de la această cerință în cazul în care cercetarea servește unui interes public ridicat. [AM 86]

(124)  Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă Prin urmare, pentru și al securității sociale. Statele membre ar trebui să aibă posibilitatea de a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă statele membre ar trebui să aibă posibilitatea, în limitele și al securității sociale, în conformitate cu normele și standardele minime stabilite de prin prezentul regulament de a adopta pe cale legislativă norme specifice de prelucrare a. În măsura în care în statul membru respectiv există un temei juridic pentru reglementarea aspectelor legate de ocuparea forței de muncă printr-un acord între reprezentanții angajaților și conducerea întreprinderii sau a întreprinderii care exercită controlul asupra unui grup de întreprinderi (acord colectiv) sau în conformitate cu Directiva 2009/38/CE a Parlamentului European și a Consiliului(12), prelucrarea datelor cu caracter personal în sectorul contextul ocupării forței de muncă ar trebui să poată fi reglementată și printr-un astfel de acord. [AM 87]

(125)  Pentru a fi legală, prelucrarea datelor cu caracter personal în scopuri de cercetare istorică, statistică sau științifică ar trebui să respecte și alte dispoziții legislative relevante, cum ar fi cele privind studiile clinice.

(125a)  Datele cu caracter personal pot fi, de asemenea, prelucrate ulterior de servicii de arhivare a căror sarcină principală sau obligatorie este colectarea, conservarea, oferirea de informații cu privire la acestea, exploatarea și diseminarea arhivelor în interes public. Legislația statelor membre ar trebui să reconcilieze dreptul la protecția datelor cu caracter personal cu normele privind arhivele și accesul public la informații administrative. Statele membre ar trebui să încurajeze elaborarea, în special de către Grupul European de arhive, a unor norme care să garanteze confidențialitatea datelor față de părți terțe, precum și autenticitatea, integritatea și păstrarea corectă a datelor. [AM 88]

(126)  În sensul prezentului regulament, cercetarea științifică ar trebui să includă cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată din surse private și ar trebui, în plus, să ia în considerare obiectivul Uniunii de creare a unui spațiu european de cercetare, astfel cum este menționat la articolul 179 alineatul (1) din Tratatul privind funcționarea Uniunii Europene. Prelucrarea datelor cu caracter personal în scopuri de cercetare istorică, statistică sau științifică nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazurilor în care există consimțământul persoanei vizate sau a celor întemeiate pe dreptul Uniunii sau legislația statelor membre. [AM 89]

(127)  În ceea ce privește competențele autorităților de supraveghere de a obține, de la operator sau de la persoana împuternicită de operator, accesul la datele cu caracter personal și accesul în clădirile sale, statele membre pot adopta, pe cale legislativă și în limitele stabilite de prezentul regulament, norme specifice pentru garantarea secretului profesional sau a altor obligații echivalente, în măsura în care acest lucru este necesar pentru a asigura un echilibru între dreptul la protecția datelor cu caracter personal și o obligație de păstrare a secretului profesional.

(128)  Conform articolului 17 din Tratatul privind funcționarea Uniunii Europene, prezentul regulament respectă și nu aduce atingere statutului de care beneficiază, în temeiul dreptului național, bisericile și asociațiile sau comunitățile religioase din statele membre. Prin urmare, atunci când o biserică dintr-un stat membru aplică, la data intrării în vigoare a prezentului regulament, norme cuprinzătoare adecvate de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, aceste norme existente ar trebui să se aplice în continuare, în măsura în care se asigură conformitatea lor cu prezentul regulament și sunt recunoscute ca fiind conforme. Ar trebui să se solicite acestor biserici și asociații religioase să prevadă instituirea unei autorități de supraveghere complet independente. [AM 90]

(129)  Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul a dreptului acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește condițiile privind modalitatea de furnizare a informației bazată pe pictograme; legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; specificarea criteriilor și a condițiilor aplicabile cererilor în mod vădit excesive și taxelor pentru exercitarea drepturilor persoanelor vizate; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului și protecția datelor începând cu momentul conceperii și protecția implicită a datelor; persoana împuternicită de operator; criteriile și cerințele privind documentația și securitatea prelucrării; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; declararea că codurile de conduită sunt conforme cu prezentul regulament; criteriile și cerințele privind mecanismele de certificare; nivelul adecvat de protecție acordat de o țară terță sau de o organizație internațională; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; sancțiunile administrative; prelucrarea în scopuri medicale; și prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți și, în special, cu Comitetul european pentru protecția datelor. Atunci când pregătește și elaborează acte delegate, Comisia trebuie ar trebui să asigure transmiterea simultană, la timp și în mod corespunzător adecvată a documentelor relevante către Parlamentul European și către Consiliu. [AM 91]

(130)  În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui învestită cu competențe de executare pentru a stabili: formulare tip legate de pentru metodele specifice de obținere a consimțământului verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor persoanelor vizate lor; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea, inclusiv comunicarea datelor cu caracter personal persoanei vizate; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard materie de documentare, care să fie păstrate de operator și de persoana împuternicită de către operator; formularul tip pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea documentarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței informare a autorității de supraveghere. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie(13). În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. [AM 92]

(131)  Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea: pentru metodele specifice de obținere a consimțământului unui minor; verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor persoanelor vizate; formulare tip lor; pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea , inclusiv pentru comunicarea datelor cu caracter personal persoanei vizate; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard în materie de documentare care să fie păstrate de operator și de persoana împuternicită de către operator; pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea documentarea unei încălcări a securității datelor cu caracter personal; către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat informare a autorității de supraveghere, dar fiind că aceste acte au un domeniu de aplicare general. [AM 93]

(132)  Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgență, în cazuri justificate în mod corespunzător referitoare la o țară terță, un teritoriu sau un sector de prelucrare din țara terță respectivă sau o organizație internațională care nu asigură un nivel de protecție adecvat și referitoare la aspectele comunicate de către autoritățile de supraveghere în cadrul mecanismului pentru asigurarea coerenței. [AM 94]

(133)  Dat fiind că obiectivele prezentului regulament, și anume asigurarea unui nivel echivalent de protecție a persoanelor și libera circulație a datelor în întreaga Uniune, nu pot fi realizate în mod satisfăcător de către statele membre dar, având în vedere amploarea și efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate să adopte măsuri în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este enunțat la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru atingerea obiectivelor respective.

(134)  Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Cu toate acestea, deciziile Comisiei care au fost adoptate și autorizațiile care au fost emise de autoritățile de supraveghere pe baza Directivei 95/46/CE ar trebui să rămână în vigoare. Deciziile adoptate de Comisie și autorizațiile acordate de autoritățile de supraveghere referitoare la transferul de date cu caracter personal către țări terțe în conformitate cu articolul 41 alineatul (8) ar trebui să rămână în vigoare pe o perioadă de tranziție de cinci ani după intrarea în vigoare a prezentului regulament, în cazul în care nu sunt modificate, înlocuite sau abrogate de către Comisie înainte de încheierea acestei perioade. [AM 95]

(135)  Prezentul regulament ar trebui să se aplice tuturor aspectelor referitoare la protecția drepturilor și a libertăților fundamentale legate de prelucrarea datelor cu caracter personal, care fac obiectul unor obligații specifice cu același obiectiv ca cel stabilit în Directiva 2002/58/CE a Parlamentului European și a Consiliului(14), inclusiv obligațiile privind operatorul și drepturile persoanelor fizice. Pentru a se clarifica relația dintre prezentul regulament și Directiva 2002/58/CE, aceasta din urmă ar trebui să fie modificată în consecință.

(136)  În ceea ce privește Islanda și Norvegia, prezentul regulament reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, în măsura în care se aplică prelucrării datelor cu caracter personal de către autoritățile implicate în punerea în aplicare a acquis-ului, astfel cum prevede Acordul încheiat de Consiliul Uniunii Europene și Republica Islanda și Regatul Norvegiei privind asocierea acestora din urmă la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(15).

(137)  În ceea ce privește Elveția, prezentul regulament reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, în măsura în care se aplică prelucrării datelor cu caracter personal de către autoritățile implicate în punerea în aplicare a acquis-ului, astfel cum prevede Acordul între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană cu privire la asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(16).

(138)  În ceea ce privește Liechtenstein, prezentul regulament reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, în măsura în care se aplică prelucrării datelor cu caracter personal de către autoritățile implicate în punerea în aplicare a acquis-ului, astfel cum prevede Protocolul între Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(17).

(139)  Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și obiective

(1)  Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.

(2)  Prezentul regulament asigură protecția drepturilor și a libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal.

(3)  Libera circulație a datelor cu caracter personal în cadrul Uniunii nu poate fi limitată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

Articolul 2

Domeniul material de aplicare

(1)  Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, indiferent de metoda de prelucrare, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

(2)  Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a)  în cadrul unei activități care nu intră sub incidența dreptului Uniunii, în ceea ce privește, mai ales, securitatea națională;

(b)  de către instituțiile, organele, oficiile și agențiile Uniunii;

(c)  de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 titlului V capitolul 2 din Tratatul privind Uniunea Europeană;

(d)  efectuate de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice. Această derogare se aplică și publicării de date cu caracter personal atunci când se poate estima în mod rezonabil că doar un număr limitat de persoane va avea acces la aceste date.

(e)  de către autoritățile publice competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale.

(3)  Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată. [AM 96]

Articolul 3

Domeniul teritorial de aplicare

(1)  Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.

(2)  Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care își au reședința în din Uniune de către un operator sau persoana împuternicită de către operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

(a)  oferirea de bunuri sau servicii, indiferent dacă se solicită o plată de către persoana în cauză, unor astfel de persoane vizate în Uniune sau

(b)  urmărirea comportamentului acestora monitorizarea persoanelor vizate.

(3)  Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public. [AM 97]

Articolul 4

Definiții

În sensul prezentului regulament:

1.  „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective;

2.  date cu caracter personal” înseamnă orice informație privind referitoare la o persoană fizică identificată sau identificabilă („persoană vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator unic, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale, sociale sau de gen;

2a.  „date protejate printr-un pseudonim” înseamnă date cu caracter personal care nu mai pot fi atribuite unei persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze că nu va avea loc o astfel de atribuire;

2b.  „date criptate” înseamnă date cu caracter personal care, prin intermediul unor măsuri tehnologice de protecție, devin neinteligibile pentru persoanele care nu sunt autorizate să le acceseze;

3.  „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, ștergerea sau distrugerea;

3a.  „crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea anumitor aspecte personale legate de o persoană fizică sau efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice respective la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia;

4.  „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

5.  „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru;

6.  „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

7.  „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal;

7a.  „terț” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de acesta, sunt autorizate să prelucreze date;

8.  „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate;

9.  „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod sub o altă formă;

10.  „date genetice” înseamnă toate datele , indiferent de tipul acestora, cu caracter personal referitoare la caracteristicile genetice ale unei persoane, care sunt au fost moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală astfel cum rezultă în urma unei analize a unei mostre de material biologic al persoanei în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații echivalente;

11.  „date biometrice” înseamnă orice date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice;

12.  „date privind sănătatea” înseamnă orice informații date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective;

13.  „sediu principal” înseamnă, în ceea ce privește operatorul, locul de stabilire al acestuia întreprinderii sau grupului de întreprinderi pe teritoriul Uniunii, indiferent dacă au calitatea de operator sau de persoană împuternicită de operator, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal. Următoarele criterii obiective pot fi luate în considerare, printre altele: locul sediului central al operatorului sau al persoanei împuternicite de operator; în cazul în care nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul în care se desfășoară principalele află entitatea din cadrul grupului de întreprinderi care este cea mai în măsură, din perspectiva funcțiilor de conducere și a responsabilităților administrative, să se ocupe de normele stabilite în prezentul regulament și să le execute; locul în care sunt exercitate în mod efectiv reale activități de prelucrare estionare prin care se stabilește prelucrarea datelor în cadrul activităților unui sediu al unui operator din Uniune. În ceea ce privește persoana împuternicită de operator, „sediu principal” înseamnă locul administrației sale centrale din Uniune unor înțelegeri stabile;

14.  „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care acționează și poate fi contactată în locul operatorului de către orice autoritate de supraveghere și alte organisme din Uniune, reprezintă operatorul în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament;

15.  „întreprindere” înseamnă orice entitate care desfășoară o activitate economică, indiferent de forma juridică a acesteia, cuprinzând, în special, persoane fizice și juridice, parteneriate sau asociații care desfășoară în mod regulat o activitate economică;

16.  „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;

17.  „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de către un operator sau o persoană împuternicită de operator stabilită pe teritoriul unui stat membru al Uniunii, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită în una sau mai multe țări terțe în cadrul unui grup de întreprinderi;

18.  „minor” înseamnă orice persoană cu vârsta sub 18 ani;

19.  „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 46. [AM 98]

CAPITOLUL II

PRINCIPII

Articolul 5

Principii legate de prelucrarea datelor cu caracter personal

Datele cu caracter personal trebuie să fie:

(a)  să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență);

(b)  să fie colectate în scopuri determinate, explicite și legitime și să nu fie nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri (limitarea scopului);

(c)  să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal (reducerea la minimum a datelor);

(d)  să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie sunt șterse sau rectificate fără întârziere (exactitate);

(e)  să fie păstrate într-o formă care permite identificarea directă sau indirectă a persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică sau pentru a fi arhivate, în conformitate cu normele și condițiile prevăzute la articolul 83 și la articolul 83a, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea și dacă se iau măsuri tehnice și organizatorice adecvate în vederea limitării accesului la date exclusiv în aceste scopuri (limitarea la minimum a stocării);

(ea)  prelucrate într-o manieră care îi permite persoanei vizate să își exercite drepturile într-un mod eficient (eficacitate);

(eb)  prelucrate într-un mod care le protejează împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (integritate);

(f)  să fie prelucrate sub răspunderea operatorului, care asigură și demonstrează poate demonstra conformitatea fiecărei operațiuni de prelucrare cu dispozițiile prezentului regulament (responsabilitatea). [AM 99]

Articolul 6

Legalitatea prelucrării

(1)  Prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)  persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)  prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate;

(c)  prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d)  prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;

(e)  prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f)  prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau, în cazul divulgării de un terț căruia îi sunt divulgate datele, și care satisface așteptările legitime ale persoanei vizate bazate pe relația sa cu operatorul, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor.

(2)  Prelucrarea datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83.

(3)  Temeiul juridic pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(a)  dreptul Uniunii sau

(b)  legislația statului membru care se aplică operatorului.

Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit. În limitele prezentului regulament, legislația statului membru poate prevede detaliile referitoare la legalitatea prelucrării, în special în ceea ce privește operatorii de date, scopul prelucrării și limitarea acestui scop, caracteristicile datelor și ale persoanelor vizate, măsurile și procedurile de prelucrare, destinatarii și durata stocării.

(4)  În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (e). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract.

(5)  Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor. [AM 100]

Articolul 7

Condiții privind consimțământul

(1)  Când prelucrarea se bazează pe consimțământ, operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate.

(2)  În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază clar de celălalt aspect. Dispozițiile privind consimțământul persoanei vizate care încalcă parțial prezentul regulament sunt complet nule.

(3)  Fără a aduce atingere altor temeiuri juridice pentru prelucrare, persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Retragerea consimțământului se face la fel de simplu ca și acordarea acestuia. Persoana vizată este informată de operator dacă retragerea consimțământului poate duce la întreruperea serviciilor furnizate sau a relației cu operatorul.

(4)  Consimțământul nu reprezintă un temei juridic pentru prelucrare are un scop limitat și își pierde valabilitatea atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului scopul încetează să existe sau de îndată ce prelucrarea datelor cu caracter personal nu mai este necesară pentru realizarea scopurilor pentru care datele au fost inițial colectate. Executarea unui contract sau prestarea unui serviciu nu sunt condiționate de consimțământul cu privire la prelucrarea sau utilizarea datelor care nu sunt necesare pentru executarea contractului sau pentru prestarea serviciului, în conformitate cu articolul 6 alineatul (1) litera (b). [AM 101]

Articolul 8

Prelucrarea datelor cu caracter personal ale minorilor

(1)  În sensul prezentului regulament, în ceea ce privește oferirea de bunuri sau servicii ale societății informaționale în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de tutorele reprezentantul legal al minorului. Operatorul depune toate eforturile rezonabile pentru a obține verifica consimțământul verificabil, ținând seama de tehnologiile disponibile, fără a genera prelucrarea inutilă a datelor cu caracter personal.

(1a)  Informațiile prezentate minorilor, părinților și reprezentanților legali pentru ca aceștia să-și exprime consimțământul, inclusiv referitoare la colectarea și utilizarea de date cu caracter personal ale operatorului, ar trebui prezentate într-un limbaj clar, adaptat publicului vizat.

(2)  Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un minor.

(3)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor referitoare la metodele de a obține consimțământul verificabil menționate la alineatul (1). În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și cele mai bune practici referitoare la metodele de verificare a consimțământului menționate la alineatul (1), în conformitate cu articolul 66.

(4)  Comisia poate să stabilească formulare tip pentru metodele specifice de obținere a consimțământului verificabil menționat la alineatul (1). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 102]

Articolul 9

Prelucrarea categoriilor Categorii speciale de date cu caracter personal

(1)  Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, orientarea sexuală sau identitatea de gen, apartenența sindicală și activitățile sindicale, precum și prelucrarea datelor genetice sau biometrice sau a datelor privind sănătatea, viața sexuală, sancțiunile administrative, hotărârile, infracțiunile penale sau infracțiunile presupuse, condamnările sau măsurile de securitate conexe.

(2)  Alineatul (1) nu se aplică atunci când în următoarele situații:

(a)  persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată sau

(aa)  prelucrarea este necesară pentru executarea unui contract din care face parte persoana vizată sau pentru luarea unor măsuri precontractuale la solicitarea persoanei vizate înainte de încheierea unui contract;

(b)  prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru sau de acorduri colective care prevede prevăd garanții adecvate pentru protejarea drepturilor fundamentale ale persoanei vizate, cum ar fi dreptul la nediscriminare, sub rezerva condițiilor și garanțiilor prevăzute la articolul 82; sau

(c)  prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul sau

(d)  prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate sau

(e)  prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată sau

(f)  prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau

(g)  prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public ridicat, executate în baza dreptului Uniunii sau a legislației unui stat membru care este proporțională cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsurile corespunzătoare pentru protejarea drepturilor fundamentale și intereselor legitime ale persoanei vizate sau

(h)  prelucrarea datelor privind sănătatea este necesară în scopuri legate de sănătate și sub rezerva face obiectul condițiilor și a garanțiilor prevăzute la articolul 81 sau

(i)  prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83 sau

(ia)  prelucrarea este necesară serviciilor de arhivare, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83a sau

(j)  prelucrarea datelor referitoare la sancțiuni administrative, hotărâri, infracțiuni penale, condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate legate de drepturile fundamentale și interesele persoanei vizate. Un Orice registru complet al condamnărilor penale este ținut numai sub controlul autorității publice.

(3)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor, condițiilor și garanțiilor corespunzătoare Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2), în conformitate cu articolul 66. [AM 103]

Articolul 10

Prelucrarea care nu permite identificarea

(1)  În cazul în care datele prelucrate de către un operator nu îi permit acestuia sau persoanei împuternicite de către operator să identifice direct sau indirect o persoană fizică sau consistă doar din date pseudonime, operatorul nu are obligația de a prelucrează și nici nu obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții ale a prezentului regulament.

(2)  Atunci când operatorul de date nu este în măsură să respecte o anumită dispoziție a prezentului regulament din cauza alineatului (1), operatorul nu este obligat să respecte dispoziția respectivă. Atunci când, în consecință, operatorul de date nu este în măsură să se conformeze cererii persoanei vizate, operatorul informează persoana vizată în mod corespunzător. [AM 104]

Articolul 10a

Principii generale privind drepturile persoanelor vizate

(1)  Temeiul protecției datelor îl constituie drepturile clare și fără ambiguități ale persoanei vizate, fapt respectat de operatorul de date. Dispozițiile prezentului regulament au scopul de a întări, clarifica, garanta și, după caz, codifica aceste drepturi.

(2)  Aceste drepturi includ, printre altele, furnizarea de informații clare și ușor de înțeles privind prelucrarea datelor sale cu caracter personal, dreptul de acces, de rectificare și de ștergere a datelor cu caracter personal, dreptul de a obține date, dreptul de a se opune creării de profiluri, dreptul de a depune o plângere în fața autorității competente de protecție a datelor, .dreptul de a introduce o acțiune în justiție, precum și dreptul la compensații și despăgubiri în urma unei operațiuni de prelucrare ilegale. Aceste drepturi se exercită în general gratuit. Operatorul de date răspunde cererilor persoanei vizate într-un termen rezonabil. [AM 105]

CAPITOLUL III

DREPTURILE PERSOANEI VIZATE

SECȚIUNEA 1

TRANSPARENȚĂ ȘI MODALITĂȚI

Articolul 11

Transparența informațiilor și a comunicărilor

(1)  Operatorul aplică politici concise, transparente, clare și ușor de accesat în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate.

(2)  Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, adaptat în funcție de persoana vizată, în special pentru orice informație adresată în mod expres unui minor. [AM 106]

Articolul 12

Proceduri și mecanisme de exercitare a drepturilor persoanei vizate

(1)  Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică, atunci când este posibil.

(2)  Operatorul informează persoana vizată fără întârziere nejustificată și, cel târziu, în termen de o lună 40 de zile calendaristice de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15-19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris sau, dacă este posibil, operatorul de date poate furniza acces de la distanță la o platformă online sigură, care să ofere persoanei vizate posibilitatea de a-și consulta direct datele cu caracter personal. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, dacă este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

(3)  În cazul în care operatorul refuză nu să ia măsuri la cererea persoanei vizate, acesta informează persoana vizată cu privire la motivele refuzului inacțiunii sale și la posibilitățile de a depune o plângere în fața autorității de supraveghere și de a introduce o cale de atac în justiție.

(4)  Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă rezonabilă care să țină cont de costurile administrative pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate să nu ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii.

(5)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și condițiilor privind cererile vădit excesive și taxele menționate la alineatul (4).

(6)  Comisia poate stabili formulare tip și proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 107]

Articolul 13

Drepturi referitoare la destinatari Obligația de notificare în caz de rectificare și ștergere

Operatorul comunică fiecărui destinatar căruia i-au fost dezvăluite transferate datele orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat. Operatorul informează persoana vizată despre respectivele părți terțe. Operatorul informează persoana vizată cu privire la acești destinatari dacă persoana vizată o cere. [AM 108]

Articolul 13a

Politici de informare standardizate

(1)  În cazul în care sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul îi furnizează respectivei persoane următoarele date înainte de a obține informații în conformitate cu articolul 14:

(a)  dacă datele personale sunt colectate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării;

(b)  dacă datele cu caracter personal sunt stocate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării;

(c)  dacă datele cu caracter personal sunt prelucrate în alte scopuri decât scopul pentru care au fost colectate;

(d)  dacă date cu caracter personal sunt diseminate unor părți terțe comerciale;

(e)  dacă datele cu caracter personal sunt vândute sau închiriate;

(f)  dacă datele cu caracter personal sunt stocate în formă criptată.

(2)  Datele prevăzute la alineatul (1) sunt prezentate în conformitate cu anexa la prezentul regulament într-un format aliniat sub formă de tabel, cu texte și simboluri, pe următoarele trei coloane:

(a)  prima coloană descrie formele grafice care simbolizează aceste date;

(b)  cea de a doua coloană conține informații esențiale care descriu aceste date;

(c)  cea de a treia coloană descrie formele grafice care indică dacă un element specific este respectat.

(3)  Informațiile menționate la alineatele (1) și (2) sunt prezentate într-un mod vizibil și ușor lizibil și apar într-o limbă ușor de înțeles de către consumatorii din statele membre cărora le sunt furnizate informațiile. În cazul în care datele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

(4)  Nu se furnizează date suplimentare. Se pot furniza explicații detaliate sau observații suplimentare în ceea ce privește datele prevăzute la alineatul (1) împreună cu celelalte cerințe privind informațiile conforme cu articolul 14.

(5)  Comisia este abilitată să adopte, după solicitarea unui aviz Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în vederea descrierii suplimentare a datelor menționate la alineatul 1 și a prezentării lor, astfel cum se menționează la alineatul (2) și în anexa la prezentul regulament. [AM 109]

SECȚIUNEA 2

INFORMARE ȘI ACCES LA DATE

Articolul 14

Informații pentru persoana vizată

(1)  Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate cel puțin următoarele informații, după ce informațiile următoare, în conformitate cu articolul 13a, au fost furnizate:

(a)  identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;

(b)  scopurile specifice în care sunt prelucrate datele cu caracter personal, precum și informații specifice privind securitatea prelucrării datelor cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și interesele legitime urmărite de operator în, atunci când este cazul, informații cu privire la felul în care prelucrarea se întemeiază pe se aplică și se respectă cerințele de la articolul 6 alineatul (1) litera (f);

(c)  perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(d)  existența dreptului de a solicita operatorului accesul la datele cu caracter personal referitoare la persoana vizată, precum și rectificarea sau ștergerea acestora, sau a dreptului de a se opune prelucrării acestor date cu caracter personal sau de a obține date;

(e)  dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(f)  destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(g)  dacă este cazul, intenția operatorului de a efectua un transfer de date către o țară terță sau o organizație internațională și nivelul de protecție oferit de țara terță sau de organizația internațională respectivă, prin trimitere la o decizie existența sau absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție, în cazul transferurilor menționate la articolul 42 sau 43, prin trimitere la garanțiile adecvate și la mijloacele de a obține o copie a acestora;

(ga)  după caz, informații cu privire la existența creării de profiluri, a unor măsuri bazate pe crearea de profiluri și cu privire la efectele preconizate de crearea de profiluri asupra persoanei vizate;

(gb)  informații pertinente despre logica ce stă la baza oricărei operațiuni de prelucrare automatizată;

(h)  orice altă informație care este necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate sau prelucrate datele cu caracter personal, în special existența anumitor activități și operațiuni de prelucrare în privința cărora evaluările de impact asupra datelor cu caracter personal au indicat existența unui risc ridicat;

(ha)  atunci când este cazul, informații care indică dacă datele cu caracter personal au fost furnizate autorităților publice în cursul ultimelor 12 luni consecutive.

(2)  În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de pe lângă informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau voluntar opțional al furnizării datelor cu caracter personal, precum și cu privire la eventualele consecințe ale refuzului de a furniza aceste nefurnizării acestor date.

(2a)  La luarea deciziei cu privire la informațiile suplimentare necesare pentru asigurarea unei prelucrări corecte în temeiul alineatului (1) litera (h), operatorii țin seama de liniile directoare aplicabile în temeiul articolului 34.

(3)  În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele specifice cu caracter personal. Dacă datele cu caracter personal provin din surse aflate la dispoziția publicului, poate fi oferită o indicație generală.

(4)  Operatorul furnizează informațiile menționate la alineatele (1), (2) și (3):

(a)  în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau fără întârzieri nejustificate atunci când prima opțiune nu este viabilă; sau

(aa)  la solicitarea unui organism, unei organizații sau asociații menționate la articolul 73;

(b)  în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea transferul acestora către un alt destinatar, și cel târziu în momentul primului transfer sau, dacă datele sunt utilizate pentru a comunica cu persoana în cauză, cel târziu în momentul în care datele sunt comunicate pentru are loc prima dată comunicare cu persoana respectivă; sau

(ba)  numai la cerere atunci când datele sunt prelucrate de o întreprindere mică sau de o microîntreprindere care prelucrează date cu caracter personal doar ca o activitate auxiliară.

(5)  Dispozițiile alineatelor (1) - (4) nu se aplică atunci când:

(a)  persoana vizată deține deja informațiile menționate la alineatele (1), (2) și (3) sau

(b)  datele sunt prelucrate în scopuri istorice, statistice sau științifice care fac obiectul condițiilor și garanțiilor prevăzute la articolul 81 sau articolul 83, nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat iar operatorul a publicat informațiile astfel încât să fie preluate de oricine; sau

(c)  datele nu sunt colectate de la persoana vizată, iar înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege legea sub incidența căreia intră operatorul, care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, având în vedere riscurile prezentate de prelucrarea și de natura datelor cu caracter personal; sau

(d)  datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații aduce atingere drepturilor și libertăților altor persoane fizice, astfel cum sunt definite în dreptul Uniunii sau în legislația unui stat membru, în conformitate cu articolul 21;

(da)  datele sunt prelucrate în cadrul profesiei, sau sunt încredințate sau devin cunoscute unei persoane supuse obligației secretului profesional reglementat de legislația Uniunii sau de dreptul statului membru sau unei obligații legale de a păstra secretul, în cazul în care datele nu sunt colectate direct de la persoana vizată.

(6)  În cazul menționat la alineatul (5) litera (b), operatorul prevede măsuri corespunzătoare pentru protejarea drepturilor sau intereselor legitime ale persoanei vizate.

(7)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(8)  Comisia poate stabili formulare tip pentru transmiterea informațiilor menționate la alineatele (1) - (3), ținând seama, dacă este cazul, de particularitățile și nevoile specifice ale diverselor sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 110]

Articolul 15

Dreptul de acces și de obținere de date al persoanei vizate

(1)  Sub rezerva articolului 12 alineatul (4), persoana vizată are dreptul de a obține din partea operatorului, într-un limbaj clar și simplu, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate. În cazul în care aceste date cu caracter personal sunt prelucrate, operatorul furnizează următoarele informații:

(a)  scopurile prelucrării pentru fiecare categorie de date cu caracter personal;

(b)  categoriile de date cu caracter personal vizate;

(c)  destinatarii sau categoriile de destinatari cărora datele cu caracter personal urmează să le fie divulgate sau le-au fost divulgate, în special dacă inclusiv destinatarii sunt din țări terțe;

(d)  perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e)  existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date;

(f)  dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(g)  comunicarea datelor cu caracter personal care sunt în curs de prelucrare și a oricărei informații disponibile cu privire la originea datelor;

(h)  importanța și consecințele preconizate ale prelucrării, cel puțin în cazul măsurilor menționate la articolul 20.;

(ha)  informații pertinente despre logica care stă la baza oricărei operațiuni de prelucrare automatizată;

(hb)  fără a aduce atingere articolului 21, în cazul divulgării datelor cu caracter personal unei autorități publice ca urmare a unei cereri din partea unei autorități publice, confirmarea faptului că această cerere a fost făcută.

(2)  Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic structurat, cu excepția cazului în care persoana vizată solicită un alt format. Fără a aduce atingere articolului 10, operatorul ia toate măsurile necesare pentru a verifica dacă persoana care solicită accesul la date este persoana vizată.

(2a)  În cazul în care persoana vizată a furnizat date cu caracter personal, iar datele cu caracter personal sunt prelucrate electronic, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor cu caracter personal furnizate într-un format electronic interoperabil care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date, fără a fi împiedicată de operatorul de la care sunt retrase datele cu caracter personal. Atunci când este acest lucru este fezabil din punct de vedere tehnic și fizic posibil, datele se transferă direct de la operator la operator, la cererea persoanei vizate.

(2b)  Prezentul articol nu aduce atingere obligației de a șterge datele atunci când acestea nu mai sunt necesare, conform articolului 5 alineatul (1) litera (e).

(2c)  În temeiul alineatelor (1) și (2), nu există drept de acces atunci când sunt vizate date în sensul articolului 14 alineatul (5) litera (da), cu excepția cazului în care persoana vizată este abilitată să înlăture confidențialitatea în cauză și acționează în consecință.

(3)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind comunicarea către persoana vizată a conținutului datelor cu caracter personal menționate la alineatul (1) litera (g).

(4)  Comisia poate specifica formele și procedurile standard pentru solicitarea și acordarea accesului la informațiile menționate la alineatul (1), inclusiv pentru verificarea identității persoanei vizate și comunicarea datelor cu caracter personal către persoana vizată, ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 111]

SECȚIUNEA 3

RECTIFICARE ȘI ȘTERGERE

Articolul 16

Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator rectificarea datelor sale cu caracter personal care sunt inexacte. Persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații corective suplimentare.

Articolul 17

Dreptul lauitat și de a fi ștergere

(1)  Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea difuzării acestor date, în special în ceea ce privește datele cu caracter personal care sunt puse la dispoziție de către persoana vizată atunci când era minor și de a obține din partea terților ștergerea oricăror legături către acestea sau copierea sau replicarea lor, în cazul în care se aplică unul dintre următoarele motive:

(a)  datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b)  persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de stocare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea datelor;

(c)  persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19;

(ca)  o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie șterse;

(d)  prelucrarea datelor nu este conformă cu prezentul regulament din alte motive datele au fost prelucrate ilegal.

1a.  Aplicarea alineatului (1) depinde de capacitatea operatorului de date de a verifica dacă persoana care a solicitat ștergerea este persoana vizată.

(2)  În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal fără o justificare în temeiul articolului 6 alineatul (1), acesta ia toate măsurile rezonabile pentru ca datele să fie șterse, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective de terți, fără a aduce atingere articolului 77. Operatorul informează persoana în cauză, dacă este posibil, cu privire la acțiunile întreprinse de părțile terțe relevante.

(3)  Operatorul și, după caz, terțul, efectuează ștergerea fără întârziere, cu excepția cazului în care păstrarea datelor cu caracter personal este necesară:

(a)  pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80;

(b)  din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81;

(c)  în scopuri istorice, statistice și științifice, în conformitate cu articolul 83;

(d)  pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte esența dreptului dreptul la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit;

(e)  în cazurile prevăzute la alineatul (4).

(4)  În loc să le șteargă, operatorul limitează prelucrarea datelor cu caracter personal în așa fel încât datele să nu mai poată face obiectul accesului obișnuit și al operațiunilor de prelucrare și să nu mai poată fi modificate, în cazul în care:

(a)  persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor;

(b)  operatorul nu mai are nevoie de datele cu caracter personal pentru a-și îndeplini atribuțiile, dar acestea trebuie să fie păstrate ca dovadă;

(c)  prelucrarea acestora este ilegală, iar persoana vizată se opune ștergerii datelor, solicitând, în schimb, restricționarea utilizării lor;

(ca)  o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie restricționate;

(d)  persoana vizată solicită transferul datelor cu caracter personal în alt sistem de prelucrare automată a datelor, în conformitate cu articolul 18 15 paragraful 2 2a;

(da)  tipul specific de stocare nu permite ștergerea și a fost instalat înainte de intrarea în vigoare a prezentului regulament.

(5)  Datele cu caracter personal menționate la alineatul (4) pot fi prelucrate, cu excepția stocării, doar în scop probatoriu, fie cu consimțământul persoanei vizate, fie pentru protejarea drepturilor altor persoane fizice ori juridice fie pentru un obiectiv de interes public.

(6)  În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (4), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare.

(7)  Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor.

(8)  În cazul în care se efectuează ștergerea, operatorul nu prelucrează în niciun alt fel datele personale.

(8a)  Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor.

(9)  Comisia este mandatată să adopte, după solicitarea unui aviz al Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în scopul de a detalia:

(a)  criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor;

(b)  condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2);

(c)  criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4). [AM 112]

Articolul 18

Dreptul la portabilitatea datelor

(1)  În cazul în care datele cu caracter personal sunt prelucrate electronic într-un format structurat care este utilizat în mod curent, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor care fac obiectul prelucrării electronice într-un format electronic structurat care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date.

(2)  În cazul în care persoana vizată a furnizat datele cu caracter personal și prelucrarea se bazează pe consimțământul acesteia sau pe un contract, persoana vizată are dreptul de a transmite aceste date cu caracter personal, precum și orice altă informație furnizată de persoana vizată și păstrată de un sistem automatizat de prelucrare, într-un alt sistem, într-un format electronic care este utilizat în mod curent, fără ca operatorul de la care sunt retrase datele cu caracter personal să poată împiedica acest lucru.

(3)  Comisia poate specifica formatul electronic prevăzut la alineatul (1), precum și normele tehnice, modalitățile și procedurile de transmitere a datelor cu caracter personal în conformitate cu alineatul (2). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 113]

SECȚIUNEA 4

DREPTUL LA OPOZIȚIE ȘI CREAREA DE PROFILURI

Articolul 19

Dreptul la opoziție

(1)  În orice moment, persoana vizată are dreptul de a se opune, pe motive legate de situația specială în care se află, prelucrării datelor cu caracter personal pe care se bazează pe articolul 6 alineatul (1) literele (d), și (e) și (f), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

(2)  Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct se bazează pe articolul 6 alineatul (1) litera (f), persoana vizată are dreptul, în orice moment și fără o justificare suplimentară, de a se opune gratuit în general sau într-un scop specific prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații.

(2a)  Acest drept menționat la alineatul (2) este explicit oferit persoanei vizate, într-un mod și într-o formă inteligibile, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor, care să se poată distinge în mod clar de alte informații.

(2b)  În contextual utilizării serviciilor societății informaționale și fără a aduce atingere Directivei 2002/58/CE, dreptul la opoziție poate fi exercitat prin mijloace automate, folosind standarde tehnice care permit persoanei vizate să își exprime în mod clar dorințele.

(3)  n cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal în scopurile stabilite în opoziție. [AM 114]

Articolul 20

Măsuri bazate peCrearea de profiluri

(1)  Fără a aduce atingere dispozițiilor articolului 6, orice persoană fizică are dreptul de a nu fi supusă unei măsuri care produce efecte juridice privind această persoană fizică sau care o afectează în mod semnificativ și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană fizică sau să analizeze ori să prevadă, în special, performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acestuia se opune creării de profiluri, în conformitate cu articolul 19. Persoana vizată este informată cu privire la dreptul de a se opune creării de profiluri într-un mod foarte vizibil.

(2)  Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă unei creării de profiluri care duce la măsuri de acest tip, astfel cum se prevede la alineatul (1), care dau naștere unor efecte juridice privind persoana vizată sau are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate numai dacă prelucrarea datelor:

(a)  se efectuează în faza de încheiere sau deeste necesară pentru executarea unui contract, atunci când a fost acceptată cererea de încheiere sau de executare a contractului, depusă de persoana vizată sau atunci când dacă au fost invocate măsuri corespunzătoare intereselor legitime ale persoanei vizate, cum ar fi dreptul de a obține intervenție umană; sau

(b)  este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate; sau

(c)  se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare.

(3)  Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică Se interzice crearea de profiluri care are drept efect discriminarea împotriva persoanelor fizice pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen sau care are drept rezultat măsuri ce au astfel de efecte. Operatorul asigură protecția eficace împotriva tuturor discriminărilor care pot decurge din crearea de profiluri. Crearea de profiluri nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9.

(4)  În cazurile menționate la alineatul (2), informațiile pe care operatorul trebuie să le furnizeze în temeiul articolului 14 includ informații despre existența prelucrării, pentru o măsură de tipul celei la care se face referire la alineatul (1), precum și despre efectele preconizate ale acestei prelucrări asupra persoanei vizate.

(5)  Crearea de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate nu se bazează exclusiv ou în principal pe prelucrarea automatizată și include o apreciere umană, inclusiv explicația privind decizia luată în urma acestei aprecieri. Măsurile corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2) includ dreptul de a obține o apreciere umană și explicația privind decizia luată în urma acestei aprecieri.

(5a)  Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) cu scopul detalierii criteriilor și condițiilor aplicabile creării de profiluri în temeiul alineatului (2). [AM 115]

SECȚIUNEA 5

Restricții

Articolul 21

Restricții

(1)  Legislația Uniunii sau a statului membru poate restrânge printr-o măsură legislativă domeniul de aplicare a obligațiilor și a drepturilor prevăzute la articolul 5 literele (a) - (e), la articolele 11 - 20 și la articolul 32, atunci când o astfel de restricție articolele 11-19 și la articolul 32, cu condiția ca această restricție să îndeplinească un obiectiv clar definit de interes public, să respecte esența dreptului la protecția datelor cu caracter personal, să fie proporțională cu scopul legitim urmărit și să respecte drepturile fundamentale și interesele persoanei vizate și constituie o măsură necesară și proporțională într-o societate democratică pentru a:

(a)  garanta securitatea publică;

(b)  asigura prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor;

(c)  proteja alte interese publice ale Uniunii Europene sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și domeniul fiscal, precum și stabilitatea și integritatea pieței;

(d)  asigura prevenirea, investigarea, detectarea și punerea sub urmărire a încălcării eticii în cazul profesiunilor reglementate;

(e)  asigura funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de exercitarea în cadrul exercitării autorității publice competente în cazurile menționate la literele (a), (b),(c) și (d);

(f)  asigura protecția persoanei vizate sau a drepturilor și libertăților altora.

(2)  În special, orice măsură legislativă menționată la alineatul (1) conține trebuie să fie necesară și proporțională într-o societate democratică și să conțină dispoziții specifice, cel puțin în ceea ce privește obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului:

(a)  obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare;

(b)  stabilirea operatorului;

(c)  scopurile specifice și mijloacele de prelucrare;

(d)  garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegale;

(e)  dreptul persoanelor vizate de a fi informate despre restricții.

(2a)  Măsurile legislative menționate la alineatul (1) nu permit operatorilor privați să păstreze date în plus față de cele strict necesare pentru scopul inițial și nici nu impun obligații în acest sens. [AM 116]

CAPITOLUL IV

OPERATORUL ȘI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR

SECȚIUNEA 1

OBLIGAȚII GENERALE

Articolul 22

Responsabilitatea și răspunderea operatorului

(1)  Operatorul adoptă politici corespunzătoare și pune în aplicare măsuri tehnice și organizatorice adecvate și demonstrabile pentru a garanta și a putea demonstra în mod transparent că prelucrarea datelor cu caracter personal se efectuează în conformitate cu prezentul regulament, ținând cont de cele mai noi tehnologii în materie, de natura procedurii de prelucrare a datelor cu caracter personal, de contextul, amploarea și scopurile prelucrării, de riscurile la adresa drepturilor și libertăților persoanelor vizate, precum și de tipul organizației, atât la momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise.

(1a)  Având în vedere stadiul actual al tehnicii și costurile punerii în aplicare, operatorul ia toate măsurile rezonabile pentru a aplica politici și proceduri de conformare care respectă în permanență opțiunile autonome ale persoanelor vizate. Aceste politici de conformare sunt revizuite cel puțin o dată la doi ani și actualizate ori de câte ori este necesar.

(2)  Măsurile prevăzute la alineatul (1) cuprind în special:

(a)  păstrarea documentației, în conformitate cu articolul 28;

(b)  punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 30;

(c)  efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 33;

(d)  respectarea cerințelor privind autorizarea prealabilă sau consultarea prealabilă a autorității de supraveghere, în conformitate cu articolul 34 alineatele (1) și (2);

(e)  desemnarea unui responsabil cu protecția datelor, în conformitate cu articolul 35 alineatul (1).

(3)  Operatorul pune în aplicare mecanisme pentru a asigura verificarea eficacității este în măsură să demonstreze caracterul adecvat și eficacitatea măsurilor menționate la alineatele (1) și (2). Dacă se dovedește a fi proporțională, această verificare va fi efectuată de auditori interni sau externi independenți. Toate rapoartele periodice generale ale activităților operatorului, precum rapoartele obligatorii ale societăților cotate la bursă, cuprind o descriere sintetică a politicilor și măsurilor menționate la alineatul (1).

(3a)  Operatorul are dreptul să transmită datele cu caracter personal în interiorul Uniunii în cadrul grupului de întreprinderi din care acesta face parte, atunci când această etapă a prelucrării este necesară în scopuri administrative interne și legitime între domenii de activitate conectate ale grupului de întreprinderi și atât timp cât un nivel corespunzător de protecție a datelor, precum și protecția intereselor persoanelor vizate sunt garantate de norme interne de protecție a datelor sau de coduri de conduită echivalente, astfel cum sunt menționate la articolul 38.

(4)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor măsurilor corespunzătoare menționate la alineatul (1), altele decât cele menționate la alineatul (2), condițiile pentru verificare și mecanismele de audit menționate la alineatul (3) și criteriile de proporționalitate prevăzute la alineatul (3), și în scopul de a prevedea măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii. [AM 117]

Articolul 23

Protecția datelor începând cu momentul conceperii și protecția implicită a datelor

(1)  Având în vedere stadiul actual al tehnicii și costurile de implementare, cunoștințele tehnice actuale, cele mai bune practici interne și riscurile reprezentate de prelucrarea datelor, operatorul și persoana împuternicită de acesta, dacă există, pun în aplicare, atât în momentul stabilirii scopurilor și mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare și proporționale, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate, îndeosebi în ceea ce privește principiile menționate la articolul 5. Protecția datelor încă din momentul conceperii ține seama în mod deosebit de gestionarea întregului ciclu de viață al datelor cu caracter personal, de la colectare la prelucrare și la eliminare, axându-se în mod sistematic pe garanții procedurale cuprinzătoare cu privire la acuratețea, confidențialitatea, integritatea, securitatea fizică și eliminarea datelor cu caracter personal. În cazul în care operatorul a realizat o evaluare a impactului asupra protecției datelor în temeiul articolului 33, se ține seama de rezultatele acesteia în elaborarea măsurilor și procedurilor.

(1a)  Pentru stimularea unei aplicări generalizate în diferite sectoare economice, protecția datelor încă din faza de concepție reprezintă o condiție prealabilă obligatorie pentru procedurile de achiziții publice, în conformitate cu Directiva 2004/18/CE a Parlamentului European și a Consiliului(18), precum și cu Directiva 2004/17/CE a Parlamentului European și a Consiliului(19) (Directiva privind utilitățile publice).

(2)  Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate sau, păstrate sau diseminate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane și că persoanele vizate pot să controleze gradul de difuzare a datelor lor cu caracter personal.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor și mecanismelor de certificare menționate la alineatele (1) și (2), în special în ceea ce privește cerințele legate de protecția datelor începând cu momentul conceperii aplicabile în cazul tuturor sectoarelor, al produselor și al serviciilor.

(4)  Comisia poate stabili standarde tehnice pentru cerințele menționate la alineatele (1) și (2). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 118]

Articolul 24

Operatori asociați

Atunci când un operator stabilește, împreună cu alți mai mulți operatori stabilesc în comun scopul și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați își îndeplinesc, în egală măsură, responsabilitățile în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. Acordul reflectă în mod corespunzător rolurile și relațiile efective ale operatorilor asociați față de persoanele vizate, iar esența acestuia este făcută cunoscută persoanelor vizate. În cazul unor neclarități privind responsabilitățile, operatorii sunt responsabili în mod solidar. [AM 119]

Articolul 25

Reprezentanții operatorilor care nu își au sediul în Uniune

(1)  În situația menționată la articolul 3 alineatul (2), operatorul desemnează un reprezentant în Uniune.

(2)  Prezenta obligație nu se aplică:

(a)  unui operator cu sediul într-o țară terță, în cazul în care Comisia a decis că această țară terță asigură un nivel adecvat de protecție în conformitate cu articolul 41; sau

(b)  unei întreprinderi cu mai puțin de 250 de angajați; unui operator care prelucrează date cu caracter personal referitoare la un număr mai mic de 5 000 de persoane vizate pe parcursul a 12 luni consecutive și unui operator care nu prelucrează categorii speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), date de localizare sau date referitoare la minori sau angajați din sistemele de evidență a datelor de mari dimensiuni sau

(c)  unei autorități sau unui organism public; sau

(d)  unui operator care furnizează numai ocazional bunuri sau servicii persoanelor vizate care își au reședința pe teritoriul Uniunii, cu excepția cazului în care prelucrarea datelor cu caracter special privește categoriile speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), datele de localizare sau datele referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni.

(3)  Reprezentantul își are sediul în unul dintre statele membre în care își au reședința persoanele vizate ale căror date cu caracter personal sunt prelucrate în legătură cu se produc furnizarea de bunuri și servicii sau a căror conduită este monitorizată persoanelor vizate sau monitorizarea lor.

(4)  Desemnarea unui reprezentant de către operator nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși. [AM 120]

Articolul 26

Persoana împuternicită de către operator

(1)  În cazul în care o operațiune de prelucrare prelucrarea se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri.

(2)  Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul și care prevede, în special,. Operatorul și persoana împuternicită de către operator au libertatea de a stabili rolurile și sarcinile cu privire la cerințele prezentului regulament și se asigură că persoana împuternicită de către operator:

(a)  acționează prelucrează datele cu caracter personal numai la instrucțiunile operatorului, în special în cazul în care transferul de date cu caracter personal utilizate este interzis, cu excepția cazului în care dreptul Uniunii sau legislația statului membru prevede altfel;

(b)  angajează numai personal care s-a angajat să respecte confidențialitatea sau care sunt obligați prin lege să respecte confidențialitatea;

(c)  adoptă toate măsurile necesare în conformitate cu articolul 30;

(d)  recrutează o altă persoană împuternicită stabilește condițiile recrutării unei alte persoane împuternicite de către operator numai cu autorizarea prealabilă a operatorului, cu excepția unor dispoziții contrare;

(e)  în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, creează, în acord cu operatorul, condițiile tehnice și organizatorice necesare corespunzătoare și relevante pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III;

(f)  ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 30 și 34, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator;

(g)  transmite operatorului toate rezultatele după terminarea procesului de prelucrare, nu prelucrează în niciun alt mod datele cu caracter personal și elimină copiile existente, cu excepția cazului în care dreptului Uniunii sau legislația statelor membre prevede stocarea datelor;

(h)  pune la dispoziția operatorului și a autorității de supraveghere toate informațiile necesare pentru a se controla a demonstra respectarea obligațiilor prevăzute la prezentul articol și permite inspecții la fața locului.

(3)  Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligațiilor care îi revin persoanei împuternicite de către operator menționate la alineatul (2).

(3a)  Garanțiile suficiente menționate la alineatul (1) pot fi demonstrate prin aderarea la codurile de conduită sau mecanismele de certificare în conformitate cu articolele 38 și 39 din prezentul regulament.

(4)  În cazul în care o persoană împuternicită de către operator prelucrează date cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator sau devine parte determinantă în legătură cu scopul și mijloacele de prelucrare a datelor cu caracter personal, persoana împuternicită de către operator este considerată operator pentru prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 24.

(5)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente responsabilităților, drepturilor și sarcinilor unei persoane împuternicite de către operator în conformitate cu alineatul (1), precum și condițiilor care permit facilitarea procesului de prelucrare a datelor cu caracter personal în cadrul unui grup de întreprinderi, în special pentru verificare și raportare. [AM 121]

Articolul 27

Desfășurarea activității de prelucrare sub autoritatea operatorului și a persoanei împuternicite de către operator

Persoana împuternicită de către operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de către operator care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care legislația Uniunii sau a statului membru îl obligă să facă acest lucru.

Articolul 28

Documentația

(1)  Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la toate operațiunile de prelucrare derulate sub responsabilitatea sa actualizată periodic, necesară pentru îndeplinirea cerințelor prevăzute în prezentul regulament.

(2)  Această documentație cuprinde cel puțin În plus, fiecare operator și persoană împuternicită de operator păstrează documentație referitoare la următoarele informații:

(a)  numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau ale oricărei persoane împuternicite de către operator, dacă este cazul;

(b)  numele și datele de contact ale responsabilului cu protecția datelor, dacă este cazul;

(c)  scopul prelucrării datelor, inclusiv interesele legitime urmărite de responsabilul cu prelucrarea, atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (f);

(d)  o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care le privesc;

(e)   (c) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv operatorii numele și datele de contact ale operatorilor cărora le sunt comunicate datele cu caracter personal în interesul legitim pe care îl urmăresc , dacă există;

(f)  dacă este cazul, transferurile de date către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare;

(g)  o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

(h)  descrierea mecanismelor prevăzute la articolul 22 alineatul (3).

(3)  Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia.

(4)  Obligațiile menționate la alineatele (1) și (2) nu se aplică următoarelor categorii de operatori și persoane împuternicite de către operatori:

(a)  persoanelor fizice care prelucrează date cu caracter personal fără vreun interes comercial; sau

(b)  întreprinderilor sau organizațiilor cu mai puțin de 250 de angajați care prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale.

(5)  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului.

(6)  Comisia poate să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 122]

Articolul 29

Cooperarea cu autoritatea de supraveghere

(1)  Operatorul și, dacă este cazul, persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). [AM 123]

(2)  Ca urmare a exercitării, de către autoritatea de supraveghere, a competențelor prevăzute la articolul 53 alineatul (2), operatorul și persoana împuternicită de către operator răspund autorității de supraveghere într-un termen rezonabil stabilit de către autoritatea de supraveghere. Răspunsul include o descriere a măsurilor adoptate și a rezultatelor obținute, ca răspuns la observațiile autorității de supraveghere.

SECȚIUNEA 2

SECURITATEA DATELOR

Articolul 30

Securitatea prelucrării

(1)  Operatorul și persoana împuternicită de operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate care să fie în concordanță cu riscurile pe care le presupune prelucrarea și cu caracterul datelor cu caracter personal care trebuie protejate, ținând cont de rezultatele unei evaluări de impact privind protecția datelor în conformitate cu articolul 33, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.

(1a)  Având în vedere stadiul actual al tehnologiei și costurile punerii în aplicare, această politică de securitate trebuie să includă:

(a)  capacitatea de a asigura faptul că integritatea datelor cu caracter personal este validată;

(b)  capacitatea de a asigura o confidențialitate, integritate, disponibilitate și rezistență continuă a sistemelor și serviciilor de prelucrare a datelor cu caracter personal;

(c)  capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul în care un incident de natură fizică sau tehnică are un impact negativ asupra disponibilității, integrității și confidențialității sistemelor și serviciilor informatice;

(d)  în cazul prelucrării datelor sensibile cu caracter personal, în conformitate cu articolele 8 și 9, măsuri de securitate suplimentare pentru a garanta conștientizarea diferitelor situații care presupun riscuri și capacitatea de a adopta măsuri preventive, corective și de atenuare în timp aproape real pentru a răspunde vulnerabilităților și incidentelor detectate care ar putea constitui riscuri pentru securitatea datelor;

(e)  un proces pentru testarea, evaluarea și aprecierea eficacității politicilor, procedurilor și planurilor de securitate, al cărui scop este să asigure menținerea eficacității.

(2)  În urma unei evaluări a riscurilor, operatorul și persoana împuternicită de operator adoptă măsurile prevăzute la alineatul (1) pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale ori a pierderii accidentale, și pentru prevenirea oricărei forme de prelucrare ilegală, în special divulgarea, accesul sau diseminarea neautorizată ori modificarea datelor cu caracter personal. respectă cel puțin următoarele cerințe:

(a)  garantează că datele cu caracter personal pot fi accesate exclusiv de personalul autorizat și în scopuri autorizate din punct de vedere juridic;

(b)  protejează datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale sau ilegale, a pierderii sau deteriorării accidentale și a stocării, prelucrării, accesării sau divulgării neautorizate sau ilegale; precum și

(c)  asigură punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor, cu excepția cazului în care se aplică alineatul (4).

(4)  Comisia poate adopta, dacă este cazul, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special pentru a:

(a)  preveni accesul neautorizat la date cu caracter personal;

(b)  preveni orice act neautorizat de divulgare, citire, copiere, modificare, ștergere sau eliminare a datelor cu caracter personal;

(c)  asigura verificarea legalității operațiunilor de prelucrare.

Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 124]

Articolul 31

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

(1)  În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Notificarea autorității de supraveghere trebuie să fie însoțită de o explicație motivată în cazul în care aceasta nu are loc în termen de 24 de ore.

(2)  În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator imediat fără întârzieri nejustificate după ce s-a constatat încălcarea securității datelor cu caracter personal.

(3)  Notificarea menționată la alineatul (1) trebuie cel puțin:

(a)  să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză și categoriile și numărul de înregistrări de date în cauză;

(b)  să comunice identitatea și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(c)  să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal;

(d)  să descrie consecințele încălcării securității datelor cu caracter personal;

(e)  să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și a limita efectele acesteia.

Dacă este necesar, informațiile pot fi furnizate treptat.

(4)  Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită să fie suficientă pentru a permite autorității de supraveghere să verifice conformitatea cu prezentul articol și cu articolul 30. Documentația respectivă include numai informațiile necesare în acest scop.

(4a)  Autoritatea de supraveghere ține un registru public al tipurilor de încălcare notificate.

(5)  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a indica mai detaliat criteriile și cerințele necesare Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) pentru stabilirea încălcării și stabilirii întârzierilor nejustificate menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal.

(6)  Comisia poate stabili un format standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentației la care se face referire la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în această documentație. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 125]

Articolul 32

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1)  Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal, a vieții private a persoanei vizate, a drepturilor sau intereselor sale legitime, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal.

(2)  Informarea persoanei vizate prevăzută la alineatul (1) cuprinde o descriere a caracterului este detaliată și utilizează un limbaj clar și explicit. Ea descrie caracterul încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b) și, (c) și (d) și informațiile despre drepturile persoanei vizate, inclusiv căile de atac.

(3)  Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.

(4)  Fără a aduce atingere obligației operatorului de a comunica persoanei vizate încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a comunicat încă persoanei vizate că securitatea datelor sale cu caracter personal a fost încălcată, autoritatea de supraveghere poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.

(5)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal, vieții private, drepturilor și intereselor legitime ale persoanei vizate menționate la alineatul (1).

(6)  Comisia poate stabili forma în care persoana vizată este informată conform alineatului (1) și procedurile aplicabile respectivei informări. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 126]

Articolul 32a

Analiza riscurilor

(1)  Operatorul sau, după caz, persoana împuternicită de către operator efectuează o analiză a riscurilor privind impactul potențial al prelucrării de date planificate asupra drepturilor și libertăților persoanelor vizate, prin care evaluează dacă operațiunile sale de prelucrare pot prezenta riscuri specifice.

(2)  Următoarele operațiuni de prelucrare pot prezenta astfel de riscuri specifice:

(a)  prelucrarea de date cu caracter personal referitoare la un număr mai mare de 5 000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive;

(b)  prelucrarea unor categorii speciale de date, astfel cum sunt menționate la articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni;

(c)  elaborarea unui profil pentru măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă;

(d)  prelucrarea informațiilor cu caracter personal pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind bolile mentale sau infecțioase, atunci când datele sunt prelucrate în scopul luării de măsuri sau decizii care vizează anumite persoane pe scară largă;

(e)  monitorizarea automată pe scară largă a zonelor accesibile publicului;

(f)  alte operațiuni de prelucrare a datelor pentru care este necesară consultarea responsabilului cu protecția datelor sau a autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b);

(g)  atunci când o încălcare poate pune în pericol protecția datelor cu caracter personal, a vieții private, a drepturilor și intereselor legitime ale persoanelor vizate;

(h)  activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită monitorizarea periodică și sistematică a persoanelor vizate;

(i)  atunci când datele cu caracter personal sunt accesibile unui număr de persoane care nu poate fi în mod rezonabil estimat că este limitat.

(3)  Potrivit rezultatelor analizei riscurilor:

(a)  atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a) sau (b), operatorii care nu sunt stabiliți în Uniune desemnează un reprezentant în Uniune, în conformitate cu cerințele și derogările prevăzute la articolul 25;

(b)  atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b) sau (h), operatorul desemnează un responsabil cu protecția datelor, în conformitate cu cerințele și derogările prevăzute la articolul 35;

(c)  atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b), (c), (d), (e), (f), (g) sau (h), operatorul sau persoana împuternicită de către operator care acționează în numele operatorului efectuează o evaluare a impactului asupra protecției datelor, în conformitate cu articolul 33;

(d)  atunci când există operațiuni de prelucrare menționate la alineatul (2) litera (f), operatorul îl consultă pe responsabilul cu protecția datelor sau, în cazul în care nu a fost numit un responsabil cu protecția datelor, autoritatea de supraveghere, în conformitate cu articolul 34.

(4)  Analiza riscurilor se revizuiește cel târziu după un an sau imediat, în cazul în care natura, domeniul de aplicare sau scopul operațiunilor de prelucrare a datelor se modifică în mod semnificativ. Atunci când, în conformitate cu alineatul (3) litera (c), operatorul nu este obligat să efectueze o evaluare a impactului asupra protecției datelor, se păstrează documentele referitoare la analiza riscurilor. [AM 127]

SECȚIUNEA 3

EVALUAREA IMPACTULUI PRIVIND PROTECȚIA GESTIONAREA PROTECȚIEI DATELOR AUTORIZAȚIA PREALABILĂ PE DURATA CICLULUI DE VIAȚĂ [AM 128]

Articolul 33

Evaluarea impactului privind protecția datelor

(1)  Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor este necesar în temeiul articolului 32a alineatul (3) litera (c), operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, trebuie să efectueze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției drepturilor și libertăților persoanelor vizate, în special asupra dreptului lor la protecție a datelor cu caracter personal. O evaluare unică este suficientă pentru abordarea unui set de operațiuni de prelucrare similare care prezintă riscuri similare.

(2)  Următoarele operațiuni de prelucrare prezintă în special riscurile specifice la care se face referire la alineatul (1):

(a)  o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică sau care vizează analizarea ori întocmirea de previziuni în special în ceea ce privește situația economică a persoanei fizice, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acesteia, care se bazează pe prelucrarea automată și pe care se bazează măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă;

(b)  prelucrarea informațiilor privind viața sexuală, sănătatea, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase prelucrarea datelor pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă;

(c)  monitorizarea zonelor accesibile publicului, mai ales în cazul utilizării pe scară largă a dispozitivelor optoelectronice (supravegherea video);

(d)  procesarea datelor cu caracter personal în sistemele de evidență a datelor de mari dimensiuni privind minorii sau procesarea datelor biometrice sau genetice;

(e)  alte operațiuni de prelucrare de date pentru care este necesară consultarea autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b).

(3)  Evaluarea trebuie să cuprindă are în vedere gestionarea întregului ciclu de viață al datelor cu caracter personal, de la culegere la prelucrare și eliminare. Ea cuprinde cel puțin;

(a)  o descriere generală sistematică a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile, scopurile prelucrării și, după caz, interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate. urmărite de operator;

(b)  o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

(c)  o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate, inclusiv riscul de discriminare care poate fi implicat sau sporit de operație;

(d)  o descriere a măsurilor avute în vedere pentru evitarea riscurilor și reducerea la minimum a cantității de date cu caracter personal care sunt prelucrate;

(e)  o listă a garanțiilor, măsurilor de securitate și mecanismelor menite să asigure protecția datelor cu caracter personal, cum ar fi pseudonimizarea, și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate;

(f)  o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

(g)  o explicație referitoare la practicile de protecție a datelor de la momentul conceperii și de protecție implicită a datelor în temeiul articolului 23 care au fost puse în aplicare;

(h)  o listă a destinatarilor sau categoriile de destinatari ai datelor cu caracter personal;

(i)  dacă este cazul, o listă a transferurilor de date avute în vedere către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective ;

(j)  o evaluare a contextului prelucrării datelor.

(3a)  în cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta ar trebui să participe la procedurile de evaluare a impactului.

(3b)  Se păstrează documente referitoare la evaluare și se stabilește un calendar pentru analize periodice ale conformității privind protecția datelor în temeiul articolului 33a alineatul (1). Evaluarea este actualizată fără întârziere în cazul în care rezultatele analizei conformității privind protecția datelor menționate la articolul 33a indică probleme în ceea ce privește conformitatea. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun evaluarea la dispoziția autorității de supraveghere, la cererea acesteia.

(4)  Operatorul solicită avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare.

(5)  Atunci când operatorul este o autoritate sau un organism public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1) - (4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare.

(6)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind operațiunile de prelucrare care pot prezenta riscurile specifice menționate la alineatele (1) și (2), precum și cerințelor pentru evaluare la care se face referire la alineatul (3), inclusiv condițiile de scalabilitate, de verificare și posibilitatea auditării. În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(7)  Comisia poate să prevadă standarde și proceduri de realizare, verificare și auditare a evaluării menționate la alineatul (3). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 129]

Articolul 33a

Analiza conformității privind protecția datelor

(1)  În termen de cel mult doi ani de la realizarea unei evaluări a impactului în temeiul articolului 33 alineatul (1), operatorul sau persoana împuternicită de acesta, care acționează în numele operatorului, realizează o analiză a conformității. Această analiză a conformității demonstrează faptul că prelucrarea datelor cu caracter personal are loc în conformitate cu evaluarea impactului privind protecția datelor.

(2)  Analiza conformității se realizează periodic, cel puțin din doi în doi ani, sau imediat în cazul în care are loc o modificare a riscurilor specifice pe care le implică operațiunile de prelucrare.

(3)  În cazul în care rezultatele analizei conformității indică probleme privind conformitatea, analiza conformității conține recomandări cu privire la modalitățile prin care se poate atinge conformitatea deplină.

(4)  Se păstrează documentele referitoare la analiza conformității și recomandările pe care le conține. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun analiza conformității la dispoziția autorității de supraveghere, la cererea acesteia.

(5)  În cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta participă la procedurile de revizuire a conformității. [AM 130]

Articolul 34

Autorizarea prealabilă și consultarea prealabilă

(1)  Operatorul sau persoana împuternicită de către operator, după caz, obține o autorizație din partea autorității de supraveghere înainte de prelucrarea datelor cu caracter personal, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care un operator sau o persoană împuternicită de către operator adoptă clauzele contractuale prevăzute la articolul 42 alineatul (2) litera (d) sau nu oferă garanții corespunzătoare printr-un instrument obligatoriu din punct de vedere juridic, astfel cum se menționează la articolul 42 alineatul (5) în ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională.

(2)   (1) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, consultă responsabilul cu protecția datelor sau, în cazul în care acesta nu a fost numit, autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când:

(a)  o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 33, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare sau scopurile lor, un grad înalt de riscuri specifice; sau

(b)  responsabilul cu protecția datelor sau autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor, în conformitate cu alineatul (4).

(3)   Atunci când considerăstabilește în conformitate cu competențele sale că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(4)  Autoritatea de supraveghere întocmește și publică o listă de operațiuni de prelucrare care sunt supuse consultării prealabile în conformitate cu alineatul (2) litera (b). Autoritatea de supraveghere comunică aceste liste Comitetului european pentru protecția datelor.

(5)  În cazul în care lista prevăzută la alineatul (4) cuprinde activități de prelucrare care presupun furnizarea de bunuri și prestarea de servicii către persoane vizate din mai multe state membre sau la monitorizarea comportamentului lor ori pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57 înainte de adoptarea listei.

(6)  Operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere, la cerere, evaluarea impactului privind protecția datelor prevăzută la în conformitate cu articolul 33 și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și, în special, a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente.

(7)  Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptate de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate.

(8)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind stabilirea gradului înalt de risc specific prevăzut la alineatul 2 litera (a).

(9)  Comisia poate elabora formulare și proceduri standard pentru autorizațiile și consultările prealabile menționate la alineatele (1) și (2), precum și formulare și proceduri standard de informare a autorităților de supraveghere, în conformitate cu alineatul (6). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 131]

SECȚIUNEA 4

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 35

Desemnarea responsabilului cu protecția datelor

(1)  Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când:

(a)  prelucrarea este efectuată de o autoritate sau de un organism public; sau

(b)  prelucrarea este efectuată de o întreprindere cu 250 de angajați sau mai mult persoană juridică și implică peste 5000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive; sau

(c)  activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura lor, domeniul de aplicare și/sau scopul lor, necesită monitorizarea periodică și sistematică a persoanelor vizate. sau

(d)  activitățile de bază ale operatorului sau ale persoanei împuternicite de către operator constau în prelucrarea categoriilor speciale de date în conformitate cu articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni.

(2)  În cazul menționat la alineatul (1) litera (b),Un grup de întreprinderi poate numi un responsabil principal cu protecția datelor, cu condiția să se garantează că un responsabil cu protecția datelor este ușor accesibil din fiecare întreprindere.

(3)  În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor poate fi desemnat pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public.

(4)  În alte cazuri decât cele menționate la alineatul (1), operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor.

(5)  Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator.

(6)  Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese.

(7)  Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin patru ani în cazul unui angajat sau doi ani în cazul unui contractant extern de servicii. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale.

(8)  Responsabilul cu protecția datelor poate fi un angajat al operatorului sau al persoanei împuternicite de către operator ori poate să își îndeplinească atribuțiile în baza unui contract de servicii.

(9)  Operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului numele și datele de contact ale responsabilului cu protecția datelor.

(10)  Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament.

(11)  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 cu scopul de a specifica în detaliu criteriile și cerințele pentru activitățile principale ale operatorului sau ale persoanei împuternicite de către operator prevăzute la alineatul (1) litera (c), precum și criteriile privind calitățile profesionale ale responsabilului cu protecția datelor prevăzute la alineatul (5). [AM 132]

Articolul 36

Funcția responsabilului cu protecția datelor

(1)  Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)  Operatorul sau persoană împuternicită de către operator se asigură că responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și că nu primește instrucțiuni în privința exercitării funcției. Responsabilul cu protecția datelor răspunde direct în fața conducerii executive a operatorului sau a persoanei împuternicite de către operator. Operatorul sau persoană împuternicită de către operator desemnează în acest scop un membru al conducerii executive care este responsabil de conformitatea cu dispozițiile prezentului regulament.

(3)  Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție toate resursele, inclusiv personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37 și pentru menținerea competențelor sale profesionale.

(4)  Responsabilii cu protecția datelor au obligația de a respecta secretul privind identitatea persoanelor vizate și circumstanțele ce permit identificarea acestora, cu excepția cazului în care persoanele vizate îi eliberează de această obligație. [AM 133]

Articolul 37

Sarcinile responsabilului cu protecția datelor

(1)Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

(a)  sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, mai ales în ceea ce privește măsurile și procedurile tehnice și organizatorice, păstrarea unei evidențe a acestei activități și a răspunsurilor primite;

(b)  monitorizarea aplicării politicilor operatorului sau ale persoanei împuternicite de către operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;

(c)  monitorizarea aplicării prezentului regulament, în special în ceea ce privește cerințele legate de protecția datelor de la momentul conceperii, de protecția implicită a datelor, de securitatea datelor, de informațiile persoanelor vizate și de cererile acestora în exercitarea drepturilor lor în temeiul prezentului regulament;

(d)  asigurarea menținerii unei documentații actualizate, prevăzute la articolul 28;

(e)  monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a prevederilor legate de datele cu caracter personal, în temeiul articolelor 31 și 32;

(f)  monitorizarea efectuării de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de autorizare sau de consultare prealabilă, dacă este cazul, în conformitate cu articolele 32a, 33 și 34;

(g)  monitorizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor;

(h)  asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, consultarea autorității de supraveghere, din proprie inițiativă;

(i)  verificarea respectării conformității cu prezentul regulament în cadrul mecanismului de consultare prealabilă prevăzut la articolul 34;

(j)  informarea reprezentanților lucrătorilor cu privire la prelucrarea datelor acestora din urmă.

(2)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind sarcinile, certificarea, statutul, competențele și resursele responsabilului cu protecția datelor la care se face referire la alineatul (1). [AM 134]

SECȚIUNEA 5

CODURI DE CONDUITĂ ȘI CERTIFICARE

Articolul 38

Coduri de conduită

(1)  Statele membre, autoritățile de supraveghere și Comisia încurajează elaborarea de coduri de conduită sau adoptarea unor coduri de conduită elaborate de o autoritate de supraveghere, menite să contribuie la buna aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare a datelor, în special cu privire la:

(a)  prelucrarea datelor în mod echitabil și transparent;

(aa)  respectarea drepturilor consumatorilor;

(b)  colectarea datelor;

(c)  informarea publicului și a persoanelor vizate;

(d)  cererile persoanelor vizate în exercitarea drepturilor acestora;

(e)  informarea și protejarea copiilor;

(f)  transferul datelor către țări terțe sau organizații internaționale;

(g)  mecanisme de monitorizare și de asigurare a conformității cu codul de către operatorii care aderă la cod;

(h)  proceduri extrajudiciare și alte proceduri de soluționare a litigiilor pentru soluționarea diferendelor între operatori și persoanele vizate în ceea ce privește prelucrarea datelor cu caracter personal, fără a aduce atingere drepturilor persoanelor vizate, conform articolelor 73 și 75.

(2)  Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori într-un stat membru care intenționează să elaboreze coduri de conduită sau să modifice și să extindă codurile de conduită existente le pot prezenta în vederea emiterii unui aviz din partea autorității de supraveghere din statul membru respectiv. Autoritatea de supraveghere poate emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului fără întârzieri nejustificate dacă prelucrarea în conformitate cu proiectul de cod de conduită sau a modificărilor cu modificările aduse acestuia este conformă prezentului Regulament. Autoritatea de supraveghere solicită opiniile persoanelor vizate sau ale reprezentanților lor cu privire la aceste proiecte.

(3)  Asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operator în mai multe state membre pot prezenta Comisiei proiecte de coduri de conduită, precum și modificări sau extinderi ale codurilor de conduită existente.

(4)  Comisia poate adopta este împuternicită să adopte, după solicitare avizului Comitetului european pentru protecția datelor, acte de punere în aplicare delegate în conformitate cu articolul 86 pentru a decide asupra valabilității generale în Uniune a codurilor de conduită și a modificărilor sau extinderilor la codurile de conduită existente care i-au fost prezentate în conformitate cu alineatul (3) și asupra conformității acestora cu prezentul regulament. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate.

(5)  Comisia asigură publicitatea adecvată pentru codurile asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (4). [AM 135]

Articolul 39

Certificare

(1)  Statele membre și Comisia încurajează, în special la nivel european, instituirea de mecanisme de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Mecanismele de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare.

(1a)  Orice operator sau persoană împuternicită de către operator poate solicita oricărei autorități de supraveghere din Uniune, în schimbul unei taxe rezonabile care ține cont de costurile administrative, să certifice faptul că prelucrarea datelor cu personal este realizată în conformitate cu prezentul regulament, în special cu principiile stabilite la articolele 5, 23 și 30, obligațiile operatorului și ale persoanei împuternicite, precum și drepturile persoanei vizate.

(1b)  Certificarea este voluntară, accesibilă și disponibilă prin intermediul unui proces transparent, care nu generează sarcini excesive.

(1c)  Autoritățile de supraveghere și Comitetul european pentru protecția datelor cooperează în cadrul mecanismului pentru asigurarea coerenței în conformitate cu articolul 57 pentru a garanta un mecanism de certificare pentru protecția armonizată a datelor, inclusiv taxe armonizate în cadrul Uniunii.

(1d)  Pe parcursul procedurii de certificare, autoritatea de supraveghere poate solicita unor auditori externi specializați să efectueze auditarea operatorului sau a persoanei împuternicite de către operator, în numele său. Auditorii externi au personal calificat suficient, sunt imparțiali și nu prezintă conflicte de interese în ceea ce privește îndatoririle lor. Autoritățile de supraveghere revocă acreditarea dacă există motive să creadă că auditorul nu își îndeplinește corect îndatoririle. Certificarea finală este acordată de autoritatea de supraveghere.

(1e)  Autoritățile de supraveghere acordă operatorilor și persoanelor împuternicite de operatori, care conform auditurilor sunt certificați pentru prelucrarea datelor cu caracter personal în conformitate cu prezentul Regulament, marca standardizată privind protecția datelor „sigiliul european privind protecția datelor”.

(1f)  „Sigiliul european privind protecția datelor” este valabil atât timp cât operațiunile de protecție a datelor asigurate de operatorul sau de persoana împuternicită de către operator care a obținut certificarea respectă întocmai prezentul regulament.

(1g)  Fără a aduce atingere dispozițiilor de la alineatul (1f), „sigiliul european privind protecția datelor” este valabil maximum cinci ani.

(1h)  Comitetul european pentru protecția datelor creează un registru electronic public în care publicul poate vizualiza toate certificatele valabile și nule emise în statul membru în cauză.

(1i)  Comitetul european pentru protecția datelor poate certifica din proprie inițiativă că un standard tehnic de consolidare a protecție datelor este conform prezentului regulament.

(2)  După solicitarea unui aviz din partea Comitetul european pentru protecția datelor și consultarea părților interesate, în special a organizațiilor din sector și a organizațiilor neguvernamentale, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alsineatul (1) alineatele (1a) – (1h), inclusiv a cerințelor pentru acreditarea auditorilor, a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe. Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate.

(3)  Comisia poate stabili standarde tehnice pentru mecanismele de certificare și pentru sigiliile și mărcile din domeniul protecției datelor, precum și mecanisme de promovare și recunoaștere a mecanismelor de certificare și a sigiliilor și mărcilor din domeniul protecției datelor. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 136]

CAPITOLUL V

TRANSFERUL DATELOR CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE

Articolul 40

Principiul general al transferurilor

Datele cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau unei organizații internaționale pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de către operator și de persoana împuternicită de către operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională.

Articolul 41

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție

(1)  Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită alte autorizări suplimentare speciale.

(2)  Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente:

(a)  statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, precum și punerea în aplicare a dispozițiilor acesteia, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate;

(b)  existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care au responsabilitatea de a asigura respectarea normelor de protecție a datelor, inclusiv atribuții suficiente de sancționare, de a asista și de a consilia persoanele vizate în ceea ce privește exercitarea drepturilor acestora și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune; precum și

(c)  angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză, în special orice convenții sau instrumente obligatorii din punct de vedere juridic referitoare la protecția datelor cu caracter personal.

(3)  Comisia poate este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță sau un teritoriu din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). Aceste acte delegate prevăd o clauză de caducitate dacă se referă la un sector de prelucrare și sunt revocate în conformitate cu alineatul (5) de îndată ce nu mai este asigurat un nivel adecvat de protecție în conformitate cu prezentul regulament.

(4)  Actul de punere în aplicare delegat menționează aplicarea geografică teritorială și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b).

(4a)  Comisia monitorizează în permanență evoluțiile din țările terțe și organizațiile internaționale ce ar putea afecta îndeplinirea elementelor enumerate la alineatul (2) în cazul în care un act delegat a fost adoptat în temeiul alineatului (3).

(5)  Comisia poate este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură sau nu mai asigură un nivel de protecție adecvat în sensul alineatului (2) al prezentului articol, în special în cazurile în care legislația relevantă, atât cea generală, cât și cea specifică, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2), sau, în cazuri de extremă urgență pentru persoanele fizice în ceea ce privește dreptul la protecția datelor cu caracter personal, în conformitate cu procedura menționată la articolul 87 alineatul (3).

(6)  În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, fără a aduce atingere articolelor 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol.

(6a)  Anterior adoptării unui act delegat așa cum se menționează la alineatele (3) și (5), Comisia solicită Comitetului european pentru protecția datelor să emită un aviz privind caracterul adecvat al nivelului de protecție. În acest scop, Comisia pune la dispoziția Comitetului european pentru protecția datelor toată documentația necesară, inclusiv corespondența purtată cu autoritățile publice ale țării terțe, ale teritoriului respectiv sau ale sectorului de prelucrare din țara respectivă sau cu organizația internațională.

(7)  Comisia publică în Jurnalul Oficial al Uniunii Europene și pe site-ul său o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat.

(8)  Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE rămân în vigoare timp de cinci ani de la intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către Comisie înainte de sfârșitul acestei perioade. [AM 137]

Articolul 42

Transferurile în baza unor garanții adecvate

(1)  În cazul în care Comisia nu a luat o decizie în temeiul articolului 41 sau decide că o țară terță sau un teritoriu ori un sector de prelucrare din respectiva țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu articolul 41 alineatul (5), operatorul sau persoana împuternicită de către operator nu poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă cu excepția cazului în care operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie.

(2)  Garanțiile corespunzătoare menționate la alineatul (1) sunt furnizate, în special, prin:

(a)  reguli corporatiste obligatorii în conformitate cu articolul 43; sau

(aa)  deținerea de către operator sau persoana împuternicită de operator a unui „sigiliu în domeniul protecției datelor” conform articolului 39 alineatul (1e) sau

(b)  clauze standard de protecție a datelor adoptate de Comisie. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2); sau

(c)  clauze standard de protecție a datelor adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b); sau

(d)  clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4).

(3)  Transferul realizat în baza clauzelor standard de protecție a datelor, a „sigiliului în domeniul protecției datelor”sau a regulilor corporatiste obligatorii menționate la alineatul (2) literele (a), (aa) sau (c) nu necesită o altă autorizare suplimentară specifică.

(4)  Atunci când transferul se realizează în baza unor clauzele contractuale, astfel cum se menționează în prezentul articol la alineatul (2) litera (d), operatorul sau persoana împuternicită de către operator obține de la autoritatea de supraveghere autorizarea prealabilă pentru clauzele contractuale, în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57.

(5)  În cazul în care nu se furnizează garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie, operatorul sau persoana împuternicită de către operator obține autorizarea prealabilă pentru transfer sau seria de transferuri, sau pentru dispozițiile care vor fi incluse în acordurile administrative care constituie temeiul pentru un astfel de transfer. Autorizarea acordată de autoritatea de supraveghere este în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. Autorizațiile acordate de către autoritatea de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile , până la data la timp de doi ani după intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către respectiva autoritate de supraveghere înainte de sfârșitul acestei perioade. [AM 138]

Articolul 43

Transferurile în baza regulilor corporatiste obligatorii

(1)  În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, autoritatea de supraveghere aprobă regulile corporatiste obligatorii, cu condiția ca acestea:

(a)  să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului sau al persoanei împuternicite de către operator și acelor subcontractanți externi care fac obiectul regulilor corporatiste obligatorii și să includă și pe salariații acestora;

(b)  să confere, în mod expres, drepturi opozabile persoanelor vizate;

(c)  să îndeplinească cerințele prevăzute la alineatul (2).

(1a)  În ceea ce privește datele de angajare, reprezentanții angajaților sunt informați cu privire la regulile corporatiste obligatorii și, în conformitate cu legislația și practicile Uniunii și ale statelor membre, sunt implicați în elaborarea acestora în conformitate cu articolul 43.

(2)  Regulile corporatiste obligatorii trebuie să precizeze cel puțin:

(a)  structura și datele de contact ale grupului de întreprinderi și membrii din componența sa și acei subcontractanți externi care intră în domeniul de aplicare al regulilor corporatiste obligatorii;

(b)  transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării și scopurile prelucrării, categoriile de persoane vizate și identificarea țării terțe sau a țărilor terțe în cauză;

(c)  caracterul obligatoriu, atât pe plan intern, cât și extern;

(d)  principiile generale în materie de protecție a datelor, în special limitarea scopului, reducerea la minimum a cantității datelor, perioade limitate de reținere, calitatea datelor, protecția datelor încă din faza de concepție și de protecție implicită a datelor, temeiul juridic pentru prelucrarea datelor, prelucrarea datelor sensibile cu caracter personal; măsuri de asigurare a securității datelor, precum și cerințele pentru transferurile ulterioare către organizații care nu au obligații în temeiul politicilor;

(e)  drepturile persoanelor vizate și mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unei măsuri bazate pe crearea de profiluri în conformitate cu articolul 20, dreptul de a depune o plângere în fața autorității de supraveghere competente și în fața instanțelor competente ale statelor membre, în conformitate cu articolul 75, precum și dreptul de a obține despăgubiri și, după caz, compensații pentru încălcarea regulilor corporatiste obligatorii;

(f)  acceptarea de către sau de persoana împuternicită de către operator, operatorul cu sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru al grupului de întreprinderi care nu are sediul în Uniune; operatorul sau persoana împuternicită de către operator pot fi exonerați poate fi exonerat de răspundere, integral sau parțial, numai în condițiile în care dovedesc că membrul respectiv nu răspunde de evenimentul care a cauzat daune;

(g)  modul în care informațiile privind regulile corporatiste obligatorii, în special cu privire la dispozițiile menționate la literele (d), (e) și (f) de la prezentul alineat sunt furnizate persoanelor vizate, conform articolului 11;

(h)  sarcinile responsabilului cu protecția datelor, desemnat în conformitate cu articolul 35, inclusiv monitorizarea în cadrul grupului de întreprinderi a respectării regulilor corporatiste obligatorii, precum și monitorizarea formării și a gestionării plângerilor;

(i)  mecanismele din cadrul grupului de întreprinderi în vederea garantării conformității cu regulile corporatiste obligatorii;

(j)  mecanismele de comunicare și înregistrare a modificărilor aduse politicilor și de comunicare a acestor modificări autorității de supraveghere;

(k)  mecanismul de cooperare cu autoritatea de supraveghere menite să asigure respectarea regulilor de către oricare membru al grupului de întreprinderi, în special prin punerea la dispoziția autorității de supraveghere a rezultatelor verificărilor cu privire la măsurile menționate la punctul (i) de la prezentul alineat.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii formatului, procedurii, criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, inclusiv transparența pentru persoanele vizate, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză.

(4)  Comisia poate preciza formatul și procedurile pentru schimbul de informații prin mijloace electronice între operatori, persoanele împuternicite de către operatori și autoritățile de supraveghere pentru regulile corporative cu forță juridică obligatorie în sensul prezentului articol. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 139]

Articolul 43a

Transferurile sau divulgările de informații neautorizate de legislația Uniunii

(1)  Nicio sentință a unei instanțe sau a unui tribunal și nicio decizie a unei autorități administrative dintr-o țară terță potrivit căreia un operator sau o persoană împuternicită de către un operator trebuie să divulge date cu caracter personal nu va fi recunoscută și nu va fi executorie sub nicio formă, fără a aduce atingere unui tratat de asistență juridică reciprocă sau unui acord internațional în vigoare între țara terță solicitantă și Uniune sau un stat membru al acesteia.

(2)  În cazul în care o hotărâre a unei instanțe sau o decizie a unei autorități administrative a unei țări terțe impune unui operator sau persoanei împuternicite de acesta să comunice date cu caracter personal, operatorul, persoana împuternicită de acesta sau, după caz, reprezentantul operatorului notifică fără întârziere autoritatea de supraveghere cu privire la respectiva solicitare și trebuie să solicite autorizarea autorității de supraveghere anterior transferului.

(3)  Autoritatea de supraveghere evaluează conformitatea solicitării de divulgare cu prezentul regulament și, în special, dacă divulgarea este necesară și impusă de lege în conformitate cu articolul 44 alineatul (1) literele (d) și (e) și cu articolul 44 alineatul (5). În cazul în care sunt afectate persoane vizate dintr-un alt stat membru, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței menționat la articolul 57.

(4)  Autoritatea de supraveghere informează autoritatea națională competentă cu privire la solicitare. Fără a aduce atingere dispozițiilor de la articolul 21, operatorul sau persoana împuternicită de către operator informează, de asemenea, persoanele vizate cu privire la solicitare și la autorizația acordată de autoritatea de supraveghere și, după caz, informează persoana vizată dacă datele sale cu caracter personal au fost transmise autorităților publice în cursul ultimelor 12 luni consecutive în conformitate cu articolul 14 alineatul (1) litera (ha). [AM 140]

Articolul 44

Derogări

(1)  În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41, sau a unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care:

(a)  persoana vizată și-a exprimat acordul cu privire la transferul propus, după ce a fost informată cu privire la riscurile acestor transferuri în lipsa unei decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor corespunzătoare; sau

(b)  transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate; sau

(c)  transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică; sau

(d)  transferul este necesar din motive importante, de interes public; sau

(e)  transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau

(f)  transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul; sau

(g)  transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al statului membru, are scopul de a furniza informații publicului și care poate fi consultat fie de public, în general, fie de orice persoană care poate face dovada interesului legitim, în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau al statului membru în acel caz specific; sau

(h)  transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, nu poate fi considerat frecvent sau voluminos, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar.

(2)  Transferul în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau, în cazul în care acestea vor fi destinatarii.

(3)  În cazul în care prelucrarea se realizează în baza alineatului (1) litera (h), operatorul sau persoana împuternicită de către operator trebuie să acorde atenție deosebită naturii datelor, scopului și duratei operațiunii sau operațiunilor propuse de prelucrare, situației din țara de origine, din țara terță și din țara de destinație finală și garanțiilor corespunzătoare oferite în ceea ce privește protecția datelor cu caracter personal, în cazul în care este necesar.

(4)  Literele (b) și (c) și (h) de la alineatul (1) nu se aplică în cazul activităților desfășurate de către autoritățile publice în exercitarea competențelor lor publice.

(5)  Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul.

(6)  Operatorul sau persoana împuternicită de către operator consemnează evaluarea și garanțiile corespunzătoare oferite prevăzute la alineatul (1) litera (h) de la prezentul articol, în documentele prevăzute la articolul 28 și informează autoritatea de supraveghere cu privire la transfer.

(7)  Comisia este mandatată să adopte acte delegate Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 86 66 alineatul (1) litera (b) cu scopul detalierii „motivelor importante, de interes public”, în sensul alineatului (1) litera (d), precum și a criteriilor și cerințelor aplicabile garanțiilor corespunzătoare prevăzute la alineatul (1) litera (h) transferurilor de date în temeiul alineatului (1). [AM 141]

Articolul 45

Cooperarea internațională în domeniul protecției datelor cu caracter personal

(1)  În ceea ce privește țările terțe și organizațiile internaționale, Comisia și autoritățile de supraveghere iau măsurile corespunzătoare pentru:

(a)  elaborarea de mecanisme eficiente de cooperare internațională pentru a facilita asigurarea aplicării a asigura aplicarea legislației privind protecția datelor cu caracter personal; [AM 142]

(b)  acordarea de asistență internațională reciprocă în asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal, inclusiv prin notificare, transferul reclamațiilor, asistență în anchete și schimb de informații, sub rezerva unor garanții adecvate pentru protecția datelor cu caracter personal și a altor drepturi și libertăți fundamentale;

(c)  implicarea părților interesate relevante în discuțiile și activitățile care au ca scop lărgirea cooperării internaționale în vederea asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal;

(d)  promovarea schimbului, a documentației cu privire la legislația și practicile în materie de protecție a datelor cu caracter personal;

(da)  clarificarea și consultarea privind conflictele jurisdicționale cu țările terțe. [AM 143]

(2)  În sensul alineatului (1), Comisia ia măsurile necesare pentru a consolida relațiile cu țările terțe sau organizațiile internaționale, în special cu autoritățile lor de supraveghere, în cazul în care Comisia a decis că acestea asigură un nivel adecvat de protecție în sensul articolului 41 alineatul (3).

Articolul 45a

Raportul Comisiei

Comisia prezintă Parlamentului European și Consiliului la intervale regulate, cel târziu după patru ani de la data menționată la articolul 91 alineatul (1), un raport privind aplicarea articolelor 40-45. În acest sens, Comisia poate solicita informații de la statele membre și de la autoritățile de supraveghere, care sunt furnizate fără întârzieri nejustificate. Raportul se publică. [AM 144]

CAPITOLUL VI

AUTORITĂȚI DE SUPRAVEGHERE INDEPENDENTE

SECȚIUNEA 1

STATUT INDEPENDENT

Articolul 46

Autoritatea de supraveghere

(1)  Dispozițiile din fiecare stat membru prevăd că una sau mai multe autorități publice sunt responsabile de monitorizarea aplicării prezentului regulament și de contribuția la aplicarea uniformă a regulamentului în întreaga Uniune, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ale acestora și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii. În acest sens, autoritățile de supraveghere cooperează între ele și cu Comisia.

(2)  În cazul în care un stat membru instituie mai multe autorități de supraveghere, statul membru respectiv desemnează autoritatea de supraveghere care funcționează ca punct unic de contact pentru participarea efectivă a autorităților respective la Comitetul european pentru protecția datelor și instituie un mecanism de asigurare a respectării de către celelalte autorități a normelor privind mecanismul pentru asigurarea coerenței prevăzut la articolul 57.

(3)  Fiecare stat membru notifică Comisiei dispozițiile din dreptul său pe care le adoptă în temeiul prezentului capitol până cel târziu la data menționată la articolul 91 alineatul (2) și, fără întârziere, orice modificare ulterioară pe care o aduce la aceste dispoziții.

Articolul 47

Independență

(1)  Autoritatea de supraveghere beneficiază de independență și imparțialitate deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate, fără a aduce atingere dispozițiilor referitoare la cooperare și coerență, menționate la Capitolul VII din prezentul regulament. [AM 145]

(2)  În îndeplinirea îndatoririlor, membrii autorității de supraveghere nu solicită și nici nu acceptă niciun fel de instrucțiuni.

(3)  Membrii autorității de supraveghere nu întreprind acțiuni incompatibile cu îndatoririle lor, iar, pe durata mandatului, nu desfășoară activități incompatibile, remunerate sau nu.

(4)  După încheierea mandatului, membrii autorității de supraveghere trebuie să dea dovadă de integritate și discreție în ceea ce privește acceptarea unor funcții sau beneficii.

(5)  Fiecare stat membru se asigură că autoritatea de supraveghere beneficiază de resurse umane, tehnice și financiare adecvate, de sediul și infrastructura necesară pentru buna executare a sarcinilor și competențelor, inclusiv a celor care urmează să fie efectuate în contextul asistenței reciproce, al cooperării și participării la Comitetul european pentru protecția datelor.

(6)  Fiecare stat membru se asigură că autoritatea de supraveghere dispune de personal propriu, numit de șeful autorității de supraveghere și care răspunde în fața acestuia.

(7)  Statele membre se asigură că autoritatea de supraveghere face obiectul unui control financiar care nu aduce atingere independenței sale. Statele membre se asigură că autoritatea de supraveghere dispune de bugete anuale distincte. Bugetele se fac publice.

(7a)  Statele membre se asigură că autoritatea de supraveghere răspunde în fața parlamentului național în materie de control bugetar. [AM 146]

Articolul 48

Condiții generale aplicabile membrilor autorității de supraveghere

(1)  Statele membre prevăd dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți fie de parlament, fie de guvernul statului membru în cauză.

(2)  Membrii se aleg din rândul persoanelor care fac dovada independenței dincolo de orice îndoială, precum și a experienței și competențelor cerute pentru îndeplinirea îndatoririlor lor în special în domeniul protecției datelor cu caracter personal.

(3)  Funcțiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau destituirii conform dispozițiilor alineatului (5).

(4)  Un membru poate fi demis sau poate fi decăzut din dreptul la pensie sau la alte beneficii echivalente de către instanța națională competentă, în cazul în care membrul respectiv nu mai îndeplinește condițiile necesare pentru executarea funcțiilor sau este vinovat de comiterea unei abateri disciplinare grave.

(5)  În cazul expirării mandatului sau al demisiei membrului, acesta continuă să exercite îndatoririle până la numirea unui nou membru.

Articolul 49

Norme privind instituirea autorității de supraveghere

În limitele prezentului regulament, fiecare stat membru prevede, pe cale legislativă, următoarele:

(a)  instituirea și statutul autorității de supraveghere;

(b)  calificările, experiența și competențele necesare pentru exercitarea funcției de membru al autorității de supraveghere;

(c)  normele și procedurile pentru numirea membrilor autorității de supraveghere, precum și normele privind acțiunile sau ocupațiile incompatibile cu funcțiile membrilor;

(d)  durata mandatului membrilor autorității de supraveghere, care nu poate fi sub patru ani, cu excepția primului mandat după intrarea în vigoare a prezentului regulament, care poate fi pe o perioadă mai scurtă în cazul în care acest lucru este necesar pentru a proteja independența autorității de supraveghere printr-o procedură de numiri eșalonate;

(e)  posibilitatea de reînnoire a mandatului membrilor autorității de supraveghere;

(f)  regulile și condițiile comune care reglementează îndatoririle membrilor și ale personalului autorității de supraveghere;

(g)  normele și procedurile privind încetarea funcțiilor asumate de membrii autorității de supraveghere, inclusiv în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri disciplinare grave.

Articolul 50

Secretul profesional

În cursul mandatului și după încetarea mandatului și în conformitatea cu legislația și practicile naționale, membrii și personalul autorităților de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale, îndeplinindu-și îndatoririle în mod independent și transparent, în conformitate cu prezentul regulament. [AM 147]

SECȚIUNEA 2

ATRIBUȚII ȘI FUNCȚII

Articolul 51

Competență

(1)  Fiecare autoritate de supraveghere exercită, pe teritoriul statului membru de care aparține, are competența de a îndeplini îndatoririle și de a exercita funcțiile cu care este învestită în conformitate cu prezentul regulament, pe teritoriul propriului său stat membru, fără a aduce atingere articolelor 73 și 74. Prelucrarea datelor efectuată de o autoritate publică este supravegheată doar de autoritatea de supraveghere din statul membru respectiv. [AM 148]

(2)  Atunci când prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator, din Uniune, iar operatorul sau persoană împuternicită de către operator are unități pe teritoriul mai multor state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator are competența supravegherii activităților de prelucrare desfășurate de operator sau de persoana împuternicită de către operator în toate statele membre, fără a aduce atingere dispozițiilor capitolului VII din prezentul regulament. [AM 149]

(3)  Autoritatea de supraveghere nu are competența de a supraveghea operațiunile de prelucrare ale instanțelor care acționează în exercițiul funcției lor jurisdicționale.

Articolul 52

Atribuții

(1)  Autoritatea de supraveghere:

(a)  monitorizează și asigură aplicarea prezentului regulament;

(b)  primește reclamațiile depuse de orice persoană vizată sau de o asociație care reprezintă persoana vizată respectivă, în conformitate cu articolul 73, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai amănunțite sau coordonarea cu o altă autoritate de supraveghere; [AM 150]

(c)  partajează informațiile cu alte autorități de supraveghere, oferă asistență reciprocă și asigură consecvența aplicării și a asigurării aplicării prezentului regulament;

(d)  desfășoară anchete fie din proprie inițiativă, fie pe baza unei reclamații sau a informațiilor specifice și documentate primite prin care se invocă o prelucrare ilegală sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere; [AM 151]

(e)  monitorizează evoluțiile relevante, în măsura în care acestea au impact asupra protecției datelor cu caracter personal, în special evoluția tehnologiilor informațiilor și comunicațiilor și a practicilor comerciale;

(f)  este consultată de instituțiile și organele statului membru cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;

(g)  autorizează și este consultată cu privire la operațiunile de prelucrare prevăzute la articolul 34;

(h)  emite un aviz cu privire la proiectele de coduri de conduită, în conformitate cu articolul 38 alineatul (2);

(i)  aprobă regulile corporatiste obligatorii în conformitate cu articolul 43;

(j)  participă la activitățile Comitetului european pentru protecția datelor;

(ja)  certifică operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39. [AM 152]

(2)  Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la măsurile corespunzătoare de protecție a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special copiilor. [AM 153]

(2a)  Fiecare autoritate de supraveghere, în colaborare cu Comitetul european pentru protecția datelor, promovează acțiuni de sensibilizare a operatorilor și a persoanelor împuternicite de către operatori cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Aceasta include păstrarea unui registru al sancțiunilor și încălcărilor. Registrul ar trebui să consemneze într-un mod cât mai detaliat atât avertizările, cât și sancțiunile, precum și soluționarea încălcărilor. Fiecare autoritate de supraveghere furnizează microîntreprinderilor, întreprinderilor mici și mijlocii, operatorilor și persoanelor împuternicite de către operatori, la cerere, informații generale cu privire la responsabilitățile și obligațiile ce le revin în temeiul prezentului regulament. [AM 154]

(3)  La cerere, autoritatea de supraveghere oferă consiliere oricărei persoane vizate în exercitarea drepturilor în conformitate cu prezentul regulament și, dacă este cazul, cooperează cu autoritățile de supraveghere din alte state membre în acest scop.

(4)  Pentru reclamațiile prevăzute la alineatul (1) litera (b), autoritatea de supraveghere pune la dispoziție un formular de depunere a reclamației, care poate fi completat prin mijloace electronice, fără a exclude alte mijloace de comunicare.

(5)  Îndeplinirea funcțiilor autorității de supraveghere este gratuită pentru persoana vizată.

(6)  În cazul în care cererile sunt în mod evident excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă rezonabilă sau poate să nu efectueze acțiunea care face obiectul cererii persoanei vizate. Această taxă nu depășește costurile adoptării măsurii solicitate. Sarcina probei cu privire la caracterul evident excesiv al cererii revine autorității de supraveghere. [AM 155]

Articolul 53

Funcții

(1)  În conformitate cu prezentul regulament, fiecare autoritate de supraveghere este abilitată:

(a)  să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată, sau să impună operatorului să comunice persoanei vizate încălcarea securității datelor cu caracter personal;

(b)  să solicite operatorului sau persoanei împuternicite de către operator să respecte cererile persoanei vizate de exercitare a drepturilor prevăzute de prezentul regulament;

(c)  să solicite operatorului sau persoanei împuternicite de către operator și, după caz, reprezentantului să furnizeze orice informații relevante pentru îndeplinirea funcțiilor sale;

(d)  să asigure respectarea autorizațiilor prealabile și a consultărilor prealabile prevăzute la articolul 34;

(e)  să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator;

(f)  să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentului regulament, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date;

(g)  să impună interdicția temporară sau definitivă privind prelucrarea;

(h)  să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională;

(i)  să emită avize cu privire la orice aspect legat de protecția datelor cu caracter personal;

(ia)  să certifice operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39;

(j)  să informeze parlamentul național, guvernul sau alte instituții politice, precum și publicul cu privire la orice aspect legat de protecția datelor cu caracter personal;

(ja)  să stabilească mecanisme eficiente pentru a încuraja comunicarea confidențială a încălcărilor prezentului regulament, luând în considerare orientările formulate de Comitetul european pentru protecția datelor în conformitate cu articolul 66 alineatul (4b).

(2)  Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator, fără înștiințare prealabilă:

(a)  ccesul la toate datele cu caracter personal și la toate documentele și informațiile necesare pentru executarea atribuțiilor sale;

(b)  accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor, în cazul în care există motive întemeiate de a presupune că se efectuează o activitate care contravine prezentului regulament.

Puterile prevăzute la litera (b) se exercită în conformitate cu dreptul Uniunii și cu legislația statului membru.

(3)  Fiecare autoritate de supraveghere este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2).

(4)  Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în special cele prevăzute la în conformitate cu articolul 79 alineatele (4), (5) și (6). Aceste competențe se exercită într-un mod eficient, proporțional și disuasiv. [AM 156]

Articolul 54

Raport de activitate

Fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale cel puțin o dată la doi ani. Raportul trebuie să fie este prezentat parlamentului național respectiv și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor. [AM 157]

Articolul 54a

Autoritatea principală

(1)  În cazul în care prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator din Uniune, iar operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre, sau în cazul în care se prelucrează date cu caracter personal ale rezidenților din mai multe state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator deține rolul de autoritate principală responsabilă de supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator în toate statele membre, în conformitate cu dispozițiile capitolului VII din prezentul Regulament.

(2)  Autoritatea principală de supraveghere ia măsuri corespunzătoare pentru supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă doar după consultarea celorlalte autorități de supraveghere competente în sensul articolului 51 alineatul (1), străduindu-se să ajungă la un consens. În acest scop, ea prezintă, în special, toate informațiile relevante și consultă celelalte autorități înainte să adopte o măsură prevăzută a produce efecte juridice în ceea ce privește operatorul sau persoana împuternicită de către operator în sensul articolului 51 alineatul (1). Autoritatea principală ține cont în cea mai mare măsură de opiniile autorităților implicate. Autoritatea principală este unica autoritate împuternicită să hotărască cu privire la măsurile prevăzute a produce efecte juridice în ceea ce privește activitățile de procesare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă.

(3)  Comitetul european pentru protecția datelor, la cererea autorității de supraveghere competente, emite un aviz cu privire la identificarea autorității principale responsabile de operator sau de persoana împuternicită de către operator, în cazul în care:

(a)  nu reiese în mod clar din situația de fapt unde este situată unitatea principală a operatorului sau a persoanei împuternicite de către operator; sau

(b)  autoritățile competente nu sunt de acord cu privire la identitatea autorității de supraveghere care deține rolul de autoritate principală; sau

(c)  operatorul nu deține unități pe teritoriul Uniunii, iar rezidenți din diferite state membre sunt afectați de operațiunile de prelucrare care fac obiectul prezentului regulament.

(3a)  în cazul în care operatorul exercită, de asemenea, activități în calitate de persoană împuternicită a unui operator, autoritatea de supraveghere a unității principale a operatorului deține rolul de autoritate principală pentru supravegherea activităților de prelucrare.

(4)  Comitetul european pentru protecția datelor poate hotărî cu privire la identificarea autorității principale. [AM 158]

CAPITOLUL VII

Cooperare și coerență

Secțiunea 1

Cooperare

Articolul 55

Asistență reciprocă

(1)  Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de autorizare și consultare prealabile, inspecții și investigații, precum și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora în cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau atunci când persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare. Autoritatea principală definită la articolul 54a asigură coordonarea cu autoritățile de supraveghere implicate și deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator. [AM 159]

(2)  Fiecare autoritate de supraveghere ia toate măsurile corespunzătoare necesare pentru a răspunde solicitării din partea altei autorități de supraveghere, fără întârziere și cel târziu în termen de o lună de la data primirii cererii. Aceste măsuri pot include, în special, transmiterea informațiilor relevante privind cursul unei anchete sau măsuri de aplicare a legii pentru a pune capăt sau a interzice operațiunile de prelucrare care încalcă dispozițiile prezentului regulament.

(3)  Solicitarea de asistență cuprinde toate informațiile necesare, inclusiv scopul solicitării și motivele care stau la baza acesteia. Informațiile schimbate sunt utilizate numai în scopul pentru care au fost solicitate.

(4)  O autoritate de supraveghere căreia i se adresează o solicitare de asistență nu poate refuza să îi dea curs, cu excepția cazului în care:

(a)  nu are competența de a răspunde solicitării; sau

(b)  a da curs solicitării ar contraveni dispozițiilor prezentului regulament.

(5)  Autoritatea de supraveghere căreia i s-a adresat solicitarea informează autoritatea de supraveghere care a transmis solicitarea cu privire la rezultate sau, după caz, la progresele înregistrate ori măsurile întreprinse pentru a da curs solicitării respective.

(6)  Autoritățile de supraveghere furnizează informațiile solicitate de către alte autorități de supraveghere prin mijloace electronice și în cel mai scurt timp, utilizând un formular standard.

(7)  Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă de la autoritatea de supraveghere solicitantă. [AM 160]

(8)  În cazul în care o autoritate de supraveghere nu acționează în termen de o lună de la solicitarea din partea altei autorități de supraveghere, aceasta din urmă are competența de a lua o măsură provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 51 alineatul (1), și sesizează Comitetul european pentru protecția datelor în conformitate cu procedura menționată la articolul 57. Autoritatea de supraveghere solicitantă poate adopta măsuri provizorii în temeiul articolului 53 pe teritoriul propriului său stat membru, în cazul în care, din cauza nefinalizării asistenței, nu se pot adopta încă măsuri definitive. [AM 161]

(9)  Autoritatea de supraveghere precizează perioada de valabilitate a acestei măsuri provizorii. Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei în conformitate cu procedura menționată la articolul 57. [AM 162]

(10)  Comisia Comitetul european pentru protecția datelor poate specifica forma și procedurile pentru asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de informații prin mijloace electronice între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 163]

Articolul 56

Operațiuni comune ale autorităților de supraveghere

(1)  Pentru a intensifica cooperarea și asistența reciprocă, autoritățile de supraveghere întreprind misiuni comune de anchetă, măsuri comune de aplicare a legii și alte operațiuni comune, în care sunt implicați membri desemnați sau personal din partea autorităților de supraveghere ale altor state membre.

(2)  În cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau dacă persoanele vizate în din mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la misiunile comune de anchetă sau la operațiunile comune, după caz. Autoritatea de supraveghere competentă invită Autoritatea principală definită la articolul 54a implică autoritățile de supraveghere din fiecare dintre aceste state membre să ia parte la în misiunile comune de anchetă sau operațiunile comune respective și răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni. Autoritatea principală deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator. [AM 164]

(3)  În calitate de autoritate de supraveghere gazdă, în conformitate cu propria legislație națională și cu acordul autorității de supraveghere care și-a detașat personalul, fiecare autoritate de supraveghere poate acorda competențe de executare, inclusiv încredința misiuni de anchetă membrilor sau personalului autorității de supraveghere din statul membru de origine, implicați în operațiuni comune sau, în măsura în care legislația autorității de supraveghere din statul membru de primire permite acest lucru, poate permite membrilor sau personalului autorității de supraveghere din statul membru de origine să își exercite competențele de executare în conformitate cu legislația autorității de supraveghere din statul membru de origine. Astfel de competențe de executare pot fi exercitate doar sub coordonarea și, de regulă, în prezența membrilor sau personalului autorității de supraveghere din statul membru de primire. Membrii sau personalul autorității de supraveghere din statul membru de origine sunt supuși legislației naționale a autorității de supraveghere din statul membru de primire. Aceasta își asumă răspunderea pentru acțiunile personalului.

(4)  Autoritățile de supraveghere definesc aspectele practice ale acțiunilor specifice de cooperare.

(5)  În cazul în care o autoritate de supraveghere nu se conformează, în termen de o lună, obligației prevăzute la alineatul (2), celelalte autorități de supraveghere au competența de a adopta o măsură provizorie pe teritoriul statului membru respectiv, în conformitate cu articolul 51 alineatul (1).

(6)  Autoritatea de supraveghere precizează perioada de valabilitate a măsurii provizorii menționate la alineatul (5). Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei și prezintă situația spre analiză în cadrul mecanismului menționat la articolul 57.

Secțiunea 2

Coerență

Articolul 57

Mecanismul pentru asigurarea coerenței

Pentru scopurile stabilite la articolul 46 alineatul (1), autoritățile de supraveghere cooperează între ele și cu Comisia prin mecanismul pentru asigurarea coerenței astfel cum se prevede în privind atât chestiunile cu caracter general cât și cazurile specifice în conformitate cu dispozițiile din prezenta secțiune. [AM 165]

Articolul 58

Avizul Comitetului european pentru protecția datelor Coerența privind chestiunile de aplicare generală

(1)  Înainte de a adopta o măsură menționată la alineatul (2), o autoritate de supraveghere comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei.

(2)  Obligația prevăzută la alineatul (1) se aplică unei măsuri menite să producă efecte juridice și care:

(a)  se referă la activități de prelucrare legate de furnizarea de bunuri sau servicii persoanelor vizate în mai multe state membre, sau de monitorizarea comportamentului acestora; sau

(b)  pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii; sau

(c)  vizează adoptarea unei liste de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34 alineatul (5); sau

(d)  vizează determinarea clauzelor standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (c); sau

(e)  vizează autorizarea clauzelor contractuale menționate la articolul 42 alineatul (2) litera (d); sau

(f)  vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 43.

(3)  Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56.

(4)  Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței.

(5)  Autoritățile de supraveghere și Comisia comunică electronic, fără întârzieri nejustificate, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, utilizând un formular standard.

(6)  Președintele Comitetului european pentru protecția datelor informează fără întârziere întârzieri nejustificate, pe cale electronică, membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Președintele Secretariatul Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar.

(6a)  Comitetul european pentru protecția datelor adoptă un aviz cu privire la chestiunile care îi sunt prezentate în temeiul alineatului (2).

(7)  În cazul în care Comitetul european pentru protecția datelor decide acest lucru prin majoritate simplă a membrilor săi sau în cazul în care orice autoritate de supraveghere sau Comisia solicită acest lucru, Comitetul european pentru protecția datelor emite poate hotărî prin majoritate simplă dacă adoptă un aviz cu privire la orice chestiune în termen de o săptămână de la data la care informațiile relevante au fost furnizate în conformitate cu alineatul (5). Avizul este adoptat în termen de o lună cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. Președintele Comitetului european pentru protecția datelor informează, fără întârziere nejustificată, autoritatea de supraveghere menționată, după caz, la alineatele (1) și (3), Comisia și autoritatea de supraveghere competentă în conformitate cu articolul 51 cu privire la aviz și îl publică. prezentată în temeiul alineatelor (3) și (4), ținând seama:

(a)  dacă chestiunea prezintă elemente noi, luând în considerare evoluțiile de drept sau de fapt, în special în domeniul tehnologiei informației și în lumina evoluțiilor din societatea informațională, precum și

(b)  dacă Comitetul european pentru protecția datelor a emis deja un aviz cu privire la aceeași chestiune.

(8)  Autoritatea de supraveghere menționată la alineatul (1) și autoritatea de supraveghere competentă în conformitate cu articolul 51 țin seama de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la avizul președintelui Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. Comitetul european pentru protecția datelor adoptă avize în conformitate cu alineatul (6) litera (a) și alineatul (7) cu o majoritate simplă a membrilor săi. Aceste avize sunt făcute publice. [AM 166]

Articolul 58a

Coerența în cazurile specifice

(1)  Înainte de a adopta o măsură prevăzută a produce efecte juridice în sensul articolului 54a, autoritatea principală oferă toate informațiile pertinente și prezintă proiectul de măsură tuturor celorlalte autorități competente. Autoritatea principală nu adoptă măsura dacă o autoritate competentă a indicat, în termen de trei săptămâni, că are obiecții semnificative cu privire la măsura respectivă.

(2)  În cazul în care o autoritate competentă a indicat că are obiecții semnificative cu privire la proiectul de măsură al autorității principale, sau în cazul în care autoritatea principală nu prezintă un proiect de măsură menționat la alineatul (1) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56, Comitetul european pentru protecția datelor examinează această chestiune.

(3)  Autoritatea principală și/sau alte autorități competente interesate și Comisia comunică pe cale electronică, fără întârzieri nejustificate, Comitetului european pentru protecția datelor, utilizând un formular standard, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, obiecțiile ridicate împotriva acesteia și opiniile celorlalte autorități de supraveghere vizate.

(4)  Comitetul european pentru protecția datelor examinează această chestiune, luând în considerare impactul proiectelor de măsuri propuse de autoritatea principală cu privire la drepturile și libertățile fundamentale ale persoanelor vizate, și hotărăște prin majoritatea simplă a membrilor săi dacă emite un aviz cu privire la respectiva chestiune în termen de două săptămâni de la primirea informațiilor relevante în temeiul alineatului (3).

(5)  În cazul în care Comitetul european pentru protecția datelor hotărăște să emită un aviz, acest lucru se efectuează în termen de șase săptămâni, iar avizul este făcut public.

(6)  Autoritatea de supraveghere ține seama în cea mai mare măsură de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la aviz de către președintele Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. În cazul în care autoritatea principală intenționează să nu urmeze avizul Comitetului european pentru protecția datelor, aceasta prezintă o explicație motivată.

(7)  În cazul în care Comitetul european pentru protecția datelor prezintă încă obiecții în legătură cu măsura autorității de supraveghere menționată la alineatul (5), acesta poate adopta, în termen de o lună, cu o majoritate de două treimi o măsură obligatorie pentru autoritatea de supraveghere. [AM 167]

Articolul 59

Avizul Comisiei

(1)  În termen de zece săptămâni din momentul în care o chestiune a fost ridicată în conformitate cu articolul 58, sau cel târziu în termen de șase săptămâni în cazul articolului 61, Comisia poate adopta, pentru a asigura aplicarea corectă și coerentă a prezentului regulament, un aviz cu privire la chestiunile ridicate în temeiul articolelor 58 sau 61.

(2)  Atunci când Comisia a adoptat un aviz în conformitate cu alineatul (1), autoritatea de supraveghere în cauză acordă atenție maximă avizului Comisiei și informează Comisia și Comitetul european pentru protecția datelor dacă intenționează să își mențină sau să modifice proiectul de măsură.

(3)  În timpul perioadei menționate la alineatul (1), autoritatea de supraveghere nu adoptă proiectul de măsură.

(4)  În cazul în care autoritatea de supraveghere în cauză intenționează să nu se conformeze avizului Comisiei, acesta informează Comisia și Comitetul european pentru protecția datelor respectând termenul menționat la alineatul (1) și furnizează o motivare. În acest caz, proiectul de măsură nu este adoptat timp de o lună suplimentară. [AM 168]

Articolul 60

Suspendarea unui proiect de măsură

(1)  În termen de o lună de la comunicarea menționată la articolul 59 alineatul (4) și în cazul în care Comisia are îndoieli serioase că proiectul de măsură ar garanta aplicarea corectă a prezentului regulament sau, dimpotrivă, că ar avea ca rezultat aplicarea incoerentă a regulamentului, Comisia, ținând cont de avizul emis de Comitetul european pentru protecția datelor în temeiul articolului 58 alineatul (7) sau al articolului 61 alineatul (2), poate adopta o decizie motivată care să oblige autoritatea de supraveghere să suspende adoptarea proiectului de măsură, în cazul în care se consideră că acest lucru este necesar pentru:

(a)  a concilia pozițiile divergente ale autorității de supraveghere și Comitetului european pentru protecția datelor, în cazul în care acest lucru pare încă posibil; sau

(b)  a adopta o măsură în temeiul articolului 62 alineatul (1) litera (a).

(2)  Comisia precizează durata suspendării, care nu depășește 12 luni.

(3)  În timpul perioadei menționate la alineatul (2), autoritatea de supraveghere nu poate adopta proiectul de măsură. [AM 169]

Articolul 60a

Notificarea Parlamentului European și a Consiliului

Pe baza unui raport al președintelui Comitetului european pentru protecția datelor, Comisia informează Parlamentul și Consiliul la intervale regulate, cel puțin o dată la șase luni, cu privire la chestiunile tratate în cadrul mecanismului pentru asigurarea coerenței și prezintă concluziile Comisiei și ale Comitetului pentru protecția datelor în vederea asigurării coerenței implementării și a aplicării prezentului regulament. [AM 170]

Articolul 61

Procedura de urgență

(1)  În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, în special când există pericolul ca exercitarea dreptului persoanei vizate ar putea fi să poată fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante sau din alte motive, prin derogare de la procedura menționată la articolul 58a, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei. [AM 171]

(2)  În cazul în care o autoritate de supraveghere a adoptat o măsură în temeiul alineatului (1) și consideră că trebuie adoptate de urgență măsuri definitive, aceasta poate solicita un aviz de urgență din partea Comitetului european pentru protecția datelor, indicând motivele pentru solicitarea unui astfel de aviz, inclusiv pentru caracterul urgent al măsurilor definitive.

(3)  Orice autoritate de supraveghere poate solicita un aviz de urgență în cazul în care autoritatea de supraveghere competentă nu a luat o măsură adecvată într-o situație în care există o necesitate urgentă de a acționa pentru a proteja interesele persoanelor vizate, indicând motivele pentru solicitarea unui astfel de aviz, inclusiv pentru necesitatea urgentă de a acționa.

(4)  Prin derogare de la articolul 58 alineatul (7), Un aviz de urgență menționat la alineatele (2) și (3) din prezentul articol este adoptat în termen de două săptămâni cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. [AM 172]

Articolul 62

Acte de punere în aplicare

(1)  Comisia poate adopta acte de punere în aplicare cu domeniu general de aplicare, după solicitarea avizului Comitetului european pentru protecția datelor, pentru:

(a)  a decide privind aplicarea corectă a prezentului regulament, în conformitate cu obiectivele și cerințele acestuia în ceea ce privește aspectele comunicate de către autoritățile de supraveghere în temeiul articolului 58 sau 61, privind o chestiune în legătură cu care a fost adoptată o decizie motivată în temeiul articolului 60 alineatul (1), sau privind o chestiune în legătură cu care o autoritate de supraveghere nu prezintă un proiect de măsură și respectiva autoritate de supraveghere a indicat că nu intenționează să urmeze avizul Comisiei adoptat în temeiul articolului 59;

(b)  a decide, în termenul menționat la articolul 59 alineatul (1), referitor la aplicabilitatea generală a proiectului de clauze standard în materie de protecție a datelor menționate la articolul 58 42 alineatul (2) litera (d);

(c)  a defini forma și procedurile pentru aplicarea mecanismului pentru asigurarea coerenței menționat în prezenta secțiune;

(d)  a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la articolul 58 alineatele (5), (6) și (8).

Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

(2)  Din motive imperative de urgență pe deplin justificate legate de interesul persoanelor vizate în cazurile menționate la alineatul (1) litera (a), Comisia adoptă acte de punere în aplicare imediat aplicabile, în conformitate cu procedura menționată la articolul 87 alineatul (3). Aceste acte rămân în vigoare pentru o perioadă de cel mult 12 luni.

(3)  Absența sau adoptarea unei măsuri în temeiul prezentei secțiuni nu aduce atingere altor măsuri adoptate de Comisie în temeiul tratatelor. [AM 173]

Articolul 63

Executare

(1)  În sensul prezentului regulament, o măsură executorie a autorității de supraveghere ale unui stat membru este executată în toate statele membre implicate.

(2)  În cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură pentru a fi examinat în cadrul mecanismului pentru asigurarea coerenței, încălcând articolul 58 alineatele (1)-(5) și (2) sau adoptă o măsură în pofida faptului că s-au indicat obiecții semnificative în temeiul articolului 58a alineatul (1), măsura autorității de supraveghere nu este valabilă din punct de vedere juridic și nici executorie. [AM 174]

Secțiunea 3

Comitetul european pentru protecția datelor

Articolul 64

Comitetul european pentru protecția datelor

(1)  Se instituie un Comitet european pentru protecția datelor.

(2)  Comitetul european pentru protecția datelor este alcătuit din șeful unei autorități de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor.

(3)  În cazul în care într-un stat membru mai multe autorități de supraveghere sunt responsabile de monitorizarea punerii în aplicare a dispozițiilor prevăzute de prezentul regulament, acestea desemnează șeful uneia dintre aceste autorități de supraveghere ca reprezentant comun.

(4)  Comisia are dreptul de a participa la activitățile și reuniunile Comitetului european pentru protecția datelor și desemnează un reprezentant. Președintele Comitetului european pentru protecția datelor informează fără întârziere Comisia cu privire la toate activitățile Comitetului european pentru protecția datelor.

Articolul 65

Independență

(1)  Comitetul european pentru protecția datelor acționează independent în exercitarea sarcinilor sale în conformitate cu articolele 66 și 67.

(2)  Fără a aduce atingere solicitărilor din partea Comisiei menționate la articolul 66 alineatul (1) litera (b) și la articolul 66 alineatul (2), în îndeplinirea sarcinilor sale, Comitetul european pentru protecția datelor nu solicită și nu acceptă instrucțiuni de la nicio parte externă.

Articolul 66

Sarcinile Comitetului european pentru protecția datelor

(1)  Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă sau la solicitarea Parlamentului European, a Consiliului sau a Comisiei, Comitetul european pentru protecția datelor are, în special, următoarele sarcini:

(a)  să ofere Comisiei instituțiilor europene consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;

(b)  să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi sau la cerereaParlamentului European, a Consiliului sau a Comisiei, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament, inclusiv orice chestiune referitoare la utilizarea competențelor de executare;

(c)  să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea;

(d)  să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57;

(da)  să emită un aviz cu privire la autoritatea care ar trebui să fie autoritatea principală în temeiul articolului 54a alineatul (3);

(e)  să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere, inclusiv coordonarea operațiunilor comune și a altor activități comune în cazul în care decide astfel la cererea uneia sau mai multor autorități de supraveghere;

(f)  să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale;

(g)  să promoveze schimbul de cunoștințe și de documente privind legislația și practicile în materie de protecție a datelor cu autoritățile de supraveghere a protecției datelor la nivel mondial;

(ga)  să prezinte un aviz Comisiei la pregătirea actelor delegate și de punere în aplicare în temeiul prezentului regulament;

(gb)  să emită un aviz privind codurile de conduită elaborate la nivelul Uniunii în temeiul articolului 38 alineatul (4);

(gc)  să emită un aviz privind criteriile și cerințele aplicabile mecanismelor de certificare în domeniul protecției datelor în temeiul articolului 39 alineatul (2).

(gd)  să păstreze un registru electronic public privind certificatele valabile și nevalabile în temeiul articolului 39 alineatul (1) litera h;

(ge)  să ofere asistență autorităților naționale de supraveghere, la cererea acestora;

(gf)  să elaboreze și să publice o listă de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34;

(gg)  să păstreze un registru de sancțiuni impuse de către autoritățile de supraveghere competente operatorilor sau persoanelor împuternicite de către operatori;

(2)  În situațiile în care Parlamentul European, Consiliul sau Comisia consultă Comitetul european pentru protecția datelor, aceasta poate aceștia pot stabili un termen în care Comitetul european pentru protecția datelor trebuie să furnizeze avizul său, ținând cont de caracterul urgent al chestiunii.

(3)  Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Parlamentului European, Consiliului și Comisiei, precum și comitetului menționat la articolul 87 și le publică.

(4)  Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor.

(4a)  Dacă este cazul, Comitetul european pentru protecția datelor consultă părțile interesate și le oferă posibilitatea de a face observații într-un termen rezonabil. Fără a aduce atingere dispozițiilor articolului 72, Comitetul european pentru protecția datelor publică rezultatele procedurii de consultare.

(4b)  Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu alineatul (1) litera (b) în vederea stabilirii de proceduri comune privind primirea și cercetarea informațiilor care conțin acuzații de prelucrare ilegală, precum și a protejării confidențialității și a surselor de informații primite. [AM 175]

Articolul 67

Rapoarte

(1)  Comitetul european pentru protecția datelor prezintă Parlamentului European, Consiliului și Comisiei periodic și în timp util rezultatele activităților sale. Acesta întocmește un raport anual cel puțin o dată la doi ani privind situația referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal în Uniune și în țările terțe.

Raportul include analiza aplicării practice a orientărilor, recomandărilor și bunelor practici menționate la articolul 66 alineatul (1) litera (c). [AM 176]

(2)  Raportul este publicat și transmis Parlamentului European, Consiliului și Comisiei.

Articolul 68

Procedură

(1)  Comitetul european pentru protecția datelor adoptă decizii prin majoritate simplă a membrilor săi, cu excepția cazului când se prevede altfel în regulamentul său de procedură. [AM 177]

(2)  Comitetul european pentru protecția datelor își adoptă propriul regulament de procedură și își organizează propriile mecanisme de funcționare. În special, prevede dispoziții privind continuarea exercitării funcțiilor atunci când mandatul unui membru se încheie sau un membru demisionează, privind crearea de subgrupuri pentru aspecte și sectoare specifice și privind procedurile sale în ceea ce privește mecanismul pentru asigurarea coerenței menționat la articolul 57.

Articolul 69

Președintele

(1)  Comitetul european pentru protecția datelor alege un președinte și cel puțin doi vicepreședinți din rândul membrilor săi. Unul dintre vicepreședinți este Autoritatea Europeană pentru Protecția Datelor, cu excepția cazului în care aceasta a fost aleasă președinte. [AM 178]

(2)  Mandatul președintelui și al vicepreședinților este de cinci ani și poate fi prelungit.

(2a)  Funcția de președinte este o funcție cu normă întreagă. [AM 179]

Articolul 70

Sarcinile președintelui

(1)  Președintele are următoarele sarcini:

(a)  să convoace reuniunile Comitetului european pentru protecția datelor și să stabilească ordinea de zi;

(b)  să asigure îndeplinirea la timp a sarcinilor Comitetului european pentru protecția datelor, în special în ceea ce privește mecanismul pentru asigurarea coerenței menționat la articolul 57.

(2)  Comitetul european pentru protecția datelor definește în regulamentul său de procedură repartizarea sarcinilor care revin președintelui și vicepreședinților.

Articolul 71

Secretariat

(1)  Comitetul european pentru protecția datelor are un secretariat. Autoritatea Europeană pentru Protecția Datelor asigură secretariatul.

(2)  Secretariatul oferă, sub conducerea președintelui, sprijin analitic, juridic, administrativ și logistic Comitetului european pentru protecția datelor. [AM 180]

(3)  Secretariatul este responsabil în special de următoarele:

(a)  gestionarea cotidiană a Comitetului european pentru protecția datelor;

(b)  comunicarea dintre membrii Comitetului european pentru protecția datelor, președintele acestuia și Comisie și comunicarea cu alte instituții și cu cetățenii;

(c)  utilizarea mijloacelor electronice pentru comunicarea internă și externă;

(d)  traducerea informațiilor relevante;

(e)  pregătirea și monitorizarea acțiunilor ulterioare reuniunilor Comitetului european pentru protecția datelor;

(f)  pregătirea, redactarea și publicarea avizelor și a altor texte adoptate de Comitetul european pentru protecția datelor.

Articolul 72

Confidențialitate

(1)  Discuțiile din cadrul Comitetului european pentru protecția datelor sunt pot fi confidențiale, dacă este necesar, cu excepția cazului când se prevede altfel în regulamentul său de procedură. Ordinile de zi ale reuniunilor Comitetului european pentru protecția datelor sunt publicate. [AM 181]

(2)  Documentele prezentate membrilor Comitetului european pentru protecția datelor, experților și reprezentanților părților terțe sunt confidențiale, cu excepția cazului în care accesul la aceste documente este acordat în conformitate cu Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului(20) sau Comitetul european pentru protecția datelor le face publice într-un alt mod.

(3)  Membrii Comitetului european pentru protecția datelor, experții și reprezentanții părților terțe respectă obligațiile de confidențialitate prevăzute la prezentul articol. Președintele se asigură că experții și reprezentanții părților terțe au cunoștință de cerințele de confidențialitate care le sunt impuse.

CAPITOLUL VIII

Căi de atac, răspundere și sancțiuni

Articolul 73

Dreptul de a depune o plângere la o autoritate de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare și mecanismului pentru asigurarea coerenței, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament.

(2)  Orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora care acționează în interes public și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal.

(3)  Independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal prezentului regulament. [AM 182]

Articolul 74

Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă.

(2)  Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 52 alineatul (1) litera (b).

(3)  Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

(4)  Fără a aduce atingere mecanismului pentru asigurarea coerenței, o persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru.

(5)  Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol. [AM 183]

Articolul 75

Dreptul la o cale de atac judiciară împotriva unui operator sau unei persoane împuternicite de operator

(1)  Fără a aduce atingere vreunei căi de atac administrative disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere menționat la articolul 73, orice persoană fizică are dreptul la exercitarea unei căi de atac judiciare, în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal efectuate încălcând prezentul regulament.

(2)  Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice. [AM 184]

(3)  În cazul în care o acțiune care se referă la aceeași măsură, decizie sau practică este în curs în cadrul mecanismului pentru asigurarea coerenței menționat la articolul 58, o instanță poate suspenda acțiunile care i-au fost înaintate, cu excepția cazurilor în care caracterul urgent al chestiunii privind protecția drepturilor persoanei vizate nu îi permite să aștepte rezultatul acțiunii în cadrul mecanismului pentru asigurarea coerenței.

(4)  Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol.

Articolul 76

Norme comune aplicabile acțiunilor în instanță

(1)  Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74, și 75 în numele uneia și 77 dacă este împuternicit de una sau mai multor multe persoane vizate. [AM 185]

(2)  Fiecare autoritate de supraveghere are dreptul a participa la proceduri judiciare și de a sesiza o instanță, în scopul de a asigura aplicarea dispozițiilor prezentului regulament sau de a asigura coerența protecției datelor cu caracter personal în cadrul Uniunii.

(3)  În cazul în care o instanță competentă a unui stat membru are motive întemeiate să creadă că în alt stat membru se desfășoară acțiuni paralele, aceasta contactează instanța competentă din celălalt stat membru pentru a-i confirma existența unor astfel de acțiuni paralele.

(4)  În cazul în care astfel de acțiuni paralele în alt stat membru se referă la aceeași măsură, decizie sau practică, instanța poate suspenda acțiunea.

(5)  Statele membre se asigură că acțiunile în justiție disponibile în dreptul intern permit adoptarea rapidă de măsuri, inclusiv măsuri provizorii, menite să ducă la încetarea oricărei încălcări presupuse și să prevină orice altă atingere adusă intereselor respective.

Articolul 77

Dreptul la despăgubiri și răspundere

(1)  Orice persoană care a suferit prejudicii, inclusiv de natură nefinanciară, ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină solicite despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. [AM 186]

(2)  În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta dintre operatorii sau persoanele împuternicite respective sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului, cu excepția cazului în care au încheiat un acord scris specific de stabilire a responsabilităților în temeiul articolului 24. [AM 187]

(3)  Operatorul sau persoana împuternicită de operator poate fi total sau parțial exonerată de această răspundere, în cazul în care operatorul sau persoana împuternicită de acesta dovedește că nu este responsabilă pentru fapta care a provocat prejudiciul.

Articolul 78

Sancțiuni

(1)  Statele membre definesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare, inclusiv în cazul în care operatorul nu a respectat obligația de a desemna un reprezentant. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive.

(2)  În cazul în care operatorul a desemnat un reprezentant, sancțiunile sunt aplicate reprezentantului, fără a aduce atingere sancțiunilor care ar putea fi inițiate împotriva operatorului.

(3)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le adoptă în temeiul alineatului (1), până cel târziu la data menționată la articolul 91 alineatul (2) și, fără întârziere, orice modificare ulterioară care le afectează.

Articolul 79

Sancțiuni administrative

(1)  Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. Autoritățile de supraveghere cooperează între ele în conformitate cu articolele 46 și 57 pentru a garanta un nivel armonizat al sancțiunilor în cadrul Uniunii.

(2)  În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării.

(2a)  Autoritatea de supraveghere impune oricărei persoane care nu respectă obligațiile prevăzute în prezentul regulament cel puțin una dintre următoarele sancțiuni:

(a)  un avertisment scris în cazul primei încălcări neintenționate;

(b)  audituri regulate și periodice privind protecția datelor;

(c)  o amendă de până la 100 000 000 EUR sau de până la 5% din cifra de afaceri realizată la nivel mondial în cazul unei întreprinderi, optându-se pentru valoarea cea mai mare.

(2b)  În cazul în care operatorul sau persoana împuternicită de către operator deține un „sigiliul european privind protecția datelor” valabil conform articolului 39, se impune o amendă în temeiul alineatului (2a) litera (c) numai în caz de neconformitate intenționată sau din neglijență.

(2c)  Sancțiunea administrativă ține cont de următorii factori:

(a)  natura, gravitatea și durata neconformității,

(b)  faptul că încălcarea a fost comisă intenționat sau din neglijență,

(c)  gradul de responsabilitate a persoanei fizice sau juridice și încălcările comise anterior de către această persoană;

(d)  natura repetitivă a încălcării,

(e)  gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării,

(f)  categoriile specifice de date cu caracter personal afectate de încălcare,

(g)  amploarea prejudiciilor, inclusiv a prejudiciilor de natură nefinanciară, suferite de persoanele vizate,

(h)  acțiunile întreprinse de operator sau de persoana împuternicită de către operator pentru a reduce prejudiciul suferit de persoanele vizate;

(i)  orice beneficii financiare plănuite sau realizate, sau pierderile evitate, în mod direct sau indirect din cauza încălcării,

(j)  amploarea măsurilor și procedurilor tehnice și organizatorice puse în aplicare în conformitate cu:

(i)  articolul 23 - Protecția datelor începând cu momentul conceperii și protecția implicită a datelor;

(ii)  articolul 30 – Securitatea prelucrării;

(iii)  articolul 33 – Evaluarea impactului privind protecția datelor;

(iv)  articolul 33a – Analiza conformității privind protecția datelor;

(v)  articolul 35 - Desemnarea responsabilului cu protecția datelor;

(k)  refuzul de a coopera sau împiedicarea inspecțiilor, a auditurilor și a controalelor efectuate de autoritatea de supraveghere în temeiul articolului 53;

(l)  orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului.

(3)  În cazul primei încălcări neintenționate a dispozițiilor prezentului regulament, se poate transmite o avertizare în scris, fără impunerea vreunei sancțiuni, atunci când:

(a)  o persoană fizică prelucrează date cu caracter personal fără vreun interes comercial; sau

(b)  o întreprindere sau o organizație cu mai puțin de 250 de angajați prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale.

(4)  Autoritatea de supraveghere impune o amendă de până la 250 000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

(a)  nu prevede mecanisme care să permită persoanelor vizate să formuleze solicitări sau nu răspunde prompt sau nu în forma adecvată persoanelor vizate, în temeiul articolului 12 alineatele (1) și (2);

(b)  percepe o taxă pentru informații sau pentru răspunsurile la solicitările persoanelor vizate, încălcând articolul 12 alineatul (4).

(5)  Autoritatea de supraveghere impune o amendă de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

(a)  nu furnizează persoanei vizate informațiile sau furnizează informații incomplete sau nu furnizează informațiile într-un mod suficient de transparent, în conformitate cu articolul 11, articolul 12 alineatul (3) și articolul 14;

(b)  nu oferă acces persoanei vizate sau nu rectifică datele cu caracter personal în temeiul articolelor 15 și 16 sau nu comunică unui destinatar informațiile relevante, în temeiul articolului 13;

(c)  nu respectă „dreptul de a fi uitat” ori dreptul la ștergere sau nu instituie mecanisme pentru a asigura că termenele sunt respectate sau nu ia toate măsurile necesare pentru a informa părțile terțe că o persoană vizată solicită ștergerea tuturor linkurilor către datele sale cu caracter personal, sau a tuturor copiilor sau a reproducerilor acestora, în temeiul articolului 17;

(d)  nu furnizează o copie a datelor cu caracter personal în format electronic sau împiedică persoana vizată să transmită datele cu caracter personal către o altă aplicație, încălcând articolul 18;

(e)  nu definește sau nu definește suficient responsabilitățile respective cu operatorii asociați în temeiul articolului 24;

(f)  nu păstrează sau nu păstrează suficient documentația în temeiul articolului 28, articolului 31 alineatul (4) și al articolului 44 alineatul (3);

(g)  nu respectă, în cazurile în care nu sunt implicate categorii speciale de date, în temeiul articolelor 80, 82 și 83, normele privind libertatea de exprimare sau normele privind prelucrarea în contextul ocupării unui loc de muncă sau condițiile pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică.

(6)  Autoritatea de supraveghere impune o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

(a)  prelucrează datele cu caracter personal fără niciun temei juridic sau fără un temei juridic suficient pentru prelucrare sau nu respectă condițiile privind consimțământul, în temeiul articolelor 6, 7 și 8;

(b)  prelucrează categorii speciale de date, încălcând articolele 9 și 81;

(c)  nu respectă o opoziție sau nu se conformează cerinței în temeiul articolului 19;

(d)  nu respectă condițiile legate de măsurile bazate pe crearea de profiluri în temeiul articolului 20;

(e)  nu adoptă norme interne sau nu pune în aplicare măsuri corespunzătoare pentru a asigura și a demonstra conformitatea în temeiul articolelor 22, 23 și 30;

(f)  nu desemnează un reprezentant în temeiul articolului 25;

(g)  prelucrează date cu caracter personal sau dă instrucțiuni de prelucrare a datelor cu caracter personal încălcând obligațiile privind prelucrarea în numele unui operator în temeiul articolelor 26 și 27;

(h)  nu semnalează sau nu notifică o încălcare a securității datelor cu caracter personal sau nu notifică la timp ori complet autorității de supraveghere sau persoanei vizate încălcarea securității datelor, în temeiul articolelor 31 și 32;

(i)  nu efectuează o evaluare a impactului privind protecția datelor sau prelucrează date cu caracter personal fără autorizare prealabilă sau consultarea prealabilă a autorității de supraveghere în temeiul articolelor 33 și 34;

(j)  nu desemnează un responsabil cu protecția datelor sau nu asigură condițiile pentru îndeplinirea sarcinilor în temeiul articolelor 35, 36 și 37;

(k)  utilizează abuziv sigiliile și mărcile din domeniul protecției datelor, în sensul articolului 39;

(l)  efectuează sau dă instrucțiuni pentru transferarea de date către o țară terță sau o organizație internațională care nu este autorizată printr-o decizie privind caracterul adecvat sau prin garanții adecvate sau printr-o derogare în temeiul articolelor 40-44;

(m)  nu respectă un ordin sau o interdicție temporară sau definitivă privind prelucrarea sau suspendarea fluxurilor de date emisă de autoritatea de supraveghere, în temeiul articolului 53 alineatul (1);

(n)  nu respectă obligațiile de a oferi asistență sau de a răspunde sau de a furniza informațiile relevante autorității de supraveghere sau de a da acesteia acces la clădirile sale, în temeiul articolului 28 alineatul (3), al articolului 29, al articolului 34 alineatul (6) și al articolului 53 alineatul (2);

(o)  nu respectă normele pentru garantarea secretului profesional, în temeiul articolului 84.

(7)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor absolute ale amenzilor administrative menționate la alineatele (4), (5) și (6) alineatul (2a), ținând seama de criteriile și factorii menționate menționați la alineatul alineatele (2) și (2c). [AM 188]

CAPITOLUL IX

DISPOZIȚII REFERITOARE LA SITUAȚII SPECIFICE DE PRELUCRARE A DATELOR

Articolul 80

Prelucrarea datelor cu caracter personal și libertatea de exprimare

(1)  Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI, și privind cooperarea și coerența de la capitolul VII, pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, și situațiile specifice de prelucrare a datelor din prezentul capitol ori de câte ori este necesar pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare în conformitate cu Carta. [AM 189]

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează.

Articolul 80a

Accesul la documente

(1)  Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public pot fi divulgate de către această autoritate sau acest organism în conformitate cu legislația Uniunii sau a statului membru privind accesul public la documentele oficiale, care stabilește un echilibru între dreptul la protecția datelor cu caracter personal și principiul accesului public la documente oficiale.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 190]

Articolul 81

Prelucrarea datelor cu caracter personal privind sănătatea

(1)  În limitele prevăzute de prezentul regulament și în conformitate cu dispozițiile prezentului regulament, în special cu articolul 9 alineatul (2), litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare, coerente și specifice pentru garantarea intereselor legitime și a drepturilor fundamentale ale persoanei vizate, și care în măsura în care acestea sunt necesare și proporționale, iar efectele lor pot fi prevăzute de către persoanele vizate:

(a)  în scopuri legate de medicina preventivă sau a muncii, stabilirea diagnosticului, administrarea unor îngrijiri medicale sau a unui tratament sau de gestionarea serviciilor medicale, precum și în cazul în care datele respective sunt prelucrate de un cadru medical supus obligației de a respecta secretul profesional sau de o altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește confidențialitatea în temeiul legislației statului membru ori al normelor stabilite de autoritățile naționale competente; sau

(b)  din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță, inter alia pentru medicamente sau aparatură medicală sau când prelucrarea acestor date este efectuată de o persoană care face obiectul obligației de confidențialitate; sau

(c)  din alte motive de interes public în domenii precum protecția socială, în special în scopul asigurării calității și eficienței din punctul de vedere al costurilor a procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate și furnizarea de servicii de sănătate. Prelucrarea datelor cu caracter personal privind sănătatea din motive de interes general nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului Uniunii sau al unui stat membru.

(1a)  În cazul în care scopurile menționate la alineatul (1) literele (a)-(c) pot fi realizate fără a utiliza date cu caracter personal, astfel de date nu sunt utilizate în aceste scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului unui stat membru.

(1b)  În cazul în care este necesar consimțământul persoanei vizate pentru prelucrarea datelor medicale exclusiv în scopul cercetării științifice privind sănătatea publică, consimțământul poate fi acordat pentru una sau mai multe cercetări specifice și similare. Totuși, persoana vizată își poate retrage consimțământul în orice moment.

(1c)  Pentru acordarea consimțământului de a participa în activități de cercetare științifică în cadrul trialurilor clinice, se aplică dispozițiile relevante ale Directivei 2001/20/CE a Parlamentului European și a Consiliului(21).

(2)  Prelucrarea datelor cu caracter personal privind sănătatea, care este necesară în scopuri de cercetare istorică, statistică sau științifică, cum ar fi registrele de pacienți instituite pentru îmbunătățirea stabilirii diagnosticului și diferențierea între tipuri similare de boli, precum și pentru pregătirea de studii pentru terapii, este permisă doar cu consimțământul persoanei vizate și face obiectul condițiilor și măsurilor de garantare prevăzute la articolul 83.

(2a)  Legislația statelor membre poate prevedea excepții la cerința consimțământului în caz de cercetare, menționată la alineatul (2), în ceea ce privește cercetarea care servește unui interes public ridicat, dacă cercetarea respectivă nu poate fi efectuată altfel. Datele în cauză sunt anonimizate sau, dacă acest lucru nu este posibil din motive legate de cercetare, pseudonimizate, în conformitate cu cele mai înalte standarde tehnice, și se iau toate măsurile necesare pentru a preveni reidentificarea nejustificată a persoanelor vizate. Totuși, în orice moment, persoana vizată are dreptul de a se opune în conformitate cu articolul 19.

(3)  După solicitarea avizului Comitetului european pentru protecția datelor, Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul precizării în continuare a altor motive de a preciza mai mult noțiunea de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și a unor criterii și cerințe referitoare la garanții în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1) de interes public ridicat în domeniul cercetării astfel cum se menționează la alineatul (2a).

(3a)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 191]

Articolul 82

Standarde minime pentru prelucrarea în contextul ocupării unui loc de muncă

(1)  În limitele prezentului regulament În conformitate cu prevederile prezentului regulament și ținând cont de principiul proporționalității, statele membre pot adopta pe cale legislativă prin dispoziții legislative norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul, dar nu numai, recrutării și al cererilor de angajare în cadrul grupului de întreprinderi, al îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau și prin acorduri colective, în conformitate cu legislația și practica națională, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. Statele membre pot permite acordurilor colective să precizeze în detaliu dispozițiile stabilite în prezentul articol.

(1a)  Scopul prelucrării unor astfel de date trebuie să fie legat de motivul pentru care au fost colectate și să se realizeze strict în contextul ocupării unui loc de muncă. Crearea de profiluri sau utilizarea pentru scopuri auxiliare nu este permisă.

(1b)  Consimțământul unui angajat nu reprezintă un temei juridic pentru prelucrarea datelor de către angajator atunci când consimțământul nu a fost acordat în mod liber.

(1c)  Fără a aduce atingere celorlalte prevederi ale prezentului regulament, dispozițiile legislative naționale menționate la alineatul (1) includ cel puțin următoarele standarde minime:

(a)  prelucrarea datelor unui angajat fără înștiințarea acestuia nu este permisă. Fără a aduce atingere primei teze, statele membre pot permite o astfel de practică prin lege, stabilind termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă;

(b)  este interzisă supravegherea audio și/sau video deschisă prin mijloace electronice a părților întreprinderii inaccesibile publicului, care sunt utilizate de angajați în primul rând pentru activități private, mai ales toaletele, vestiarele, încăperile pentru odihnă și dormitoarele. Supravegherea ascunsă este în orice caz interzisă;

(c)  dacă întreprinderile sau autoritățile colectează sau prelucrează date cu caracter personal în cadrul examinărilor medicale și/sau al testelor de aptitudini, acestea trebuie să explice înainte candidatului sau angajatului în ce scop sunt utilizate datele respective și să se asigure că ulterior îi vor fi comunicate împreună cu rezultatele și, la cerere, vor fi explicate. Colectarea datelor pentru teste și analize genetice este în principiu interzisă;

(d)  acordurile colective pot reglementa dacă și în ce măsură utilizarea telefonului, a e-mailului, a internetului și a altor servicii de telecomunicații este permisă și în scopuri private. În cazul în care nu există reglementare printr-un contract colectiv, angajatorul ajunge la un acord direct cu angajatul. Dacă utilizarea privată este permisă, se admite prelucrarea datelor privind traficul, în special pentru a garanta securitatea datelor, pentru a asigura buna funcționare a rețelelor și serviciilor de telecomunicații și în vederea facturării.

Fără a aduce atingere celei de a treia teze, statele membre pot permite o astfel de practică prin lege, cu garantarea unor termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă;

(e)  datele cu caracter personal ale angajaților, și în special datele sensibile, cum ar fi orientarea politică, apartenența și activitățile sindicale nu pot fi în niciun caz utilizate pentru a înscrie angajații pe așa-numite „liste negre”, a efectua verificări asupra lor sau a-i împiedica să-și găsească un loc de muncă în viitor. Sunt interzise prelucrarea, utilizarea în contextul ocupării unui loc de muncă, redactarea și transmiterea de liste negre cu angajați sau alte forme de discriminare. Statele membre efectuează controale și adoptă sancțiuni adecvate în conformitate cu articolul 79 alineatul (6) pentru a asigura aplicarea efectivă a acestei dispoziții.

(1d)  Transmiterea și prelucrarea datelor cu caracter personal ale angajaților între întreprinderi distincte din punct de vedere juridic în cadrul unui grup de întreprinderi și profesioniștii care asigură consiliere juridică și fiscală este permisă, în măsura în care este relevantă pentru desfășurarea activității întreprinderii și pentru realizarea demersurilor și procedurilor administrative specifice și nu contravine intereselor și drepturilor fundamentale demne de a fi protejate ale persoanei vizate. Dacă datele angajaților sunt transmise într-o țară terță și/sau către o organizație internațională, se aplică capitolul V.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului alineatelor (1) și (1b), până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează.

(3)  După solicitarea unui aviz emis de Comitetul european pentru protecția datelor, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). [AM 192]

Articolul 82a

Prelucrarea în contextul securității sociale

(1)  Statele membre pot, în conformitate cu dispozițiile prezentului regulament, adopta norme legislative specifice care să precizeze condițiile pentru prelucrarea datelor cu caracter personal de către instituțiile și departamentele lor publice în contextul securității sociale dacă prelucrarea se realizează în interes public.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile pe care le adoptă în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 193]

Articolul 83

Prelucrarea în scopuri de cercetare istorică, statistică și științifică

(1)  În limitele În conformitate cu dispozițiile prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă:

(a)  aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate;

(b)  datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații atât timp cât aceste scopuri pot fi îndeplinite în acest mod în conformitate cu cele mai înalte standarde tehnice și sunt luate toate măsurile necesare pentru prevenirea reidentificarea nejustificată a persoanelor vizate.

(2)  Organismele care desfășoară activități de cercetare istorică, statistică sau științifică pot publica sau face publice în alt mod date cu caracter personal numai dacă:

(a)  persoana vizată și-a dat consimțământul, sub rezerva condițiilor prevăzute la articolul 7;

(b)  publicarea datelor cu caracter personal este necesară pentru a prezenta rezultatele cercetării sau pentru a facilita cercetarea, în măsura în care interesele sau drepturile ori libertățile fundamentale ale persoanei vizate nu prevalează asupra acestor interese sau

(c)  persoana vizată a făcut publice datele respective.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul prelucrării datelor cu caracter personal în scopurile menționate la alineatele (1) și (2), precum și a tuturor limitărilor necesare privind drepturile la informare și la acces ale persoanei vizate și care detaliază condițiile și garanțiile pentru drepturile persoanelor vizate în aceste circumstanțe. [AM 194]

Articolul 83a

Prelucrarea datelor cu caracter personal de către serviciile de arhivă

(1)  Odată ce prelucrarea inițială pentru care au fost colectate a fost finalizată, datele cu caracter personal pot fi prelucrate de serviciile de arhivă care au ca sarcină principală sau obligatorie de a colecta, păstra, comunica, exploata și disemina arhivele în interesul public, în special pentru justificarea drepturilor persoanelor sau în scopuri istorice, statistice sau științifice. Aceste sarcini sunt îndeplinite în conformitate cu normele stabilite de statele membre privind accesul, comunicarea și diseminarea documentelor administrative sau de arhivă și în conformitate cu normele stabilite în prezentul regulament, în special în ceea ce privește consimțământul și dreptul la opoziție.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 195]

Articolul 84

Obligații privind păstrarea confidențialității

(1)  În limitele În conformitate cu dispozițiile prezentului regulament, statele membre pot adopta norme specifice pentru a stabili competențele se asigură că există norme specifice de stabilire a competențelor de investigare ale autorităților de supraveghere, prevăzute la articolul 53 alineatul (2) în legătură cu operatori sau cu persoane împuternicite de operatori care trebuie să respecte, în temeiul dreptului intern sau al normelor stabilite de autoritățile naționale competente, obligația de a păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și obligația păstrării confidențialității. Aceste norme se aplică doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana împuternicită de operator le-a primit sau le-a obținut în contextul unei activități care intră sub incidența acestei obligații de păstrare a confidențialității. [AM 196]

(2)  Fiecare stat membru notifică Comisiei normele adoptate în temeiul alineatului (1), până la data precizată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, orice modificare ulterioară care le afectează.

Articolul 85

Normele existente în domeniul protecției datelor pentru biserici și asociații religioase

(1)  În cazul în care, într-un stat membru, bisericile și asociațiile sau comunitățile religioase aplică, la data intrării în vigoare a prezentului regulament, un set cuprinzător de norme adecvate de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, aceste norme pot continua să se aplice, cu condiția ca acestea să fie ajustate, pentru a fi conforme cu dispozițiile prezentului regulament.

(2)  Bisericile și asociațiile religioase care aplică un set cuprinzător de norme adecvate în conformitate cu alineatul (1) asigură instituirea unei autorități de supraveghere independente, în conformitate cu capitolul VI din prezentul regulament obțin un aviz de conformitate în temeiul articolului 38. [AM 197]

Articolul 85a

Respectarea drepturilor fundamentale

Prezentul regulament nu aduce atingere obligației de a respecta drepturile fundamentale și principiile juridice fundamentale consfințite de articolul 6 din TUE. [AM 198]

Articolul 85b

Formulare-tip

(1)  Ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor, Comisia poate stabili formulare-tip pentru:

(a)  metodele specifice de obținere a consimțământului verificabil menționat la articolul 8 alineatul (1),

(b)  comunicarea menționată la articolul 12 alineatul (2), inclusiv în format electronic,

(c)  furnizarea informațiilor prevăzute la articolul 14 alineatele (1)-(3),

(d)  solicitarea și acordarea accesului la informațiile menționate la articolul 15 alineatul (1), inclusiv pentru comunicarea datelor cu caracter personal către persoana vizată,

(e)  documentația menționată la articolul 28 alineatul (1),

(f)  notificarea autorității de supraveghere în cazul încălcării în temeiul articolului 31 și documentația menționată la articolul 31 alineatul (4),

(g)  consultările prealabile menționate la articolul 34 și pentru informarea autorităților de supraveghere, în conformitate cu articolul 34 alineatul (6).

(2)  Astfel, Comisia adoptă măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(3)  Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 199]

CAPITOLUL X

ACTE DELEGATE ȘI ACTE DE PUNERE ÎN APLICARE

Articolul 86

Exercitarea delegării de competențe

(1)  Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute de prezentul articol.

(2)  Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Se conferă Comisiei competența de a adopta actele delegate menționate la articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6) (7), articolul 81 alineatul (3), și articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. [AM 200]

(3)  Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3), articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6) (7), articolul 81 alineatul (3), și articolul 82 alineatul (3) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. [AM 201]

(4)  De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(5)  Un act delegat adoptat în temeiul articolului 6 alineatul (5), articolului 8 alineatul (3), articolului 9 alineatul (3), articolului 12 alineatul (5), articolului 14 alineatul (7), articolului 15 alineatul (3), în conformitate cu articolul 13a alineatul (5), articolului 17 alineatul (9), articolului 20 alineatul (6), articolului 22 alineatul (4), articolului 23 alineatul (3), articolului 26 alineatul (5), articolului 28 alineatul (5), articolului 30 alineatul (3), articolului 31 alineatul (5), articolului 32 alineatul (5), articolului 33 alineatul (6), articolului 34 alineatul (8), articolului 35 alineatul (11), articolului 37 alineatul (2), articolul 38 alineatul (4), articolului 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 79 alineatul (6) (7), articolului 81 alineatul (3), articolului 82 alineatul (3) și articolului 83 alineatul (3), intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu două șase luni, la inițiativa Parlamentului European sau a Consiliului. [AM 202]

Articolul 87

Procedura comitetului

(1)  Comisia este asistată de un comitet. Acesta este un comitet în sensul Regulamentului (UE) nr. 182/2011.

(2)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(3)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din același regulament. [AM 203]

CAPITOLUL XI

DISPOZIȚII FINALE

Articolul 88

Abrogarea Directivei 95/46/CE

(1)  Directiva 95/46/CE se abrogă.

(2)  Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpretează ca trimiteri la Comitetul european pentru protecția datelor instituit prin prezentul regulament.

Articolul 89

Relația cu Directiva 2002/58/CE și modificarea acesteia

(1)  Prezentul regulament nu impune obligații suplimentare pentru persoanele fizice sau juridice în ceea ce privește prelucrarea datelor cu caracter personal în legătură cu furnizarea de servicii de comunicații electronice destinate publicului în rețelele de comunicații publice din Uniune cu privire la aspectele pentru care acestea fac obiectul unor obligații specifice cu același obiectiv precum cel prevăzut în Directiva 2002/58/CE.

(2)  Articolul 1 alineatul (2) și articolele 4 și 15 din Directiva 2002/58/CE se elimină. [AM 204]

(2a)   Comisia prezintă, fără întârziere și cel târziu până la data menționată la articolul 91 alineatul (2), o propunere de revizuire a cadrului juridic aplicabil prelucrării datelor cu caracter personal și protejării sferei private în comunicările electronice, în scopul de a alinia legislația la prezentul regulament și de a asigura norme juridice coerente și uniforme referitoare la dreptul fundamental la protecția datelor cu caracter personal în Uniune. [AM 205]

Articolul 89a

Relația cu Directiva 45/2001/CE și modificarea acesteia

(1)  Dispozițiile prezentului regulament se aplică prelucrării datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii, cu privire la aspectele pentru care acestea nu fac obiectul unor dispoziții suplimentare stabilite în Regulamentul (CE) nr. 45/2001.

(2)  Comisia prezintă, fără întârziere și cel târziu până la data menționată la articolul 91 alineatul (2), o propunere de revizuire a cadrului juridic aplicabil prelucrării datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii. [AM 206]

Articolul 90

Evaluarea

Comisia transmite Parlamentului European și Consiliului, la intervale regulate, rapoarte privind evaluarea și revizuirea prezentului regulament. Primul raport se transmite în termen de cel mult patru ani de la data intrării în vigoare a prezentului regulament. Ulterior, următoarele rapoarte se transmit o dată la patru ani. Comisia transmite, dacă este necesar, propuneri corespunzătoare în vederea modificării prezentului regulament, precum și alinierea altor instrumente juridice, în special ținând seama de realizările din domeniul tehnologiei informațiilor și având în vedere progresele societății informaționale. Rapoartele se publică.

Articolul 91

Intrarea în vigoare și aplicarea

(1)  Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2)  Se aplică începând cu ...(22).

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptată la ...,

Pentru Parlamentul European Pentru Consiliu

Președintele Președintele

Anexă - Prezentarea detaliilor menționate la articolul 13a

1)  Având în vedere proporțiile menționate la punctul 6, detaliile se furnizează după cum urmează:

2)  Următoarele cuvinte din liniile din a doua coloană a tabelului de la punctul 1 cu titlul „INFORMAȚII ESENȚIALE” se marchează cu caractere aldine:

a)  cuvântul „colectate” din prima linie din a doua coloană;

b)  cuvântul „păstrate” din a doua linie din a doua coloană;

c)  cuvântul „prelucrate” din a treia linie din a doua coloană;

d)  cuvântul „diseminate” din a patra linie din a doua coloană;

e)  cuvintele „vândute sau închiriate” din a cincea linie din a doua coloană;

f)  cuvântul „necriptată” din a șasea linie din a doua coloană.

3)  Având în vedere proporțiile menționate la punctul 6, liniile din a treia coloană din tabelul de la punctul 1 cu titlul „ÎNDEPLINIT” se completează, în conformitate cu condițiile stabilite la punctul 4, cu una din următoarele două forme grafice:

a)

b)

4)  

a)  Dacă nu se colectează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, prima linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

b)  Dacă se colectează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, prima linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

c)  Dacă nu se păstrează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, a doua linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

d)  Dacă se păstrează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, a doua linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

e)  Dacă datele cu caracter personal nu se prelucrează în alte scopuri decât în scopurile pentru care au fost colectate, a treia linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

f)  Dacă datele cu caracter personal se prelucrează în alte scopuri decât în scopurile pentru care au fost colectate, a treia linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

g)  Dacă datele cu caracter personal nu sunt diseminate unor părți terțe comerciale, a patra linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

h)  Dacă datele cu caracter personal sunt diseminate unor părți terțe comerciale, a patra linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

i)  Dacă datele cu caracter personal nu sunt vândute sau închiriate, a cincea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

j)  Dacă datele cu caracter personal sunt vândute sau închiriate, a cincea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

k)  Dacă datele cu caracter personal nu sunt păstrate într-o formă necriptată, a șasea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

l)  Dacă datele cu caracter personal sunt păstrate într-o formă necriptată, a șasea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

5)  Culorile de referință ale formelor grafice de la punctul 1 în Pantone sunt negru Pantone nr. 7547 și roșu Pantone nr. 485. Culoarea de referință a formei grafice la punctul 3a în Pantone este verde Pantone nr. 370. Culoarea de referință a formei grafice la punctul 3b în Pantone este roșu Pantone nr. 485.

6)  Se respectă proporțiile indicate în următorul desen gradat, chiar dacă tabelul este redus sau mărit:

[AM 207]

(1) JO C 229, 31.7.2012, p. 90. (2) JO C 192, 30.6.2012, p. 7. (3) JO C 229, 31,7,2012, p. 90. (4) JO C 192, 30,6,2012, p. 7. (5) Poziția Parlamentului European din 12 martie 2014. (6) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31). (7) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36). (8) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p.1). (9) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic) (JO L 178, 17.7.2000, p. 1). (10) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29). (11) Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă (JO L 354, 31.12.2008, p. 70) (12) Directiva 2009/38/CE a Parlamentului European și a Consiliului din 6 mai 2009 privind instituirea unui comitet european de întreprindere sau a unei proceduri de informare și consultare a lucrătorilor în întreprinderile și grupurile de întreprinderi de dimensiune comunitară (JO L 122, 16.5.2009, p. 28). (13) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie, JO L 55, 28.2.2011, p. 13. (14) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37). (15) JO L 176, 10.7.1999, p. 36. (16) JO L 53, 27.2.2008, p. 52. (17) JO L 160, 18.6.2011, p. 21. (18) Directiva 2004/18/CE a Parlamentului European și a Consiliului din 31 martie 2004 privind coordonarea procedurilor de atribuire a contractelor de achiziții publice de lucrări, de bunuri și de servicii (JO L 134, 30.4.2004, p. 114). (19) Directiva 2004/17/CE a Parlamentului European și a Consiliului din 31 martie 2004 de coordonare a procedurilor de atribuire a contractelor publice din sectoarele apei, energiei, transporturilor și serviciilor poștale (JO L 134, 30.4.2004, p. 1). (20) Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43). (21) Directiva 2001/20/CE a Parlamentului European și a Consiliului din 4 aprilie 2001 de apropiere a actelor cu putere de lege și a actelor administrative ale statelor membre privind aplicarea bunelor practici clinice în cazul efectuării de studii clinice pentru evaluarea produselor medicamentoase de uz uman (JO L 121, 1.5.2001, p. 34)." (22) Doi ani de la data intrării în vigoare a prezentului regulament.

Rezoluţia legislativă a Parlamentului European din 12 martie 2014 referitoare la proiectul de regulament al Consiliului de extindere la statele membre neparticipante a aplicării Regulamentului (UE) nr. …/2012 de instituire a unui program de schimb, asistență și formare profesională pentru protecția monedei euro împotriva contrafacerii (programul „Pericles 2020”) (16616/2013 – C7-0463/2013 – 2011/0446(APP))

P7_TA(2014)0213 A7-0152/2014

(Procedura legislativă specială – aprobare)

Parlamentul European,

–  având în vedere proiectul de regulament al Consiliului (16616/2013),

–  având în vedere cererea de aprobare prezentată de Consiliu în conformitate cu articolul 352 din Tratatul privind funcționarea Uniunii Europene (C7-0463/2013),

–  având în vedere articolul 81 alineatul (1) primul și al treilea paragraf din Regulamentul său de procedură,

–  având în vedere recomandarea Comisiei pentru libertăți civile, justiție și afaceri interne (A7-0152/2014),

1.  aprobă proiectul de regulament al Consiliului;

2.  încredințează Președintelui sarcina de a transmite poziția Parlamentului, Consiliului și Comisiei, precum și parlamentelor naționale.

Rezoluţia legislativă a Parlamentului European din 12 martie 2014 referitoare la proiectul de decizie a Consiliului privind încheierea Acordului dintre Uniunea Europeană și Republica Azerbaidjan privind facilitarea eliberării vizelor (17846/2013 – C7-0078/2014 – 2013/0356(NLE))

P7_TA(2014)0214 A7-0155/2014

(Procedura de aprobare)

Parlamentul European,

–  având în vedere proiectul de decizie a Consiliului (17846/2013),

–  având în vedere proiectul de acord dintre Uniunea Europeană și Republica Azerbaidjan privind facilitarea eliberării vizelor (15554/2013),

–  având în vedere cererea de aprobare prezentată de Consiliu în conformitate cu articolul 77 alineatul (2) litera (a) și cu articolul 218 alineatul (6) al doilea paragraf litera (a) din Tratatul privind funcționarea Uniunii Europene (C7-0078/2014),

–  având în vedere articolul 81 alineatul (1) primul și al treilea paragraf, articolul 81 alineatul (2) și articolul 90 alineatul (7) din Regulamentul său de procedură,

–  având în vedere recomandarea Comisiei pentru libertăți civile, justiție și afaceri interne și avizul Comisiei pentru afaceri externe (A7-0155/2014),

1.  aprobă încheierea acordului;

2.  încredințează Președintelui sarcina de a transmite poziția Parlamentului Consiliului și Comisiei, precum și guvernelor și parlamentelor statelor membre și Republicii Azerbaidjan.

Rezoluţia legislativă a Parlamentului European din 12 martie 2014 referitoare la proiectul de decizie a Consiliului privind încheierea Acordului dintre Uniunea Europeană și Republica Azerbaidjan privind readmisia persoanelor aflate în situație de ședere ilegală (15596/2013 – C7-0079/2014 – 2013/0358(NLE))

P7_TA(2014)0215 A7-0154/2014

(Procedura de aprobare)

Parlamentul European,

–  având în vedere proiectul de decizie a Consiliului (15596/2013),

–  având în vedere proiectul de acord dintre Uniunea Europeană și Republica Azerbaidjan privind readmisia persoanelor aflate în situație de ședere ilegală (15594/2013),

–  având în vedere cererea de aprobare prezentată de Consiliu în conformitate cu articolul 79 alineatul (3) și cu articolul 218 alineatul (6) al doilea paragraf litera (a) din Tratatul privind funcționarea Uniunii Europene (C7-0079/2014),

–  având în vedere articolul 81 alineatul (1) primul și al treilea paragraf, articolul 81 alineatul (2) și articolul 90 alineatul (7) din Regulamentul său de procedură,

–  având în vedere recomandarea Comisiei pentru libertăți civile, justiție și afaceri interne și avizul Comisiei pentru afaceri externe (A7-0154/2014),

1.  aprobă încheierea acordului;

2.  încredințează Președintelui sarcina de a transmite poziția Parlamentului Consiliului și Comisiei, precum și guvernelor și parlamentelor statelor membre și ale Republicii Azerbaidjan.

Recomandarea Parlamentului European adresată Consiliului din 12 martie 2014 privind angajamentul umanitar al actorilor armați nestatali în domeniul protecției copilului (2014/2012(INI))

P7_TA(2014)0216 A7-0160/2014

Parlamentul European,

–  având în vedere propunerea de recomandare adresată Consiliului de Catherine Grèze, Eva Joly, Isabella Lövin, Judith Sargentini, Bart Staes și Keith Taylor în numele Grupului Verts/ALE, privind angajamentul umanitar al actorilor armați nestatali în ce privește protecția copilului (B7-0585/2013),

–  având în vedere Raportul din 2013 al Secretarului General al Organizației Națiunilor Unite cu privire la copii și conflictele armate, precum și alte rapoarte elaborate de actori relevanți,

–  având în vedere orientările UE privind copiii și conflictele armate din 2008, strategia de punere în aplicare a orientărilor UE privind copiii și conflictele armate din 2010 și Lista de control din 2008 pentru integrarea protecției copiilor afectați de conflictele armate în operațiunile PESA,

–  având în vedere concluziile Consiliului din 2008 privind „promovarea și protecția drepturilor copilului în acțiunile externe ale Uniunii Europene - dimensiunea dezvoltării și dimensiunea umanitară”,

–  având în vedere rezoluțiile sale din 19 februarie 2009 referitoare la locul special pe care îl ocupă copiii în acțiunile externe ale UE(1), din 16 ianuarie 2008 referitoare la strategia UE privind drepturile copilului(2), din 3 iulie 2003 referitoare la traficul de copii și copiii‑soldați(3), din 6 iulie 2000 referitoare la răpirea copiilor de către Armata de Rezistență a Domnului (ARD)(4) și din 17 decembrie 1998 referitoare la copii–soldați(5),

–  având în vedere rezoluțiile Organizației Națiunilor Unite privind drepturile copilului, în special Rezoluția 1612 (2005) a Consiliului de Securitate al Organizației Națiunilor Unite,

–  având în vedere Protocolul opțional la Convenția privind drepturile copiilor referitor la implicarea copiilor în conflictele armate din 2002,

–  având în vedere angajamentele de la Paris privind protecția copiilor împotriva recrutării ilegale sau a folosirii lor de către forțe sau grupări armate și principiile directoare de la Paris privind copiii asociați cu forțele sau grupările armate, ambele adoptate la 6 februarie 2007,

–  având în vedere articolul 121 alineatul (3) și articolul 97 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru dezvoltare (A7-0160/2014),

A.  întrucât majoritatea conflictelor armate actuale implică unul sau mai mulți actori armați nestatali care luptă împotriva statelor sau a altor grupuri armate, în timp ce civilii și în special copiii devin principalele victime ale războaielor;

B.  întrucât spectrul acestor actori nestatali este foarte larg și cuprinde o gamă largă de identități și motivații, precum și grade variabile de voință și capacitate de a respecta dreptul internațional umanitar și alte norme de drept internațional, însă toți trebuie supuși unui control în acest sens;

C.  întrucât în vederea îmbunătățirii protecției civililor și în special a copiilor, trebuie să se țină seama de toate părțile implicate în conflict;

D.  întrucât normele umanitare internaționale se aplică tuturor părților aflate într-un conflict armat și sunt obligatorii pentru acestea;

E.  întrucât conflictele armate au un impact devastator asupra dezvoltării fizice și psihice a copiilor, având consecințe pe termen lung asupra securității umane și a dezvoltării durabile;

F.  întrucât Statutul Tribunalului Penal Internațional incriminează recrutarea și înrolarea copiilor cu vârsta sub 15 ani în forțele sau grupurile armate sau utilizarea acestora pentru a participa activ la ostilități;

G.  întrucât dreptul internațional interzice orice formă de violență sexuală, inclusiv împotriva copiilor, și întrucât actele de violență sexuală pot fi considerate drept crime de război, crime împotriva umanității sau genocid;

H.  întrucât utilizarea minelor antipersonal a scăzut de la adoptarea Convenției de interzicere a minelor în 1997, însă acestea reprezintă încă o amenințare la adresa copiilor, în special în conflictele armate care nu au caracter internațional;

I.  întrucât comunitatea internațională are datoria morală de a urmări ca toate părțile implicate în conflicte, atât statele, cât și actorii armați nestatali, se angajează în vederea protejării copiilor,

J.  întrucât demobilizarea, reabilitarea și reintegrarea copiilor-soldați trebuie să facă parte din orice negociere și din orice acord de pace încheiat în urma conflictelor și să fie abordate chiar pe perioada conflictelor;

K.  întrucât demobilizarea și reintegrarea copiilor‑soldați realizate cu succes pot contribui la întreruperea cercului vicios al violenței;

1.  adresează următoarele recomandări comisarului pentru dezvoltare și Vicepreședintelui Comisiei/ Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate:

2.  încredințează Președintelui sarcina de a transmite prezenta recomandare comisarului pentru dezvoltare, Vicepreședintelui Comisiei/Înaltului Reprezentant al Uniunii pentru afaceri externe și politica de securitate, Comisiei, Consiliului și Serviciului European de Acțiune Externă.

(1) JO C 76 E, 25.3.2010, p. 3. (2) JO C 41 E, 19.2.2009, p. 24. (3) JO C 74 E, 24.3.2004, p. 854. (4) JO C 121, 24.4.2001, p. 401. (5) JO C 98, 9.4.1999, p. 297.

Decizia Parlamentului European din 12 martie 2014 privind privind numărul delegațiilor interparlamentare, al delegațiilor la comisiile parlamentare mixte, precum și al delegațiilor la comisiile de cooperare parlamentară și la Adunările parlamentare multilaterale (2014/2632(RSO))

P7_TA(2014)0217 B7-0240/2014

Parlamentul European,

–  având în vedere propunerea Conferinței președinților,

–  având în vedere acordurile de asociere, cooperare și de altă natură încheiate de Uniunea Europeană cu țări terțe;

–  având în vedere articolele 198 și 200 din Regulamentul său de procedură,

A.  doritor să consolideze democrația parlamentară prin încurajarea unui dialog interparlamentar continuu,

1.  decide ca numărul delegațiilor și al grupărilor lor regionale să fie după cum urmează:

2.  decide că membrii comisiilor parlamentare create pe baza Acordului de parteneriat economic (APC) să fie aleși exclusiv din cadrul Comisiei pentru comerț internațional și al Comisiei pentru dezvoltare, asigurând menținerea rolului coordonator al Comisiei pentru comerț internațional, competentă în fond, precum și că aceștia ar trebui să-și coordoneze strâns activitatea cu Adunarea Parlamentară Paritară ACP-UE;

3.  decide că membrii Delegației la Adunarea Parlamentară a Uniunii pentru Mediterana, ai Delegației la Adunarea Parlamentară Euro-Latinoamericană și ai Delegația la Adunarea Parlamentară Euronest să fie aleși exclusiv din cadrul delegațiilor bilaterale sau subregionale aferente fiecărei adunări;

4.  decide că membrii Delegației pentru relațiile cu Adunarea Parlamentară a NATO să fie aleși în mod exclusiv din cadrul Subcomisiei pentru securitate și apărare;

5.  decide că Conferința președinților de delegație ar trebui să redacteze un proiect de calendar bianual, care ar urma să fie adoptat de Conferința președinților după consultarea Comisiei pentru afaceri externe, a Comisiei pentru dezvoltare și a Comisiei pentru comerț internațional, cu condiția ca Conferința președinților să poată modifica calendarul în cauză pentru a răspunde unor evenimente politice;

6.  decide ca grupurile politice și deputații neafiliați să numească supleanți permanenți care vor activa în fiecare tip de delegație și ca numărul acestor supleanți să nu poată depăși numărul membrilor titulari care reprezintă grupurile sau deputații neafiliați;

7.  decide să intensifice cooperarea cu comisiile implicate în activitatea delegațiilor și să le consulte mai des prin organizarea unor reuniuni comune între aceste organisme, la locurile obișnuite de desfășurare a activității;

8.  va încerca să asigure că, în practică, unul sau mai mulți dintre raportorii/președinții comisiilor pot lua parte și ei la reuniunile delegațiilor, ale comisiilor interparlamentare mixte, ale comisiilor parlamentare de cooperare și ale adunărilor parlamentare multilaterale; decide, ca Președintele, la cererea comună a președintelui delegației și a președintelui comisiei implicate, să autorizeze misiuni de acest tip;

9.  decide că prezenta decizie intră în vigoare în prima perioadă de sesiune a celei de-a opta legislaturi;

10.  încredințează Președintelui sarcina de a transmite prezenta decizie Consiliului, Comisiei și Serviciului European de Acțiune Externă.

Rezoluţia Parlamentului European din 12 martie 2014 referitoare la Regulamentul delegat al Comisiei din 12 decembrie 2013 de modificare a Regulamentului (UE) nr. 1169/2011 al Parlamentului European și al Consiliului privind informarea consumatorilor cu privire la produsele alimentare în ceea ce privește definiția „nanomaterialelor fabricate” (C(2013)08887 - 2013/2997(DEA))

P7_TA(2014)0218 B7-0185/2014

Parlamentul European,

–  având în vedere Regulamentul delegat al Comisiei C(2013)08887,

–  având în vedere articolul 290 din Tratatul privind funcționarea Uniunii Europene,

–  având în vedere Regulamentul (UE) nr. 1169/2011 al Parlamentului European și al Consiliului din 25 octombrie 2011 privind informarea consumatorilor cu privire la produsele alimentare(1), în special articolul 2 alineatul (2) litera (t), articolul 18 alineatele (3) și (5), precum și articolul 51 alineatul (5),

–  având în vedere propunerea Comisiei de regulament al Parlamentului European și al Consiliului privind alimentele noi COM(2013)0894,

–  având în vedere Regulamentul (CE) nr. 1333/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind aditivii alimentari(2),

–  având în vedere listele Uniunii stabilite prin Regulamentul (UE) nr. 1129/2011 al Comisiei din 11 noiembrie 2011 de modificare a anexei II la Regulamentul (CE) nr. 1333/2008 al Parlamentului European și al Consiliului prin stabilirea unei liste a Uniunii a aditivilor alimentari(3) și prin Regulamentul (UE) nr. 1130/2011 al Comisiei din 11 noiembrie 2011 de modificare a anexei III la Regulamentul (CE) nr. 1333/2008 al Parlamentului European și al Consiliului privind aditivii alimentari, prin stabilirea unei liste a Uniunii a aditivilor alimentari autorizați pentru utilizarea în aditivii alimentari, în enzimele alimentare, în aromele alimentare și în nutrienți(4),

–  având în vedere Regulamentul (UE) nr. 257/2010 al Comisiei din 25 martie 2010 de stabilire a unui program de reevaluare a aditivilor alimentari autorizați în conformitate cu Regulamentul (CE) nr. 1333/2008 al Parlamentului European și al Consiliului privind aditivii alimentari(5),

–  având în vedere propunerea de rezoluție a Comisiei pentru mediu, sănătate publică și siguranță alimentară,

–  având în vedere articolul 87a alineatul (3) din Regulamentul său de procedură,

A.  întrucât articolul 18 alineatul (3) din Regulamentul (UE) nr. 1169/2011 privind informarea consumatorilor cu privire la produsele alimentare prevede că toate ingredientele alimentare prezente sub formă de nanomateriale fabricate trebuie specificate în mod clar în lista ingredientelor alimentare, pentru a asigura informarea consumatorilor; întrucât, în consecință, regulamentul respectiv prevede o definiție a „nanomaterialelor fabricate”;

B.  întrucât articolul 18 alineatul (5) din regulamentul amintit mai sus împuternicește Comisia să ajusteze și să adapteze definiția „nanomaterialelor fabricate” menționată la articolul respectiv în funcție de progresele tehnice și științifice sau de definițiile convenite la nivel internațional, prin intermediul actelor delegate, în scopul atingerii obiectivelor regulamentului în cauză;

C.  întrucât Recomandarea 2011/696/UE a Comisiei stabilește o definiție generală a nanomaterialelor;

D.  întrucât Regulamentele (UE) nr. 1129/2011 și (UE) nr. 1130/2011 ale Comisiei au stabilit liste ale Uniunii cuprinzătoare, precizând aditivii alimentari care au fost autorizați pentru utilizare înainte de intrarea în vigoare a Regulamentului (CE) nr. 1333/2008, după ce s-a examinat conformitatea acestora cu dispozițiile regulamentului menționat;

E.  întrucât regulamentul delegat al Comisiei exclude toți aditivii alimentari incluși în listele Uniunii din noua definiție a „nanomaterialului fabricat” și sugerează, în schimb, ca necesitatea de a stabili cerințe de etichetare specifice legate de nanomateriale în ceea ce privește aditivii respectivi să fie abordată în contextul programului de reevaluare, în conformitate cu Regulamentul (UE) nr. 257/2010 al Comisiei, prin modificarea, dacă este necesar, a condițiilor de utilizare din anexa II la Regulamentul (CE) nr. 1333/2008 și a specificațiilor acestor aditivi alimentari, prevăzute în Regulamentul (UE) nr. 231/2012 al Comisiei(6);

F.  întrucât, în momentul de față, tocmai aditivii alimentari pot fi prezenți ca nanomateriale în produsele alimentare;

G.  întrucât această derogare generală anulează dispozițiile de etichetare pentru toți aditivii alimentari care sunt nanomateriale fabricate; întrucât acest lucru privează actul legislativ de principalul său efect util și contravine obiectivului fundamental al directivei de a urmări asigurarea unui nivel ridicat de protecție a sănătății și intereselor consumatorilor, oferind consumatorilor finali o bază pentru a face o alegere în cunoștință de cauză;

H.  întrucât Comisia justifică această derogare generală pentru toți aditivii alimentari existenți afirmând că „indicarea unor astfel de aditivi alimentari în lista ingredientelor, urmați de cuvântul „nano” între paranteze, poate genera confuzie în rândul consumatorilor, deoarece s-ar putea înțelege că acești aditivi sunt noi, deși, în realitate, ei au fost utilizați de decenii în produse alimentare sub această formă”;

I.  întrucât această justificare este eronată și irelevantă, deoarece Regulamentul privind informarea consumatorilor cu privire la produsele alimentare nu prevede o distincție între nanomaterialele existente și cele noi, dar impune în mod explicit etichetarea tuturor ingredientelor prezente sub formă de nanomateriale fabricate;

J.  întrucât intenția declarată a Comisiei de a aborda necesitatea unor cerințe de etichetare specifice legate de nanomateriale în ceea ce privește aditivii alimentari din listele Uniunii în contextul programului de reevaluare este inoportună, deoarece confundă aspecte legate de siguranță cu cerințe generale de etichetare pentru informarea consumatorilor; întrucât această intenție sugerează, de asemenea, că Comisia pune sub semnul întrebării necesitatea unor cerințe de etichetare specifice legate de nanomateriale, ceea ce încalcă dispozițiile articolului 18 alineatul (3) din Regulamentul privind informarea consumatorilor cu privire la produsele alimentare; întrucât fie un aditiv alimentar este un nanomaterial, fie nu, și astfel de cerințe de etichetare trebuie să fie puse în aplicare pentru toți aditivii alimentari autorizați care sunt nanomateriale, indiferent de condițiile de utilizare sau alte specificații;

K.  întrucât, mai mult, este inacceptabil să se facă trimitere la un program de reevaluare fără legătură cu chestiunea, care exista deja atunci când legiuitorul a decis să introducă în mod explicit cerințe de etichetare în Regulamentul privind informarea consumatorilor cu privire la produsele alimentare, în încercarea de a anula respectivele cerințe de etichetare trei ani mai târziu,

1.  formulează obiecțiuni la Regulamentul delegat al Comisiei;

2.  consideră că regulamentul delegat al Comisiei nu este compatibil cu scopul și conținutul Regulamentului (UE) nr. 1169/2011 și că depășește competențele delegate conferite Comisiei în temeiul celui din urmă act;

3.  solicită Comisiei să prezinte un nou act delegat care să țină cont de poziția Parlamentului;

4.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Comisiei și de a-i notifica faptul că regulamentul delegat nu poate intra în vigoare;

5.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Consiliului și guvernelor și parlamentelor statelor membre.

(1) JO L 304, 22.11.2011, p. 18. (2) JO L 354, 31.12.2008, p. 16. (3) JO L 295, 12.11.2011, p. 1. (4) JO L 295, 12.11.2011, p. 178. (5) JO L 80, 26.3.2010, p. 19. (6) Regulamentul (UE) nr. 231/2012 al Comisiei din 9 martie 2012 de stabilire a specificațiilor pentru aditivii alimentari enumerați în anexele II și III la Regulamentul (CE) nr. 1333/2008 al Parlamentului European și al Consiliului (JO L 83, 22.3.2012, p. 1).

Rezoluţia legislativă a Parlamentului European din 12 martie 2014 referitor la propunerea de directivă a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

P7_TA(2014)0219 A7-0403/2013

(Procedura legislativă ordinară: prima lectură)

Parlamentul European,

–  având în vedere propunerea Comisiei înaintată Parlamentului și Consiliului (COM(2012)0010),

–  având în vedere articolul 294 alineatul (2) și articolul 16 alineatul (2) litera (a) din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7-0024/2012),

–  având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

–  având în vedere avizele motivate prezentate de către Bundesrat-ul german și Parlamentul Suediei în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,

–  având în vedere avizul Autorității Europene pentru Protecția Datelor din 7 martie 2012(1),

–  având în vedere avizul Agenției pentru Drepturi Fundamentale a Uniunii Europene din 1 octombrie 2012,

–  având în vedere articolul 55 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru libertăți civile, justiție și afaceri interne și avizul Comisiei pentru afaceri juridice (A7-0403/2013),

1.  adoptă poziția în primă lectură prezentată în continuare;

2.  solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;

3.  încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.

Poziția Parlamentului European adoptată în primă lectură la 12 martie 2014 în vederea adoptării Directivei 2014/…/UE a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 alineatul (2),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

după consultarea Autorității Europene pentru Protecția Datelor(2),

hotărând în conformitate cu procedura legislativă ordinară(3),

întrucât:

(1)  Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („Carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene prevăd că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Articolul 8 alineatul (2) din Cartă prevede că astfel de date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau a unui alt motiv legitim prevăzut de lege. [AM 1]

(2)  Prelucrarea datelor cu caracter personal este în serviciul cetățeanului; principiile și normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal. Aceasta ar trebui să contribuie la realizarea unui spațiu de libertate, securitate și justiție.

(3)  Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea colectării și a schimbului și de date a crescut spectaculos. Tehnologia permite autorităților competente să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor.

(4)  Această evoluție necesită facilitarea liberei circulații a datelor, atunci când este necesar și proporționat, între autoritățile competente în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal. Aceste evoluții impun construirea unui cadru solid și mai coerent în materie de protecție a datelor în Uniune, însoțit de o aplicare riguroasă a normelor. [AM 2]

(5)  Directiva 95/46/CE a Parlamentului European și a Consiliului(4) se aplică tuturor activităților de prelucrare a datelor cu caracter personal în statele membre, atât în sectorul public, cât și în cel privat. Cu toate acestea, directiva menționată nu se aplică prelucrării datelor cu caracter personal „puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar”, cum ar fi activitățile în domeniul cooperării judiciare în materie penală și al cooperării polițienești.

(6)  Decizia-cadru 2008/977/JAI a Consiliului(5) se aplică în domeniul cooperării judiciare în materie penală și al cooperării polițienești. Domeniul de aplicare a prezentei decizii-cadru este limitat la prelucrarea datelor cu caracter personal transmise sau puse la dispoziție între statele membre.

(7)  Asigurarea unui nivel omogen și ridicat de protecție a datelor cu caracter personal ale persoanelor fizice și facilitarea schimbului de date cu caracter personal între autoritățile competente ale statelor membre sunt esențiale pentru a se garanta eficacitatea cooperării judiciare în materie penală și a cooperării polițienești. În acest scop, nivelul de protecție a drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor trebuie să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează date cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele în materie de protecție a datelor cu caracter personal în statele membre. [AM 3]

(8)  Articolul 16 alineatul (2) din Tratatul privind funcționarea Uniunii Europene prevede că Parlamentul European și Consiliul ar trebui să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum și normele privind libera circulație a datelor lor cu caracter personal. [AM 4]

(9)  Pe această bază, Regulamentul (UE) nr. .../2014 al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) stabilește normele generale pentru protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și garantarea liberei circulații a acestor date în cadrul Uniunii.

(10)  În Declarația 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată la actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, Conferința a recunoscut că normele specifice privind protecția datelor cu caracter personal și libera circulație a acestor date în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 din Tratatul privind funcționarea Uniunii Europene s-ar putea dovedi necesare, având în vedere natura specifică a acestor domenii.

(11)  Prin urmare, o directivă distinctă specifică ar trebui să fie adaptată naturii specifice a acestor domenii și să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor. [AM 5]

(12)  În vederea asigurării aceluiași nivel de protecție pentru persoanele fizice prin drepturi garantate din punct de vedere juridic în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică schimbul de date cu caracter personal între autoritățile competente, directiva ar trebui să prevadă norme armonizate pentru protecția și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești.

(13)  Prezenta directivă permite luarea în considerare a principiului accesului publicului la documentele oficiale, în aplicarea dispozițiilor prevăzute de aceasta.

(14)  Protecția conferită de prezenta directivă ar trebui să vizeze persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal.

(15)  Protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnicile utilizate, în caz contrar, creându-se un risc serios de eludare. Protecția persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automate, precum și prelucrării manuale, în cazul în care datele sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice, nu ar trebui să intre în domeniul de aplicare a prezentei directive. Aceasta nu ar trebui să se aplice prelucrării datelor cu caracter personal în cadrul unei activități care nu intră în domeniul de aplicare a dreptului Uniunii, în special privind securitatea națională, nici prelucrării datelor efectuate de către instituțiile, organismele, oficiile și agențiile Uniunii, cum ar fi Europol sau Eurojust. Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului(6) și instrumentele juridice specifice aplicabile agențiilor, organismelor sau birourilor Uniunii ar trebui aduse la conformitate cu prezenta directivă și aplicate în conformitate cu aceasta. [AM 6]

(16)  Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se stabili dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării sau individualizării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă. Prezenta directivă nu ar trebui să se aplice datelor anonime, prin acestea înțelegându-se orice date care nu pot fi legate, direct sau indirect, izolate sau în combinație cu date asociate, de o persoană fizică. Având în vedere importanța evoluțiilor aflate în desfășurare în societatea informațională, a tehnicilor folosite pentru a capta, transmite, manipula, înregistra, stoca sau comunica date de localizare referitoare la persoane fizice, care pot fi utilizate în diferite scopuri, inclusiv supravegherea sau crearea de profiluri, prezenta directivă ar trebui să se poată aplica procesării care implică astfel de date personale. [AM 7]

(16a)  Orice prelucrare a datelor cu caracter personal trebuie să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor cu caracter personal. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la minimul necesar scopurilor în care sunt prelucrate. Aceasta presupune îndeosebi limitarea datelor colectate și a perioadei în care sunt stocate datele la minimul necesar. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui luate toate măsurile rezonabile pentru a se asigura rectificarea sau ștergerea datelor cu caracter personal care sunt inexacte. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. [AM 8]

(17)  Datele cu caracter personal referitoare la sănătate ar trebui să includă, în special, toate datele având legătură cu starea de sănătate a persoanei vizate; informații privind înscrierea persoanei pentru acordarea de servicii medicale; informații privind plățile pentru asistență medicală efectuate de persoana fizică sau privind eligibilitatea acesteia pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri medicale; orice informații privind persoana fizică respectivă colectate în cadrul furnizării de servicii de sănătate pentru aceasta; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv eșantioane de material biologic; identificarea unei persoane ca furnizor de asistență medicală pentru persoana fizică respectivă sau orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate, indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

(18)  Orice prelucrare a datelor cu caracter personal trebuie să fie echitabilă și legală în raport cu persoanele vizate. În special, scopul specific pentru care sunt prelucrate datele ar trebui să fie explicit. [AM 9]

(19)  Pentru prevenirea, cercetarea și urmărirea penală a infracțiunilor, autoritățile competente trebuie să păstreze și să prelucreze datele cu caracter personal colectate în contextul prevenirii, identificării, investigării sau urmăririi penale a anumitor infracțiuni penale dincolo de acest context pentru a înțelege mai bine fenomenele și tendințele infracționale, pentru a culege informații despre rețelele de crimă organizată și pentru a face legături între diferitele infracțiuni constatate. [AM 10]

(20)  Datele cu caracter personal nu ar trebui prelucrate în scopuri considerate incompatibile cu scopul în care au fost colectate. Datele cu caracter personal ar trebui să fie adecvate, relevante și neexcesive în ceea ce privește scopurile în care sunt prelucrate datele cu caracter personal. Ar trebui luate toate măsurile rezonabile pentru a se asigura rectificarea sau ștergerea datelor cu caracter personal care sunt inexacte. [AM 11]

(20a)  Simplul fapt că două scopuri se referă la prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau la executarea pedepselor nu înseamnă neapărat că acestea sunt compatibile. Cu toate acestea, există cazuri în care prelucrarea ulterioară de date în scopuri incompatibile ar trebui permisă dacă este necesară pentru respectarea unei obligații legale care incumbă operatorului, în vederea protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane sau în vederea prevenirii unei amenințări imediate și grave la adresa securității publice. Prin urmare, statele membre ar trebui să fie în măsură să adopte o legislație națională care să prevadă asemenea derogări în măsura în care este strict necesar. Legile naționale respective ar trebui să conțină garanții adecvate. [AM 12]

(21)  Principiul exactității datelor ar trebui aplicat luând în considerare natura și scopul prelucrării în cauză. În special în cadrul procedurilor judiciare, declarațiile care conțin date cu caracter personal se bazează pe o percepție subiectivă a persoanelor fizice și nu sunt întotdeauna verificabile. În consecință, acest principiu nu ar trebui să se aplice exactității unei declarații, ci doar faptului că o anumită declarație a fost făcută.

(22)  În interpretarea și aplicarea principiilor generale referitoare la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, ar trebui să se țină seama de specificul sectorului, inclusiv de obiectivele specifice urmărite. [AM 13]

(23)  Prelucrarea datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești presupune prelucrarea datelor cu caracter personal referitoare la diferite categorii de persoane. Prin urmare, ar trebui să se facă o distincție cât mai clară între datele cu caracter personal ale diferitelor categorii de persoane vizate, cum ar fi suspecții, persoanele condamnate pentru comiterea unei infracțiuni, victimele și părțile terțe, cum ar fi martorii, persoanele care dețin informații sau contacte relevante și complicii suspecților și ai infractorilor condamnați. Statele membre ar trebui să prevadă norme specifice referitoare la consecințele acestei clasificări pe categorii, luând în considerare diferitele scopuri în care sunt colectate datele și asigurând garanții specifice în ceea ce privește persoanele care nu sunt suspectate de a fi comis o infracțiune penală sau nu au fost condamnate pentru săvârșirea acesteia. [AM 14]

(24)  Pe cât posibil, datele cu caracter personal ar trebui diferențiate în funcție de gradul de exactitate și fiabilitate. Ar trebui să se facă diferența între fapte și evaluări cu caracter personal, pentru a garanta atât protecția persoanelor fizice, cât și calitatea și fiabilitatea informațiilor prelucrate de autoritățile competente.

(25)  Pentru a fi legală, prelucrarea datelor cu caracter personal ar trebui să fie permisă numai când aceasta este necesară pentru respectarea unei obligații legale care incumbă operatorului, pentru îndeplinirea unei sarcini de interes public de către o autoritate competentă în temeiul legii sau în scopul protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane, sau în scopul prevenirii unei amenințări imediate și grave la adresa securității publice dreptului Uniunii sau dreptului statelor membre, care ar trebui să cuprindă dispoziții explicite și detaliate legate cel puțin de obiectivele, datele personale, mijloacele și scopurile specifice, să desemneze operatorul de date sau să permită desemnarea acestuia, procedurile ce urmează a fi respectate, utilizarea și limitările domeniului de aplicare ale oricărei prerogative conferite de autoritățile competente în legătură cu activitățile de procesare. [AM 15]

(25a)  Datele cu caracter personal nu ar trebui prelucrate în scopuri considerate incompatibile cu scopul în care au fost colectate. Prelucrarea suplimentară de către autoritățile competente pentru un scop care intră în domeniul de aplicare al prezentei directive dar care nu este compatibil cu scopul inițial ar trebui să fie autorizată numai în situații specifice în care o asemenea prelucrare este necesară pentru conformitatea cu o obligație legală, pe baza legislației Uniunii sau a statului membru, care se aplică operatorului sau pentru a proteja interesele vitale ale persoanei vizate sau al altei persoane sau pentru prevenirea unei amenințări imediate grave la adresa siguranței publice. Faptul că datele sunt prelucrate în scopul aplicării legii nu implică în mod necesar că acest scop este compatibil cu scopul inițial. Conceptul utilizării compatibile trebuie interpretat restrictiv. [AM 16]

(25b)  Prelucrarea datelor cu caracter personal în condițiile încălcării dispozițiilor naționale adoptate în conformitate cu prezenta directivă ar trebui oprită. [AM 17]

(26)  Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, inclusiv datele genetice, necesită o protecție specifică. Astfel de date nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este în mod expres permisă de o lege necesară pentru executarea unei sarcini efectuate în interes public, pe baza legislației Uniunii sau a statului membru care prevede măsuri corespunzătoare pentru protejarea drepturilor fundamentale și a intereselor legitime ale persoanei vizate; sau prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane; sau prelucrarea se referă la date care sunt făcute publice în mod manifest de persoana vizată. Datele sensibile cu caracter personal ar trebui prelucrate numai dacă acestea completează alte date cu caracter personal deja prelucrate în scopul aplicării legii. Orice derogare de la interdicția de prelucrare a datelor sensibile ar trebui interpretată în mod restrictiv și nu ar trebui să conducă la procesarea frecventă, masivă sau structurală a datelor sensibile cu caracter personal. [AM 18]

(26a)  Prelucrarea datelor genetice ar trebui permisă dacă există o legătură genetică în cursul unei anchete penale sau al unei proceduri judiciare. Datele genetice ar trebui stocate atât timp cât este strict necesar în scopul unor astfel de anchete și proceduri, statele membre având posibilitatea de a stoca timp mai îndelungat în conformitate cu condițiile stabilite de prezenta directivă. [AM 19]

(27)  Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează exclusiv pe prelucrarea, parțial sau total, pe crearea de profiluri prin mijloace de prelucrare automată dacă aceasta aduce prejudicii în plan a datelor. O astfel de procesare, care produce un efect juridic pentru persoana respectivă sau care o afectează în mod semnificativ ar trebui interzisă, cu excepția cazului în care respectiva măsură este permisă de lege și sub rezerva unor măsuri adecvate de protejare a intereselor legitime ale persoanei vizate, inclusiv a dreptului de a i se oferi informații consistente cu privire la logica utilizată în crearea de profiluri. Asemenea prelucrare nu ar trebui nicidecum să cuprindă, să genereze sau să opereze discriminări bazate pe categorii speciale de date. [AM 20]

(28)  Pentru ca persoanele vizate să își poată exercita drepturile, toate informațiile care le sunt adresate trebuie să fie ușor accesibile și ușor de înțeles, limbajul folosit fiind simplu și clar. Aceste informații ar trebui adaptate nevoilor persoanelor vizate, în special atunci când informațiile se adresează în mod specific unui copil. [AM 21]

(29)  Ar trebui prevăzute modalități pentru a facilita exercitarea, de către persoana vizată, a drepturilor pe care i le conferă prezenta directivă, printre care se numără în special mecanismele prin care poate solicita, în mod gratuit, accesul la date, rectificarea și ștergerea acestora. Operatorul ar trebui să fie obligat să răspundă cererilor persoanei vizate fără întârzieri nejustificate întârziere, în termen de o lună de la primirea cererii. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul ar trebui să prevadă, de asemenea, modalități de introducere a cererilor pe cale electronică. [AM 22]

(30)  Conform principiului prelucrării echitabile și transparente, persoanele vizate ar trebui să fie informate, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, la temeiul juridic, la durata stocării datelor, la existența dreptului de acces, de rectificare sau ștergere a datelor și la dreptul de a înainta o plângere. Mai mult, persoana vizată ar trebui informată în legătură cu crearea de profiluri în ceea ce o privește și cu scopul urmărit prin crearea profilului. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. [AM 23]

(31)  Informațiile în legătură cu prelucrarea datelor cu caracter personal ar trebui oferite persoanei vizate în momentul colectării acestor date, sau, în cazul în care datele nu sunt obținute de la persoana vizată, în momentul în care sunt înregistrate sau într-o perioadă de timp rezonabilă după colectare, având în vedere circumstanțele specifice ale prelucrării datelor.

(32)  Orice persoană ar trebui să aibă drept de acces la datele colectate care o privesc și ar trebui să își exercite acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, temeiul juridic, pentru ce perioadă, care este identitatea destinatarilor datelor, inclusiv în țările terțe, informații inteligibile cu privire la logica procesărilor automate și consecințele semnificative preconizate, dacă este cazul, dreptul de a depune o plângere la autoritatea de supraveghere și datele de contact ale acesteia. Persoanele vizate ar trebui să aibă dreptul de a primi o copie a datelor lor cu caracter personal care sunt prelucrate. [AM 24]

(33)  Statele membre ar trebui să aibă posibilitatea de a adopta măsuri legislative în vederea amânării, sau restricționării parțiale sau totale a informării persoanelor vizate sau a accesului la datele lor cu caracter personal în măsura în care o astfel de restricționare parțială sau totală constituie o măsură necesară și proporțională într-o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei vizate, pentru a se evita obstrucționarea cercetărilor, a anchetelor sau a procedurilor oficiale sau judiciare, pentru a nu se afecta măsurile de prevenire, identificare, investigare sau urmărire penală a infracțiunilor sau executarea pedepselor, pentru a se proteja securitatea publică sau securitatea națională ori pentru a se proteja persoana vizată sau drepturile și libertățile altor persoane. Operatorul ar trebui să evalueze pe baza examinării concrete și individuale a fiecărui caz dacă ar trebui aplicată o restricționare parțială sau totală a dreptului de acces. [AM 25]

(34)  Orice refuz sau restricționare a accesului ar trebui prezentat în scris persoanei vizate, precizându-se motivele de fapt și de drept pe care se bazează decizia.

(34a)  Orice restrângere a drepturilor persoanelor vizate trebuie să fie în conformitate cu Carta, după cum a fost clarificat în jurisprudența Curții de Justiție a Uniunii Europene și a Curții Europene a Drepturilor Omului și, îndeosebi, să respecte esența drepturilor și libertăților. [AM 26]

(35)  În cazul în care statele membre au adoptat măsuri legislative care limitează total sau parțial dreptul de acces, persoana vizată ar trebui să aibă dreptul de a solicita autorității naționale de supraveghere competente să verifice legalitatea prelucrării datelor. Persoana vizată trebuie să fie informată cu privire la acest drept. Atunci când dreptul de acces este exercitat de către autoritatea de supraveghere în numele persoanei vizate, autoritatea de supraveghere ar trebui cel puțin să informeze persoana vizată că toate verificările necesare au avut loc și să îi comunice dacă prelucrarea respectivă este legală sau nu. Autoritatea de supraveghere ar trebui, de asemenea, să informeze persoana vizată în legătură cu dreptul de a introduce o cale de atac în instanță. [AM 27]

(36)  Orice persoană ar trebui să aibă dreptul de a obține rectificarea datelor cu caracter personal inexacte sau procesate ilegal care o privesc și dreptul de eliminare a datelor în cazul în care prelucrarea datelor respective nu este în conformitate cu principiile de bază dispozițiile prevăzute în prezenta directivă. Rectificarea, completarea sau ștergerea ar trebui să fie comunicate destinatarilor divulgării datelor și părților terțe de la care provin datele inexacte. Operatorii ar trebui, de asemenea, să nu comunice mai departe aceste date. În cazul în care datele cu caracter personal sunt prelucrate în cadrul unei anchete și a unor proceduri judiciare, rectificarea, dreptul la informare, dreptul de acces, dreptul de ștergere și de restricționare a prelucrării pot fi exercitate în conformitate cu normele naționale privind procedurile judiciare. [AM 28]

(37)  Ar trebui prevăzută responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu normele adoptate în conformitate cu prezenta directivă. [AM 29]

(38)  Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare pentru a se asigura îndeplinirea cerințelor din prezenta directivă. Pentru a asigura respectarea dispozițiilor adoptate în conformitate cu prezenta directivă, controlorul ar trebui să adopte politici și să pună în aplicare măsuri adecvate, care respectă, în special, principiile de protecție a datelor începând cu momentul conceperii și protecție implicită a datelor.

(39)  Protecția drepturilor și a libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanelor împuternicite de către operator necesită o atribuire clară a responsabilităților în temeiul prezentei directive, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. Persoana vizată ar trebui să aibă dreptul de a-și exercita drepturile ce decurg din prezenta directivă în raport și în opoziție cu fiecare dintre operatorii comuni. [AM 30]

(40)  Activitățile de prelucrare ar trebui să fie înregistrate de către operator sau de către persoana împuternicită de către operator, în scopul de a monitoriza conformitatea cu prezenta directivă. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația disponibilă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare.

(40a)  Orice operațiune de prelucrare de date cu caracter personal se ia în evidență pentru verificarea legalității prelucrării datelor, pentru monitorizare proprie și pentru asigurarea integrității și a securității corespunzătoare a datelor. Această înregistrare ar trebui să fie pusă la dispoziția autorității de supraveghere la cerere în scopul monitorizării conformității cu normele prevăzute în prezenta directivă. [AM 31]

(40b)  Operatorul sau persoanele împuternicite de operator ar trebui să realizeze o evaluare a impactului privind protecția datelor în cazurile în care operațiunile de prelucrare pot prezenta, prin natura, domeniul de aplicare sau scopurile lor, riscuri specifice la adresa drepturilor și libertăților persoanelor vizate, evaluare care ar trebui să includă în special măsurile, garanțiile și mecanismele preconizate în vederea asigurării protecției datelor cu caracter personal și a conformității cu prezenta directivă. Evaluările de impact ar trebui să vizeze sistemele și procesele relevante aferente prelucrării datelor cu caracter personal, nu cazuri individuale. [AM 32]

(41)  Pentru a garanta protecția eficientă a drepturilor și libertăților persoanelor vizate prin intermediul unor acțiuni preventive, operatorul sau persoana împuternicită de către operator ar trebui să se consulte cu autoritatea de supraveghere în anumite cazuri înainte de prelucrare. În plus, în cazul în care o evaluare de impact asupra protecției datelor relevă că operațiunile de prelucrare pot prezenta riscuri specifice asupra drepturilor și libertăților persoanelor vizate, autoritatea de supraveghere ar trebui să fie în poziția de a preveni, înainte de începerea operațiunilor, o prelucrare riscantă care nu este în conformitate cu prezenta directivă și să facă propuneri pentru a remedia o asemenea situație. Această consultare poate, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare. [AM 33]

(41a)  În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentei directive, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. La stabilirea standardelor tehnice și a măsurilor organizatorice pentru asigurarea securității procesării, trebuie promovată neutralitatea tehnologică. [AM 34]

(42)  Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate produce efecte negative cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv asupra reputației persoanei fizice vizate fraudarea identității. Prin urmare, de îndată ce un operator află că a avut loc o astfel de încălcare, aceasta ar trebui să notifice respectiva încălcare autorității naționale competente. Persoanele fizice ale căror date cu caracter personal sau a căror viață privată ar putea fi afectate negativ de încălcare ar trebui să fie înștiințate fără întârziere, pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației în legătură cu prelucrarea datelor cu caracter personal. Notificarea ar trebui să includă informații privind măsurile luate de către furnizor pentru a soluționa încălcarea securității, precum și recomandări pentru abonatul sau individul afectat. Notificarea persoanei vizate ar trebui făcută în cel mai scurt timp posibil și în cooperare strânsă cu autoritatea de supraveghere și cu respectarea îndrumărilor acesteia. [AM 35]

(43)  La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea utilizării incorecte. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților competente în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare.

(44)  Operatorul sau persoana împuternicită de către operator ar trebui să desemneze o persoană care să ajute operatorul sau persoana împuternicită de către operator să monitorizeze și să demonstreze respectarea dispozițiilor adoptate în temeiul prezentei directive. Un responsabil cu protecția datelor poate fi numit în comun de mai multe entități ale autorității competente. În cazul în care mai multe autorități competente acționează sub supravegherea unei autorități centrale, cel puțin această autoritate centrală ar trebui să desemneze un astfel de responsabil cu protecția datelor. Responsabilii cu protecția datelor trebuie să fie în măsură să își îndeplinească îndatoririle și sarcinile în mod independent și eficient, îndeosebi prin stabilirea unor norme prin care să se evite conflictul de interese cu alte sarcini efectuate de responsabilii cu protecția datelor. [AM 36]

(45)  Statele membre ar trebui să asigure că transferul către o țară terță nu are loc decât în cazul în care acesta acest transfer specific este necesar pentru prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor sau pentru executarea pedepselor, iar autoritatea de control din țara terță sau dintr-o organizație internațională competentă este o autoritate publică competentă în sensul prezentei directive. Un transfer poate avea loc în cazul în care Comisia decide că țara terță sau organizația internațională în cauză asigură un nivel adecvat de protecție sau că oferă garanții corespunzătoare sau în cazul în care au fost oferite garanții corespunzătoare prin intermediul unui instrument obligatoriu din punct de vedere juridic. Datele transferate către autoritățile publice competente din țările terțe nu ar trebui să fie prelucrate ulterior în alte scopuri decât cele pentru care au fost transferate. [AM 37]

(45a)  Transferurile ulterioare de la autoritățile competente în țările terțe sau organizațiile internaționale către care s-au mai transferat date cu caracter personal ar trebui să fie permise doar în situația în care transferul ulterior este necesar pentru același scop specific precum în cazul transferului inițial și dacă al doilea destinatar este tot o autoritate publică competentă. Nu ar trebui să fie permise transferuri ulterioare în scopuri generale de aplicare a legii. Autoritatea competentă care a realizat transferul inițial ar trebui să fi autorizat transferul ulterior. [AM 38]

(46)  Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu ori un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară.

(47)  În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special protecția drepturilor omului, Comisia ar trebui să ia în considerare modul în care aceasta respectă statul de drept, accesul la justiție, precum și normele și standardele internaționale în materie de drepturi ale omului.

(48)  Comisia ar trebui, de asemenea, să poată recunoaște că o țară terță, un teritoriu sau un sector de prelucrare a datelor dintr-o țară terță ori o organizație internațională nu oferă un nivel corespunzător de protecție a datelor. În acest caz, transferul de date cu caracter personal către țări terțe ar trebui interzis, cu excepția cazurilor în care acesta se bazează pe un acord internațional, garanții corespunzătoare sau o derogare. Ar trebui să se prevadă proceduri de consultare între Comisie și astfel de țări terțe sau organizații internaționale. Cu toate acestea, o astfel de decizie a Comisiei nu trebuie să aducă atingere posibilității de a efectua transferuri pe baza unor garanții adecvate prin intermediul unui instrument obligatoriu din punct de vedere juridic sau a unei derogări prevăzute în prezenta directivă. [AM 39]

(49)  Transferurile care nu se bazează pe o decizie privind caracterul adecvat al nivelului de protecție ar trebui să fie permise numai în cazul în care au fost prezentate garanții corespunzătoare într-un instrument obligatoriu din punct de vedere juridic, care asigură protecția datelor cu caracter personal în cazul în care operatorul sau persoana împuternicită de către operator a evaluat toate condițiile legate de operațiunea de transfer de date sau de setul de operațiuni de transfer de date și, pe baza acestei evaluări, consideră că există garanții adecvate în ceea ce privește protecția datelor cu caracter personal. În cazul în care nu există motive pentru autorizarea transferului, ar trebui să se permită derogări, dacă este necesar, în vederea protejării intereselor vitale ale persoanei în cauză sau ale unei alte persoane, sau în vederea protejării intereselor legitime ale persoanei vizate, în cazul în care legislația statului membru care transferă datele cu caracter personal prevede acest lucru, sau în cazul în care acestea sunt indispensabile pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe, sau în cazuri specifice, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor sau, în anumite cazuri, pentru constatarea, exercitarea sau apărarea unui drept în instanță. [AM 40]

(49a)  În cazul în care nu există motive pentru autorizarea transferului, ar trebui să se permită derogări, dacă este necesar, în vederea protejării intereselor vitale ale persoanei în cauză sau ale unei alte persoane, sau în vederea protejării intereselor legitime ale persoanei vizate, în cazul în care legislația statului membru care transferă datele cu caracter personal prevede acest lucru, sau în cazul în care acestea sunt indispensabile pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe, sau în cazuri specifice, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor sau, în anumite cazuri, pentru constatarea, exercitarea sau apărarea unui drept în instanță. Aceste derogări ar trebui interpretate restrictiv și nu ar trebui să permită transferul frecvent, masiv și structural de date cu caracter personal și nu ar trebui să permită transferul en gros de date care ar trebui să se limiteze la datele strict necesare. În plus, decizia de transfer ar trebui luată de o persoană autorizată în mod corespunzător și acest transfer trebuie documentat și pus la dispoziția autorității de supraveghere la cerere pentru a monitoriza legalitatea transferului. [AM 41]

(50)  Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a datelor, pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a acestor date. În același timp, autoritățile de supraveghere pot constata că se află în imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile desfășurate în afara frontierelor lor. Eforturile lor de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere ori de caracterul eterogen al regimurilor juridice. Prin urmare, este necesar să se promoveze o cooperare mai strânsă între autoritățile de supraveghere a protecției datelor pentru a putea face schimb de informații cu omologii lor străini.

(51)  Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Autoritățile de supraveghere ar trebui să monitorizeze aplicarea dispozițiilor prevăzute de prezenta directivă și să contribuie la aplicarea consecventă a acesteia în întreaga Uniune, în scopul asigurării protecției persoanele fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. În acest sens, autoritățile de supraveghere ar trebui să coopereze între ele și cu Comisia. [AM 42]

(52)  Statele membre pot încredința unei autorități de supraveghere deja existente din statele membre, în conformitate cu Regulamentul (UE) nr. .../2014, responsabilitatea pentru sarcinile care urmează să fie îndeplinite de către autoritățile naționale de supraveghere care urmează a fi înființate în temeiul prezentei directive.

(53)  Statele membre ar trebui să aibă posibilitatea de a institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, de localuri și de infrastructura necesară, inclusiv capacități, experiență și aptitudini tehnice, pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. [AM 43]

(54)  Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite prin lege în fiecare stat membru și ar trebui, în special, să prevadă condiția ca acești membri să fie numiți de parlamentul sau de guvernul statului membru, cu consultarea parlamentului, și să includă dispoziții privind calificarea personală și funcția membrilor respectivi. [AM 44]

(55)  Cu toate că prezenta directivă se aplică, de asemenea, activităților instanțelor naționale, prelucrarea datelor cu caracter personal nu ar trebui să fie de competența autorităților de supraveghere atunci când instanțele își exercită atribuțiile judiciare, în scopul asigurării independenței judecătorilor în îndeplinirea sarcinilor lor judiciare. Cu toate acestea, derogarea ar trebui să se limiteze la activități pur judiciare în cadrul acțiunilor în instanță și să nu se aplice altor activități în care judecătorii ar putea fi implicați, în conformitate cu legislația națională.

(56)  Pentru a se asigura consecvența monitorizării și a aplicării prezentei directive în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă aceleași atribuții și competențe efective în fiecare stat membru, inclusiv competențe efective de investigare, prerogative de accesare a datelor cu caracter personal și toate informațiile necesare pentru îndeplinirea fiecărei funcții de supraveghere, prerogative care să permită accesul la oricare din sediile operatorului de date sau al persoanei împuternicite de operatorul de date, inclusiv la echipamentele de procesare a datelor, și de intervenție obligatorie conform legii, de decizie și sancționare, în special în cazul plângerilor înaintate de persoane fizice, precum și de acționare în justiție. [AM 45]

(57)  Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată doar dacă se dovedește necesară în respectivul caz și trebuie să poată face obiectul căilor de atac judiciare. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate.

(58)  Autoritățile de supraveghere ar trebui să își acorde reciproc asistență în îndeplinirea atribuțiilor care le revin, pentru a se asigura coerența aplicării și a asigurării aplicării dispozițiilor adoptate în temeiul prezentei directive. Fiecare autoritate de supraveghere ar trebui să fie disponibilă pentru a participa la operațiuni comune. Autoritatea de supraveghere căreia i s-a adresat solicitarea ar trebui să aibă obligația de a răspunde cererii într-un anumit termen. [AM 46]

(59)  Comitetul european pentru protecția datelor, instituit prin Regulamentul (UE) …/2012 2014, ar trebui să contribuie la aplicarea coerentă a prezentei directive în întreaga Uniune, inclusiv prin oferirea de consultanță Comisiei și instituțiilor Uniunii prin promovarea cooperării autorităților de supraveghere în întreaga Uniune și să dea un aviz Comisiei cu prilejul elaborării actelor delegate și de punere în aplicare bazate pe prezenta directivă. [AM 47]

(60)  Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la exercitarea unei căi de atac, în cazul în care consideră că drepturile pe care i le conferă prezenta directivă sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate.

(61)  Orice organism, organizație sau asociație care are drept obiectiv asigurarea protecției drepturilor și a intereselor persoanelor vizate în ceea ce privește protecția datelor acestora și este acționează în interes public, constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul să depună o plângere, să își exercite dreptul la o cale de atac în numele persoanelor vizate, dacă au primit mandat corespunzător din partea acestora, sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal. [AM 48]

(62)  Orice persoană fizică sau juridică ar trebui să aibă dreptul la exercitarea unei căi de atac împotriva deciziilor unei autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei autorități de supraveghere ar trebui să fie înaintate instanțelor statului membru în care se află autoritatea de supraveghere.

(63)  Statele membre ar trebui să se asigure că acțiunile în justiție, pentru a fi eficiente, permit adoptarea rapidă de măsuri în scopul remedierii sau al prevenirii încălcării prezentei directive.

(64)  Orice daună, inclusiv daunele nepecuniare, pe care o persoană o poate suferi ca urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau de persoana împuternicită de către operator, care pot fi exonerați de răspundere dacă dovedesc că nu sunt răspunzători pentru prejudiciu, în special în cazul în care aceștia dovedesc că s-a produs din culpa persoanei vizate sau este rezultatul unui caz de forță majoră. [AM 49]

(65)  Ar trebui impuse sancțiuni oricărei persoane fizice sau juridice, de drept privat sau public, care nu respectă prezenta directivă. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor.

(65a)  Transmiterea de date cu caracter personal către alte autorități sau entități private din cadrul Uniunii este interzisă, exceptând situația în care transmiterea este în conformitate cu legea și destinatarul își are sediul într-un stat membru și nu există interese legitime specifice ale persoanei vizate care să împiedice transmiterea, precum și dacă transmiterea este necesară într-un caz specific pentru operatorul care transmite datele, fie pentru îndeplinirea unei sarcini care îi revine prin lege, fie pentru prevenirea unui pericol imediat și grav la adresa siguranței publice sau prevenirea unei încălcări grave a drepturilor unor persoane fizice. Operatorul trebuie să informeze destinatarul de scopul prelucrării și autoritatea de supraveghere în legătură cu transmiterea. Destinatarul ar trebui, de asemenea, să fie informat în legătură cu restricțiile privind prelucrarea și să asigure respectarea acestora. [AM 50]

(66)  Pentru a se realiza obiectivele prezentei directive, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta liberul schimb de date cu caracter personal de către autoritățile competente pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. Ar trebui adoptate în special acte delegate în ceea ce privește notificarea autorității de supraveghere în cazul încălcării care să precizeze mai exact criteriile și condițiile pentru operațiunile de reprocesare care necesită o evaluare de impact în privința protecției datelor; criteriile și cerințele pentru încălcarea securității datelor și referitoare la un nivel adecvat de protecție permis de o țară terță ori de un teritoriu sau sector de procesare din acea țară terță, ori de o organizație internațională. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți, în special cu Autoritatea Europeană pentru Protecția Datelor. Comisia, atunci când pregătește și elaborează acte delegate, ar trebui să asigure o transmitere simultană, în timp util și adecvată a documentelor relevante către Parlamentul European și către Consiliu. [AM 51]

(67)  Pentru a se asigura condiții uniforme de punere în aplicare a prezentei directive în ceea ce privește documentația deținută de operatori și de persoanele împuternicite de către operatori, securitatea prelucrării, în special în ceea ce privește standardele de criptare, notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal și nivelul adecvat de protecție oferit de o țară terță, un teritoriu sau un sector de prelucrare în țara terță respectivă sau de o organizație internațională, ar trebui să i se confere Comisiei competențe de executare. Aceste competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și a principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie(7). [AM 52]

(68)  Procedura de examinare ar trebui să fie utilizată pentru adoptarea de măsuri în ceea ce privește documentația deținută de operatori și de persoane împuternicite de către operatori, securitatea prelucrării, și notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal și nivelul adecvat de protecție oferit de o țară terță, un teritoriu sau un sector de prelucrare în țara terță respectivă sau de o organizație internațională, ținând seama de faptul că actele respective au un caracter general. [AM 53]

(69)  Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgență, în cazuri justificate în mod corespunzător referitoare la o țară terță, un teritoriu sau un sector de prelucrare din țara terță respectivă sau o organizație internațională care nu asigură un nivel de protecție adecvat. [AM 54]

(70)  Întrucât obiectivele prezentei directive, și anume protejarea drepturilor și a libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor lor cu caracter personal și asigurarea liberului schimb de date cu caracter personal de către autoritățile competente în cadrul Uniunii, nu pot fi realizate în mod satisfăcător de către statele membre și, prin urmare, dar, din cauza dimensiunilor sau a efectelor acțiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum se prevede la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este enunțat în respectivul articol, prezenta directivă nu depășește ceea ce este necesar pentru atingerea acestui obiectiv obiectivelor în cauză. Statele membre pot prevedea standarde mai înalte decât cele stabilite în prezenta directivă. [AM 55]

(71)  Decizia-cadru 2008/977/JAI a Consiliului ar trebui abrogată prin prezenta directivă.

(72)  Dispoziții specifice cu privire la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor în actele Uniunii adoptate înainte de data adoptării prezentei directive, care reglementează prelucrarea datelor cu caracter personal între statele membre și accesul autorităților desemnate de statele membre la sistemele informatizate instituite în temeiul tratatelor, ar trebui să rămână neschimbate. Cum articolul 8 din Cartă și articolul 16 din TFUE precizează că dreptul fundamental la protecția datelor cu caracter personal trebuie asigurat în mod consecvent și uniform în întreaga Uniune, în termen de doi ani de la intrarea în vigoare a prezentei directive. Comisia ar trebui să evalueze situația în ceea ce privește relația dintre prezenta directivă și actele adoptate înainte de data adoptării prezentei directive care reglementează prelucrarea datelor cu caracter personal între statele membre și accesul autorităților desemnate de statele membre la sistemele informatizate instituite în conformitate cu tratatele, pentru a evalua necesitatea alinierii acestor dispoziții specifice cu prezenta directivă și ar trebui să prezinte propuneri adecvate în vederea asigurării unor norme de drept consecvente și uniforme legate de prelucrarea datelor cu caracter personal de către autoritățile competente sau de accesul autorităților desemnate ale statelor membre la sistemele de informare înființate în temeiul tratatelor, precum și de prelucrarea datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii în scopul prevenirii, identificării, investigării sau urmăririi infracțiunilor de natură penală sau al executării pedepselor de natură penală care intră în domeniul de aplicare al prezentei directive. [AM 56]

(73)  În vederea asigurării unei protecții globale și coerente a datelor cu caracter personal în cadrul Uniunii, ar trebui modificate acordurile internaționale încheiate de Uniune sau de statele membre înainte de intrarea în vigoare a prezentei directive în vederea armonizării cu prezenta directivă. [AM 57]

(74)  Prezenta directivă se aplică fără a aduce atingere normelor privind combaterea abuzului sexual, a exploatării sexuale a copiilor și a pornografiei infantile, astfel cum se prevede în Directiva 2011/93/UE a Parlamentului European și a Consiliului(8).

(75)  În conformitate cu articolul 6a din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei în ceea ce privește spațiul de libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Regatul Unit și Irlanda nu sunt obligate să aplice normele stabilite în prezenta directivă întrucât Regatul Unit și Irlanda nu sunt obligate să aplice normele care reglementează formele de cooperare judiciară în materie penală sau de cooperare polițienească, care necesită respectarea dispozițiilor stabilite pe baza articolului 16 din Tratatul privind funcționarea Uniunii Europene.

(76)  În conformitate cu articolele 2 și 2a din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Danemarca nu este obligată de prezenta directivă și nici nu face obiectul aplicării acesteia. Având în vedere faptul că prezenta directivă reprezintă o completare a acquis-ului Schengen, în temeiul titlului V partea a treia din Tratatul privind funcționarea Uniunii Europene, Danemarca, în conformitate cu articolul 4 din protocolul menționat, decide, în termen de șase luni de la adoptarea prezentei directive, dacă o va transpune în legislația sa națională. [AM 58]

(77)  În ceea ce privește Islanda și Norvegia, prezenta directivă constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în conformitate cu acordul încheiat de Consiliul Uniunii Europene și de Republica Islanda și Regatul Norvegiei privind asocierea acestor două state la implementarea, aplicarea și dezvoltarea acquis-ului Schengen(9).

(78)  În ceea ce privește Elveția, prezenta directivă constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în conformitate cu Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(10).

(79)  În ceea ce privește Liechtenstein, prezenta directivă reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, astfel cum se prevede în Protocolul dintre Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(11).

(80)  Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Cartă, astfel cum sunt consacrate în tratat, în special dreptul la respectarea vieții private și de familie, dreptul la protecția datelor cu caracter personal, dreptul la o cale de atac eficientă și la un proces echitabil. Limitările aduse acestor drepturi sunt în conformitate cu articolul 52 alineatul (1) din cartă întrucât sunt necesare pentru atingerea obiectivelor de interes general recunoscute de Uniune sau pentru a proteja drepturile și libertățile celorlalți.

(81)  În conformitate cu declarația politică comună din 28 septembrie 2011 a statelor membre și a Comisiei privind documentele explicative(12), statele membre s-au angajat să atașeze la notificarea măsurilor de transpunere, în cazuri justificate, unul sau mai multe documente care explică relația dintre elementele unei directive și părțile corespunzătoare ale instrumentelor naționale de transpunere. În ceea ce privește această directivă, legiuitorul consideră că transmiterea unor astfel de documente este justificată.

(82)  Prezenta directivă nu ar trebui să împiedice statele membre să pună în aplicare exercitarea drepturilor persoanelor vizate cu privire la informare, acces, rectificare, ștergere și limitarea prelucrării datelor lor cu caracter personal în cadrul procedurilor penale, precum și eventualele limitări ale acestor drepturi în normele naționale privind procedura penală,

ADOPTĂ PREZENTA DIRECTIVĂ:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și obiective

(1)  Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau, urmăririi penale a infracțiunilor și executării pedepselor, precum și normele aferente liberei circulații a unor astfel de date cu caracter personal.

(2)  În conformitate cu prezenta directivă, statele membre:

(a)  protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal și a vieții private ale acestora; precum și

(b)  se asigură că schimbul de date cu caracter personal de către autoritățile competente în cadrul Uniunii nu este limitat sau interzis din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

(2a)  Prezenta directivă nu împiedică statele membre să ofere garanții mai mari decât cele stabilite în prezenta directivă. [AM 59]

Articolul 2

Domeniu de aplicare

(1)  Prezenta directivă se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopurile prevăzute la articolul 1 alineatul (1).

(2)  Prezenta directivă se aplică prelucrării datelor cu caracter personal, realizate integral sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care urmează să facă parte dintr-un sistem de evidență a datelor.

(3)  Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

(a)  în cadrul unei activități care nu intră în sfera dreptului Uniunii, în ceea ce privește, mai ales, securitatea națională;

(b)  de către instituțiile, organele, oficiile și agențiile Uniunii. [AM 60]

Articolul 3

Definiții

În sensul prezentei directive:

1.  „persoană vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la identificatori online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective;

2.  „date cu caracter personal” înseamnă orice informație privind referitoare la o persoană fizică identificată sau identificabilă (o persoană vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator unic, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale, sociale sau de gen;

2a.  „date protejate printr-un pseudonim” înseamnă date cu caracter personal care nu pot fi atribuite unei persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze că nu va avea loc o astfel de atribuire;

3.  „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

3a.   „crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea anumitor aspecte personale legate de o persoană fizică sau efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice respective la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia;

4.  „restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;

5.  „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

6.  „operator” înseamnă autoritatea publică competentă care, singură sau împreună cu alte autorități, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru;

7.  „persoana împuternicită de către operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

8.  „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal;

9.  „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, distrugerea în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod;

10.  „date genetice” înseamnă toate datele, indiferent de tipul acestora, referitoare la caracteristicile unei persoane, care sunt moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală;

11.  „date biometrice” înseamnă orice date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice;

12.  „date privind sănătatea” înseamnă orice informații date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective;

13.  „minor” înseamnă orice persoană cu vârsta sub 18 ani;

14.  „autorități competente” înseamnă orice autoritate publică abilitată în vederea prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor;

15.  „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 39. [AM 61]

CAPITOLUL II

PRINCIPII

Articolul 4

Principii legate de prelucrarea datelor cu caracter personal

Statele membre prevăd dispoziții potrivit cărora datele cu caracter personal trebuie:

(a)  prelucrate în mod corect și în conformitate cu dispozițiile legale, în mod corect, transparent și verificabil față de persoana vizată;

(b)  colectate în scopuri determinate, explicite și legitime și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

(c)  să fie adecvate, relevante și neexcesive limitate la minimul necesar în ceea ce privește scopurile în care sunt prelucrate; aceste date sunt prelucrate dacă și în măsura în care scopurile nu au putut fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal;

(d)  să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;

(e)  să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal;

(f)  prelucrate sub responsabilitatea și răspunderea operatorului, care asigură și demonstrează respectarea dispozițiilor adoptate în conformitate cu prezenta directivă;

(fa)  prelucrate în așa fel încât să se permită în mod eficient persoanei vizate să își exercite drepturile menționate la articolele 10-17;

(fb)  să fie procesate astfel încât să fie protejate împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;

(fc)  să fie prelucrate doar de personalul autorizat corespunzător al autorităților competente care au nevoie de acesta pentru îndeplinirea sarcinilor respective. [AM 62]

Articolul 4a

Acces la datele procesate inițial pentru alte scopuri decât cele menționate la articolul 1 alineatul (1)

(1)  Statele membre adoptă măsuri pentru ca autoritățile competente să poată avea acces la datele cu caracter personal prelucrate inițial în alte scopuri decât cele menționate la articolul 1 alineatul (1) numai dacă sunt autorizate în mod specific în conformitate cu legislația Uniunii sau a statelor membre care trebuie să îndeplinească criteriile prevăzute la articolul 7 alineatul (1a) și să specifice că:

(a)  accesul este permis doar personalului autorizat în acest sens al autorităților competente în exercitarea sarcinilor lor atunci când, într-un caz specific, există motive rezonabile pentru a crede că prelucrarea datelor cu caracter personal va contribui în mod substanțial la prevenirea, identificarea, investigarea sau urmărirea infracțiunilor sau la executarea pedepselor de natură penală;

(b)  cererea de acordare a accesului trebuie făcută în scris și să menționeze temeiul juridic al cererii;

(c)  cererea scrisă trebuie să fie documentată; și

(d)  sunt implementate garanții adecvate pentru a asigura protecția drepturilor și libertăților fundamentale în ceea ce privește prelucrarea datelor cu caracter personal. Aceste garanții nu aduc atingere condițiilor specifice de accesare a datelor cu caracter personal și sunt complementare acestora, ca, de exemplu, autorizarea judecătorească în conformitate cu legislația statelor membre.

(2)  Datele cu caracter personal deținute de persoane private sau de alte autorități publice sunt accesate numai în scopul de a investiga sau urmări infracțiuni penale, în conformitate cu cerințele de necesitate și proporționalitate urmând a fi definite de dreptul Uniunii sau a statului membru, în deplină conformitate cu articolul 7a. [AM 63]

Articolul 4b

Limite temporale pentru stocare și reexaminare

(1)  Statele membre iau măsuri vizând ștergerea de către autoritățile competente a datelor prelucrate în conformitate cu prezenta directivă în cazul în care acestea nu mai sunt necesare pentru scopurile în care au fost prelucrate.

(2)  Statele membre dau dispoziții pentru ca autoritățile competente să instaleze mecanisme care să asigure stabilirea de unor termene, în conformitate cu articolul 4, pentru ștergerea datelor cu caracter personal și pentru o reexaminare periodică a necesității stocării datelor, inclusiv prin fixarea unor perioade de stocare diferite pentru diferite categorii de date cu caracter personal. Se adoptă măsuri procedurale pentru a asigura respectarea acestor termene și intervale pentru reexaminarea periodică. [AM 64]

Articolul 5

Distincția între diferitele Diferite categorii de persoane vizate

(1)  Statele membre prevăd dispoziții potrivit cărora, în măsura posibilului, operatorul face distincție clară între iau măsuri pentru ca, în scopurile prevăzute la articolul 1 alineatul (1), autoritățile competente să poată prelucra datele cu caracter personal ale diferitelor categorii de persoane vizate, precum ale diferitelor categorii de persoane vizate prezentate mai jos, iar operatorul face o distincție clară între acestea:

(a)  persoane în privința cărora există motive serioase rezonabile să se creadă că au săvârșit sau că urmează să săvârșească o infracțiune;

(b)  persoane condamnate pentru comiterea unei infracțiuni o infracțiune;

(c)  victime ale unei infracțiuni sau persoane în privința cărora, în baza anumitor fapte, există motive să se creadă că persoanele respective ar putea fi victimele unei infracțiuni; și

(d)  părți terțe la infracțiune, ca de exemplu persoane care ar putea fi chemate să depună mărturie în cadrul anchetelor legate de infracțiuni sau în cadrul procedurilor penale ulterioare sau persoane care pot oferi informații cu privire la infracțiuni sau persoane care sunt în legătură sau asociate cu persoanele menționate la literele (a) și (b).și

(e)  persoane care nu se încadrează în niciuna dintre categoriile menționate mai sus.

(2)  Datele cu caracter personal privind alte persoane vizate decât cele menționate la alineatul (1) pot fi prelucrate doar:

(a)  în măsura în care acest lucru este necesar pentru investigarea sau urmărirea penală a unei infracțiuni specifice în vederea evaluării relevanței datelor referitor la una dintre categoriile indicate la alineatul (1); sau

(b)  în cazurile în care prelucrarea este indispensabilă în scopuri specifice de prevenire sau în scopuri de analiză a infracțiunilor, dacă și în măsura în care acest scop este legitim, bine definit și specific, iar prelucrarea este strict limitată la evaluarea relevanței datelor pentru una dintre categoriile indicate la alineatul (1). Aceasta se revizuiește cel puțin o dată la șase luni. Orice utilizare ulterioară este interzisă.

(3)  Statele membre prevăd măsuri pentru aplicarea de limitări și garanții suplimentare, în conformitate cu dispozițiile legale ale statelor membre, în ceea ce privește prelucrarea ulterioară a datelor cu caracter personal referitoare la persoanele vizate menționate la alineatul (1) literele (c) și (d). [AM 65]

Articolul 6

Grade diferite de precizie și de fiabilitate a datelor cu caracter personal

(1)  Statele membre prevăd măsuri care să asigure acuratețea și fiabilitatea datelorse asigură că, pe cât posibil, se face distincție între diferitele categorii de date cu caracter personal care fac obiectul prelucrării în funcție de gradul de precizie și de fiabilitate.

(2)  Statele membre se asigură că, pe cât posibil, se face distincție între datele cu caracter personal bazate pe fapte și datele cu caracter personal bazate pe evaluări personale, în conformitate cu gradul lor de exactitate și fiabilitate.

(2a)  Statele membre se asigură că nu se transmit sau se pun la dispoziție date cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale. În acest scop, autoritățile competente evaluează calitatea datelor cu caracter personal înainte de a fi transferate sau puse la dispoziție. În măsura în care acest lucru este posibil, la fiecare transfer de date, se adaugă informațiile disponibile care permit statului membru destinatar să evalueze gradul de exactitate, de exhaustivitate, de actualitate și de fiabilitate a datelor. În absența unei solicitări din partea unei autorități competente, datele cu caracter personal nu sunt transferate, în special datele deținute inițial de entități private.

(2b)  În cazul în care se constată transferul unor date inexacte sau transferul unor date în mod ilegal, acest lucru trebuie comunicat de îndată destinatarului. Destinatarul are obligația de a corecta sau șterge datele imediat în temeiul alineatului (1) și al articolului 15, respectiv al articolului 16. [AM 66]

Articolul 7

Legalitatea prelucrării

(1)  Statele membre prevăd dispoziții potrivit cărora prelucrarea datelor cu caracter personal este conformă dispozițiilor legale doar în cazul în care și în măsura în care prelucrarea se bazează pe dreptul Uniunii sau al statelor membre pentru scopurile stabilite la articolul 1 alienatul (1) și este necesară:

(a)  pentru executarea unei sarcini de către o autoritate competentă, conform legislației, în scopurile prevăzute la articolul 1 alineatul (1); sau

(b)  pentru respectarea unei obligații legale care revine operatorului; sau

(c)  pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane; sau

(d)  pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice.

(1a)  Legislația Uniunii sau a statelor membre care reglementează prelucrarea datelor cu caracter personal în cadrul domeniului de aplicare al prezentei directive conține dispoziții explicite și detaliate care specifică cel puțin:

(a)  scopurile prelucrării;

(b)  datele cu caracter personal de procesat;

(c)  scopurile specifice și mijloacele de prelucrare;

(d)  numirea operatorului sau criterii specifice pentru numirea acestuia;

(e)  categorii de personal autorizat în acest scop al autorităților competente pentru prelucrarea datelor cu caracter personal;

(f)  procedura de urmat pentru procesul de prelucrare;

(g)  utilizarea posibilă a datelor cu caracter personal obținute;

(h)  limitări ale domeniului de aplicare al oricăror prerogative conferite autorităților competente în raport cu activitățile de prelucrare; [AM 67]

Articolul 7a

Prelucrarea ulterioară în scopuri incompatibile

(1)  Statele membre prevăd dispoziții conform cărora datele cu caracter personal nu pot fi prelucrate ulterior în alt scop stabilit la articolul 1 alineatul (1) și care nu este compatibil cu scopurile în care datele au fost colectate inițial decât dacă și în măsura în care:

(a)  prelucrarea este strict necesară și proporțională într-o societate democratică și impusă de dreptul Uniunii sau al statelor membre pentru un scop legitim, bine definit și specific;

(b)  prelucrarea este strict limitată la o perioadă care nu depășește timpul necesar pentru operațiunea specifică de prelucrare a datelor;

(c)  orice altă utilizare ulterioară în alte scopuri este interzisă.

Înainte de orice prelucrare, statul membru consultă autoritatea națională de supraveghere competentă și efectuează o evaluare a impactului asupra protecției datelor.

(2)  În plus față de cerințele prevăzute la articolul 7 alineatul (1a), legislația Uniunii sau a statelor membre care autorizează prelucrarea ulterioară, menționată la alineatul (1), cuprinde dispoziții explicite și detaliate cel puțin cu privire la:

(a)  scopurile și mijloacele specifice ale respectivei prelucrări;

(b)  faptul că accesul este permis doar pentru personalul autorizat în acest sens al autorităților competente în exercitarea sarcinilor lor atunci când, într-un caz specific, există motive rezonabile pentru a crede că prelucrarea datelor cu caracter personal va contribui în mod substanțial la prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau la executarea pedepselor de natură penală; precum și

(c)  stabilirea unor garanții adecvate, cu scopul de a asigura protecția drepturilor și libertăților fundamentale în ceea ce privește prelucrarea datelor cu caracter personal.

Statele membre pot solicita ca accesul la datele cu caracter personal să facă obiectul unor condiții suplimentare, cum ar fi autorizarea judiciară, în conformitate cu legislația lor națională.

(3)  Statele membre, pot, de asemenea, permite prelucrarea ulterioară a datelor personale în scopuri istorice, statistice sau științifice, cu condiția instituirii unor garanții adecvate, cum ar fi anonimizarea datelor. [AM 68]

Articolul 8

Prelucrarea categoriilor speciale de date cu caracter personal

(1)  Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie rasa sau originea etnică, opiniile politice, religia sau convingerile filozofice, orientarea sexuală sau identitatea de gen, apartenența la un și activitățile de sindicat, a precum și prelucrarea datelor genetice sau biometrice și a datelor privind sănătatea sau viața sexuală.

(2)  Alineatul (1) nu se aplică atunci când:

(a)  prelucrarea este permisă printr-o lege care oferă garanții adecvate este strict necesară și proporționată pentru îndeplinirea unei sarcini efectuate de autoritățile competente, în scopurile menționate la articolul 1 alineatul (1), pe baza dreptului Uniunii sau al statelor membre, care prevede măsuri specifice și corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate, inclusiv o autorizare specifică din partea unei autorități judiciare, dacă legislația națională impune acest lucru; sau

(b)  prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane; sau

(c)  prelucrarea se referă la date care sunt făcute publice în mod manifest de persoana vizată, cu condiția ca acestea să fie relevante și de strictă necesitate pentru scopul urmărit în cazul respectiv. [AM 69]

Articolul 8a

Prelucrarea datelor genetice în scopul unei anchete penale sau al unei proceduri judiciare

(1)  Statele membre garantează că datele genetice nu pot fi utilizate decât pentru stabilirea unei legături genetice în contextul elementelor de probă, prevenind o amenințare la adresa siguranței publice sau comiterea unei infracțiuni specifice. Datele genetice nu pot fi utilizate pentru a determina alte caracteristici ce pot fi legate genetic.

(2)  Statele membre prevăd dispoziții conform cărora datele sau informațiile genetice rezultate în urma analizei lor nu pot fi păstrate decât atât timp cât este necesar pentru scopurile în care datele sunt prelucrate și atunci când persoana în cauză a fost condamnată pentru infracțiuni grave împotriva vieții, integrității sau securității persoanelor, cu condiția unor perioade de stocare stricte ce urmează a fi determinate de legislația statelor membre.

(3)  Statele membre garantează că datele sau informațiile genetice rezultate în urma analizei lor nu sunt stocate pentru perioade mai lungi decât atunci când datele genetice nu pot fi atribuite unei persoane, în special în cazul în care acestea sunt găsite la locul infracțiunii. [AM 70]

Articolul 9

Măsuri bazate pe crearea de profiluri și pe prelucrarea automată

(1)  Statele membre prevăd dispoziții potrivit cărora sunt interzise măsurile care au efect juridic negativ pentru persoana vizată sau care afectează în mod semnificativ persoana vizată și care se bazează exclusiv parțial sau total pe prelucrarea automată a datelor cu caracter personal care au ca scop evaluarea anumitor aspecte personale privind persoana vizată, cu excepția cazului în care acest lucru este permis de un act legislativ care prevede, de asemenea, măsuri de protejare a intereselor legitime ale persoanei vizate.

(2)  Prelucrarea automată a datelor cu caracter personal, menite să evalueze anumite aspecte personale privind persoana vizată nu se bazează exclusiv pe categoriile speciale de date cu caracter personal prevăzute la articolul 8.

(2a)  Prelucrarea automată a datelor cu caracter personal, menite să individualizeze o persoană vizată în lipsa unei suspiciuni inițiale potrivit căreia persoana vizată este posibil să fi comis sau să comită o infracțiune este permisă de lege doar în cazul și în măsura în care acest lucru este strict necesar pentru investigarea unei infracțiuni grave sau pentru prevenirea unui pericol iminent și clar, stabilit pe indicații factuale, la adresa siguranței publice, existenței statului sau vieții unor persoane.

(2b)  În toate cazurile, se interzice crearea de profiluri care are drept efect (cu sau fără intenție) discriminarea împotriva persoanelor fizice pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale sau a orientării sexuale ori de gen, sau care are drept rezultat (cu sau fără intenție) măsuri ce au astfel de efecte. [AM 71]

Articolul 9a

Principii generale referitoare la drepturile persoanei vizate

(1)  Statele membre se asigură că baza protecției datelor este clară, cu drepturi neambigui pentru persoana vizată care sunt respectate de către operator. Dispozițiile prezentei directive au scopul de a întări, clarifica, garanta și, după caz, codifica aceste drepturi.

(2)  Statele membre iau măsurile necesare pentru ca aceste drepturi să includă, între altele, oferirea unor informații clare și ușor de înțeles cu privire la procesarea datelor personale ale persoanei vizate, dreptul de acces, rectificare și ștergere a datelor respective, dreptul de a depune o reclamație la autoritatea competentă de protecție a datelor și de a introduce acțiuni în justiție, precum și dreptul la compensări și despăgubiri în urma unei operațiuni de prelucrare care nu respectă legea. Aceste drepturi se exercită în general gratuit. Operatorul răspunde solicitărilor persoanei vizate într-un termen rezonabil. [AM 72]

CAPITOLUL III

DREPTURILE PERSOANEI VIZATE

Articolul 10

Modalități de exercitare a drepturilor persoanei vizate

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul ia toate măsurile rezonabile pentru a aplica aplică politici concise, transparente, clare și ușor accesibile în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate.

(2)  Statele membre prevăd dispoziții potrivit cărora operatorul pune la dispoziția persoanei vizate orice informație și orice comunicare referitoare la prelucrarea datelor cu caracter personal, într-o formă inteligibilă, folosind un limbaj simplu și clar, în special atunci când informațiile respective sunt adresate în mod specific unui copil.

(3)  Statele membre prevăd dispoziții potrivit cărora operatorul ia toate măsurile rezonabile pentru stabilirea procedurilor stabilește procedurile de furnizare a informațiilor prevăzute la articolul 11 și de exercitare a drepturilor persoanelor vizate prevăzute la articolele 12 - 17. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede modalitățile de introducere a cererilor pe cale electronică.

(4)  Statele membre prevăd dispoziții potrivit cărora operatorul informează persoana vizată cu privire la modul în care a dat curs cererii, fără întârzieri nejustificate, și în orice caz în termen de o lună de la primirea cererii. Informațiile sunt furnizate în scris. Atunci când persoana vizată efectuează cererea în format electronic, informațiile sunt furnizate în același format.

(5)  Statele membre prevăd dispoziții potrivit cărora informațiile și orice acțiune întreprinsă de către operator în urma unei cereri prevăzute la alineatele (3) și (4) nu se taxează. În cazul în care cererile sunt ofensatoare în mod vădit excesive, în special din cauza caracterului lor repetitiv sau al mărimii ori volumului cererii, operatorul poate percepe o taxă rezonabilă, ținând cont de costurile administrative, pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate sau operatorul poate să nu întreprindă acțiunea cerută. În acest caz, sarcina probei în ceea ce privește caracterul vădit excesiv al cererii revine operatorului.

(5a)  Statele membre pot prevedea posibilitatea persoanei vizate de a-și exercita acest drept în mod direct împotriva operatorului sau prin intermediul autorității naționale de supraveghere competente. În cazul în care autoritatea de supraveghere a acționat la cererea persoanei vizate, autoritatea de supraveghere informează persoana vizată cu privire la verificările efectuate. [AM 73]

Articolul 11

Informații pentru persoana vizată

(1)  În cazul în care se colectează date cu caracter personal referitoare la o persoană vizată, statele membre se asigură că operatorul ia toate măsurile necesare pentru a furniza furnizează persoanei vizate cel puțin următoarele informații:

(a)  identitatea și datele de contact ale operatorului și ale responsabilului cu protecția datelor;

(b)  temeiul juridic și scopurile în care sunt prelucrate datele cu caracter personal;

(c)  perioada de stocare a datelor cu caracter personal;

(d)  existența dreptului de a solicita operatorului accesul și rectificarea, ștergerea sau limitarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

(e)  dreptul de a depune o plângere la autoritatea de supraveghere prevăzută la articolul 39 și datele de contact ale acestei autorități;

(f)  destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv în țări terțe sau organizații internaționale și entitatea autorizată să acceseze datele în temeiul legilor țării terțe respective sau al normelor unei organizații internaționale, existența sau inexistența unei decizii din partea Comisiei privind caracterul adecvat al protecției sau, în cazul transferurilor menționate la articolele 35 și 36, modalitățile de a obține o copie a garanțiilor corespunzătoare utilizate pentru transfer;

(fa)  în cazul în care operatorul procesează date cu caracter personal astfel cum este descris la articolul 9 alineatul (1), informațiile cu privire la existența prelucrării pentru o măsură de tipul celor menționate la articolul 9 alineatul (1) și efectele preconizate ale unei astfel de prelucrări asupra persoanei vizate, precum și informații cu privire la logica folosită în stabilirea profilelor și dreptul de a obține o evaluare umană;

(fb)  informații cu privire la măsurile de securitate luate pentru a proteja datele cu caracter personal;

(g)  orice alte informații suplimentare, în măsura în care astfel de informații suplimentare sunt necesare pentru garantarea prelucrării echitabile în ceea ce privește persoana vizată, având în vedere circumstanțele specifice în care sunt prelucrate datele cu caracter personal.

(2)  În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau opțional al furnizării datelor cu caracter personal, precum și la eventualele consecințe ale refuzului de a furniza aceste date.

(3)  Operatorul furnizează informațiile prevăzute la alineatul (1):

(a)  în momentul obținerii datelor cu caracter personal de la persoana vizată; sau

(b)  în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul în care sunt înregistrate sau într-o perioadă de timp rezonabilă după colectare, având în vedere circumstanțele specifice ale prelucrării datelor.

(4)  Statele membre pot adopta măsuri legislative de amânare, sau restricționare sau omitere a dispoziției privind informațiile pentru persoana vizată, într-un caz concret, în măsura în care și atât timp cât o astfel de restricționare parțială sau totală constituie o măsură necesară și proporțională într-o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei vizate:

(a)  pentru evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)  pentru a nu prejudicia prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)  pentru protejarea siguranței publice;

(d)  pentru protejarea securității naționale;

(e)  pentru protejarea drepturilor și libertăților celorlalți.

(5)  Statele membre prevăd dispoziții conform cărora operatorul evaluează, în fiecare caz specific, prin intermediul unei examinări concrete și individuale, aplicabilitatea unei restricționări parțiale sau totale în cazul unuia dintre motivele menționate la alineatul (4). Statele membre pot, de asemenea, stabili prin lege categoriile de prelucrare a datelor care se pot încadra, integral sau parțial, la excepțiile de la alineatul (4) literele (a), (b), (c) și (d). [AM 74]

Articolul 12

Dreptul de acces al persoanei vizate

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține de la operator confirmarea cu privire la prelucrarea datelor sale cu caracter personal. În cazul în care aceste date cu caracter personal sunt prelucrate, operatorul furnizează următoarele informații, dacă nu au fost deja furnizate:

(-a)  comunicarea datelor cu caracter personal care fac obiectul prelucrării și a oricărei informații disponibile cu privire la originea datelor și, după caz, informații inteligibile referitoare la logica utilizată în orice prelucrare automată;

(-aa)  semnificația și consecințele avute în vedere ale acestei prelucrări, cel puțin în cazul măsurilor menționate la articolul 9;

(a)  scopurile prelucrării, precum și temeiurile juridice ale prelucrării;

(b)  categoriile de date cu caracter personal vizate;

(c)  destinatarii sau categoriile de destinatari cărora le-au fost dezvăluite datele cu caracter personal, în special destinatarii din țări terțe;

(d)  perioada de stocare a datelor cu caracter personal;

(e)  existența dreptului de a solicita de la operator rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

(f)  dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere.

(g)  comunicarea datelor cu caracter personal care fac obiectul prelucrării și a oricărei informații disponibile cu privire la originea datelor.

(2)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține de la operator o copie a datelor cu caracter personal care fac obiectul prelucrării. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. [AM 75]

Articolul 13

Limitarea dreptului de acces

(1)  Statele membre pot adopta măsuri legislative care limitează, integral sau parțial, în funcție de cazul concret, dreptul de acces al persoanei vizate în măsura și pentru perioada în care o astfel de limitare, parțială sau totală, constituie o măsură strict necesară și proporțională într-o societate democratică, ținându-se seama de drepturile fundamentale și interesele legitime ale persoanei în cauză:

(a)  pentru evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)  pentru a nu prejudicia prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)  pentru protejarea siguranței publice;

(d)  pentru protejarea securității naționale;

(e)  pentru protejarea drepturilor și libertăților celorlalți.

(2)  Statele membre prevăd dispoziții conform cărora operatorul evaluează, în fiecare caz specific, prin intermediul unei examinări concrete și individuale, aplicabilitatea unei restricționări parțiale sau totale în cazul unuia dintre motivele menționate la alineatul (1). Statele membre pot, de asemenea, stabili prin lege categoriile de prelucrare a datelor care se pot încadra, integral sau parțial, la excepțiile de la alineatul (1) literele (a)-(d).

(3)  În cazurile prevăzute la alineatele (1) și (2), statele membre prevăd dispoziții potrivit cărora operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la refuzarea sau limitarea accesului, cu privire la motivele argumentate ale refuzului și cu privire la posibilitățile de a depune o plângere la autoritatea de supraveghere și de a introduce o cale de atac în justiție. Informațiile cu privire la motivele de fapt și de drept care stau la baza deciziei pot fi omise în cazul în care furnizarea acestor informații ar contraveni unuia dintre obiectivele de la alineatul (1).

(4)  Statele membre se asigură că operatorul justifică evaluarea menționată la alineatul (2), precum și motivele pentru omiterea restricționarea comunicării motivelor de fapt sau de drept care stau la baza deciziei. Aceste informații se pun la dispoziția autorităților naționale de supraveghere. [AM 76]

Articolul 14

Modalitățile de exercitare a dreptului de acces

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a solicita, în orice moment, și în special în cazurile menționate la articolul 13 articolele 12 și 13, verificarea legalității prelucrării datelor de către autoritatea de supraveghere.

(2)  Statul membru Statele membre prevede dispoziții potrivit cărora operatorul informează persoana vizată cu privire la dreptul de a solicita intervenția autorității de supraveghere în temeiul alineatului (1).

(3)  Atunci când este exercitat dreptul menționat la alineatul (1), autoritatea de supraveghere informează persoana vizată, cel puțin că au fost realizate toate verificările necesare de către autoritatea de supraveghere, precum și cu privire la rezultatul legalității prelucrării respective. Autoritatea de supraveghere informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac.

(3a)  Statele membre pot prevedea posibilitatea persoanei vizate de a-și exercita acest drept în mod direct împotriva operatorului sau prin intermediul autorității naționale de supraveghere competente.

(3b)  Statele membre se asigură că operatorul dispune de un termen rezonabil pentru a răspunde solicitărilor persoanelor vizate cu privire la exercitarea drepturilor lor de acces. [AM 77]

Articolul 15

Dreptul la rectificare și completare

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține de la operator rectificarea sau completarea datelor cu caracter personal inexacte sau incomplete care o privesc. Persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete,, în special prin furnizarea unei declarații corective sau completive suplimentare.

(2)  Statele membre prevăd dispoziții potrivit cărora operatorul informează în scris persoana vizată, oferind o justificare corespunzătoare, cu privire la orice refuz de rectificare sau completare, cu privire la motivele refuzului și cu privire la posibilitățile de a depune o plângere la autoritatea de supraveghere și de a introduce o cale de atac în justiție.

(2a)  Statele membre prevăd ca operatorul să comunice orice rectificare efectuată fiecărui destinatar căruia i-au fost dezvăluite datele, cu excepția cazului în care o astfel de acțiune se dovedește a fi imposibilă sau presupune un efort disproporțional.

(2b)  Statele membre prevăd obligația operatorului de a comunica rectificarea datelor personale inexacte părții terțe de la care provin datele inexacte.

(2c)  Statele membre prevăd posibilitatea persoanei vizate de a-și exercita acest drept și prin intermediul autorității naționale de supraveghere competente. [AM 78]

Articolul 16

Dreptul de a șterge

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal referitoare la aceasta, în cazul în care prelucrarea nu este în conformitate cu dispozițiile adoptate în temeiul articolului 4 literele (a) – (e) și al articolelor 7 și 8 articolelor 4, 6, 7 și 8 din prezenta directivă.

(2)  Operatorul efectuează ștergerea fără întârziere. Operatorul ar trebui, de asemenea, să nu comunice mai departe aceste date.

(3)  În loc de ștergere, operatorul marchează datele limitează prelucrarea datelor cu caracter personal în cazul în care:

(a)  persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor;

(b)  datele cu caracter personal trebuie să fie păstrate ca dovadă sau pentru protecția intereselor vitale ale persoanei vizate sau ale altei persoane.

(c)  persoana vizată se opune ștergerii și solicită în schimb restricționarea utilizării acestora.

(3a)  În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (3), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare.

(4)  Statele membre prevăd dispoziții potrivit cărora operatorul informează în scris persoana vizată, oferind o justificare corespunzătoare, cu privire la orice refuz de ștergere sau de restricționare a prelucrării, cu privire la motivele refuzului și cu privire la posibilitățile de a depune o plângere la autoritatea de supraveghere și de a introduce o cale de atac în justiție.

(4a)  Statele membre prevăd ca operatorul să informeze destinatarii cărora le-au fost trimise aceste date cu privire la orice ștergere sau restricționare realizată în temeiul alineatului (1), cu excepția cazului în care acest lucru se dovedește a fi imposibil sau implică un efort disproporționat. Operatorul informează persoana vizată cu privire la acești terți.

(4b)  Statele membre pot prevedea posibilitatea persoanei vizate de a-și exercita acest drept în mod direct împotriva operatorului sau prin intermediul autorității naționale de supraveghere competente. [AM 79]

Articolul 17

Drepturile persoanelor vizate în cadrul investigațiilor și procedurilor penale

Statele membre pot prevedea dispoziții potrivit cărora drepturile la informare, acces, rectificare, ștergere și la restricționarea prelucrării menționate la articolele 11 - 16 sunt exercitate în conformitate cu normele naționale privind procedurile judiciare în cazul în care datele cu caracter personal sunt conținute într-o hotărâre sau înregistrare judecătorească prelucrată în cursul unor investigații și al unor proceduri penale.

CAPITOLUL IV

OPERATORUL ȘI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR

SECȚIUNEA 1

OBLIGAȚII GENERALE

Articolul 18

Responsabilitatea operatorului

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul adoptă norme interne și pune în aplicare măsuri adecvate pentru a se asigura și a fi capabil să demonstreze, într-un mod transparent, pentru fiecare operațiune de prelucrare, că prelucrarea datelor cu caracter personal este realizată în conformitate cu dispozițiile adoptate în temeiul prezentei directive, atât când se hotărăsc mijloacele de prelucrare, cât și în momentul prelucrării în sine.

(2)  Măsurile menționate la alineatul (1) cuprind în special:

(a)  păstrarea documentației menționate la articolul 23;

(aa)  efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 25a;

(b)  respectarea cerințelor privind consultarea prealabilă, în temeiul articolului 26;

(c)  punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 27;

(d)  desemnarea unui responsabil cu protecția datelor, în temeiul articolului 30;

(da)  după caz, conceperea și punerea în aplicare a unor garanții specifice cu privire la procesarea datelor cu caracter personal referitoare la copii.

(3)  Operatorul pune în aplicare mecanisme pentru a asigura verificarea adecvării și eficacității măsurilor menționate la alineatele (1) și (2) ale prezentului articol. Dacă se dovedește a fi proporțională, această verificare va fi efectuată de auditori interni sau externi independenți. [AM 80]

Articolul 19

Protecția datelor începând cu momentul conceperii și protecția implicită a datelor

(1)  Statele membre prevăd dispoziții potrivit cărora, având în vedere stadiul actual al tehnicii și costurile de implementare, operatorul pune, cunoștințele tehnice actuale, cele mai bune practici internaționale și riscurile reprezentate de prelucrarea datelor, operatorul și persoana împuternicită de acesta, dacă există, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, pun în aplicare măsuri și proceduri tehnice și organizatorice corespunzătoare și proporționale astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate, îndeosebi în ceea ce privește principiile menționate la articolul 4. Protecția datelor încă din momentul conceperii ține seama în mod deosebit de managementul întregului ciclu de viață al datelor cu caracter personal, de la colectare la prelucrare și la eliminare, axându-se în mod sistematic pe garanții procedurale cuprinzătoare cu privire la acuratețea, confidențialitatea, integritatea, securitatea fizică și eliminarea datelor cu caracter personal. În cazul în care operatorul a realizat o evaluare a impactului asupra protecției datelor în temeiul articolului 25a, se ține cont de rezultatele acesteia în elaborarea măsurilor și procedurilor.

(2)  Operatorul pune în aplicare mecanisme care garantează garantează că, în mod implicit, sunt prelucrate numai acele date cu caracter personal care sunt necesare pentru scopurile prelucrării fiecare scop specific al prelucrării și că aceste date colectate sau păstrate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane și că persoanele vizate pot să controleze gradul de difuzare a datelor lor cu caracter personal. [AM 81]

Articolul 20

Operatorii asociați

(1)  Statele membre prevăd dispoziții potrivit cărora, în cazul în care un operator stabilește scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal împreună cu alții, operatorii asociați trebuie să stabilească responsabilitățile care revin fiecăruia pentru respectarea dispozițiilor adoptate în temeiul prezentei directive, în special în ceea ce privește procedurile și mecanismele pentru exercitarea drepturilor persoanelor vizate, prin intermediul unui acord scris, cu caracter obligatoriu, între aceștia.

(2)  cu excepția cazului în care persoana vizată a fost informată cu privire operatorii asociați responsabili, conform alineatului (1), persoana vizată își poate exercita drepturile în temeiul prezentei directive în ceea ce privește și împotriva oricărui operator asociat. [AM 82]

Articolul 21

Persoana împuternicită de către operator

(1)  Statele membre prevăd dispoziții potrivit cărora, atunci când o operațiune de prelucrare este realizată în numele unui operator, operatorul trebuie să aleagă alege o persoană împuternicită care să ofere garanții suficiente pentru punerea în aplicare a măsurilor tehnice și organizatorice adecvate și a procedurilor, astfel încât prelucrarea să îndeplinească cerințele prevăzute în dispozițiile adoptate în temeiul prezentei directive și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și să vegheze la respectarea acestor măsuri.

(2)  Statele membre prevăd dispoziții potrivit cărora realizarea prelucrării de către o persoană împuternicită prin intermediul unei persoane împuternicite de către operator trebuie să fie reglementată printr-un contract sau act juridic care obligă persoana împuternicită de către operator în raport cu operatorul și care prevede, în special, că persoana împuternicită de către operator acționează numai la instrucțiunile operatorului; în special, în cazul în care transferul datelor cu caracter personal utilizate este interzis.

(a)  acționează numai la instrucțiunile operatorului;

(b)  angajează doar persoane care au fost de acord să li se impună obligația de confidențialitate sau respectă o obligație legală de confidențialitate;

(c)  adoptă toate măsurile necesare în conformitate cu articolul 27;

(d)  angajează o altă persoană împuternicită de către operator doar cu permisiunea operatorului și, prin urmare, îl informează din timp pe operator cu privire la intenția de a angaja o altă persoană împuternicită de către operator, astfel încât acesta să aibă posibilitatea de a obiecta;

(e)  în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, adoptă, în acord cu operatorul, condițiile tehnice și organizatorice necesare pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III;

(f)  ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 25a-29;

(g)  transmite operatorului toate rezultatele după terminarea procesului de prelucrare, nu prelucrează în niciun alt mod datele cu caracter personal și șterge copiile existente, dacă legislația Uniunii sau a statelor membre nu impune stocarea lor;

(h)  pune la dispoziția operatorului și a autorității de supraveghere toate informațiile necesare pentru a se controla respectarea obligațiilor prevăzute în prezentul articol;

(i)  ține cont de principiile protecției datelor începând cu momentul conceperii și protecției implicite a datelor.

(2a)  Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligației care îi revine persoanei împuternicite de către operator menționate la alineatul (2).

(3)  În cazul în care o persoană împuternicită de către operator prelucrează date cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator, persoana împuternicită de către operator este considerată operator pentru prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 20. [AM 83]

Articolul 22

Desfășurarea activității de prelucrare sub autoritatea operatorului și a persoanei împuternicite de către operator

(1)   Statele membre prevăd dispoziții potrivit cărora orice persoană acționând sub autoritatea operatorului sau a persoanei împuternicite, care are acces la date cu caracter personal, nu le poate prelucra decât pe baza instrucțiunilor operatorului sau dacă acest lucru este impus de legislația Uniunii sau a unui stat membru.

(1a)  Atunci când persoana împuternicită de către operator este sau devine partea determinantă în ceea ce privește scopurile, mijloacele sau metodele de prelucrare a datelor sau nu acționează exclusiv pe baza instrucțiunilor operatorului, aceasta este considerată operator asociat, în conformitate cu articolul 20. [AM 84]

Articolul 23

Documentația

(1)  Statele membre prevăd dispoziții potrivit cărora fiecare operator și persoană împuternicită de către operator păstrează documentația referitoare la toate sistemele și procedurile de prelucrare aflate în responsabilitatea lor.

(2)  Această documentație cuprinde cel puțin următoarele informații:

(a)  numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau persoane împuternicite de către operator;

(aa)  un acord cu caracter obligatoriu, în cazul în care există operatori comuni; o listă a persoanelor împuternicite de către operator și a activităților desfășurate de către acestea;

(b)  scopurile prelucrării;

(ba)  indicarea secțiunilor din cadrul organizației operatorului sau a persoanei împuternicite de către operator responsabile cu prelucrarea datelor cu caracter personal într-un scop anumit;

(bb)  o descriere a categoriei sau categoriilor de persoane vizate și a datelor sau categoriilor de date referitoare la acestea;

(c)  destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(ca)  după caz, informații cu privire la existența creării de profiluri, a unor măsuri bazate pe crearea de profiluri și cu privire la mecanisme de a contesta crearea de profiluri;

(cb)  informații inteligibile despre logica care stă la baza oricărei operațiuni de prelucrare automatizată;

(d)  transferurile de date către o țară terță sau către o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și temeiurile juridice în baza cărora datele sunt transferate; se prezintă o explicație substanțială atunci când un transfer are la bază articolul 35 sau articolul 36 din prezenta directivă;

(da)  termenele pentru ștergerea diferitelor categorii de date;

(db)  rezultatele verificărilor măsurilor menționate la articolul 18 alineatul (1);

(dc)  indicarea temeiului juridic al operațiunii de prelucrare pentru care sunt destinate datele.

(3)  Operatorul și persoana împuternicită de către operator pun toată documentația la dispoziția autorității de supraveghere, la cererea acesteia. [AM 85]

Articolul 24

Păstrarea înregistrărilor

(1)  Statele membre prevăd dispoziții potrivit cărora se înregistrează următoarele operațiuni de prelucrare: colectare, modificare, consultare, divulgare, combinare sau ștergere. Înregistrările consultărilor sau ale divulgărilor indică, în special, scopul, data și momentul acestor operațiuni și, în măsura în care este posibil, identificarea persoanei ale cărei date cu caracter personal au fost consultate sau divulgate și identitatea destinatarilor acestor date.

(2)  Înregistrările sunt utilizate exclusiv în scopul verificării legalității prelucrării datelor, al monitorizării proprii și al asigurării integrității și securității datelor, sau în scopul realizării de audituri, fie de către responsabilul cu protecția datelor, fie de autoritatea responsabilă cu protecția datelor.

(2a)  Operatorul și persoana împuternicită de către operator pun registrele la dispoziția autorității de supraveghere, la cererea acesteia. [AM 86]

Articolul 25

Cooperarea cu autoritatea de supraveghere

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul și persoana împuternicită de operator cooperează cu autoritatea de supraveghere, la cererea acesteia, în îndeplinirea îndatoririlor sale, în special prin furnizarea tuturor informațiilor necesare autorității de supraveghere pentru a-și îndeplini sarcinile menționate la articolul 46 alineatul (2) litera (a) și prin asigurarea accesului, așa cum este prevăzut la articolul 46 alineatul (2) litera (b).

(2)  În urma exercitării de către autoritatea de supraveghere a competențelor sale prevăzute la articolul 46 alineatul (1) literele (a) și (b), operatorul și persoana împuternicită de către operator răspund autorității de supraveghere într-un termen rezonabil care urmează să fie specificat de autoritatea de supraveghere. Răspunsul include o descriere a măsurilor adoptate și a rezultatelor obținute în urma observațiilor autorității de supraveghere. [AM 87]

Articolul 25a

Evaluarea impactului privind protecția datelor

(1)  Statele membre se asigură că, în cazul în care operațiunile de prelucrare prezintă riscuri specifice asupra drepturilor și libertăților persoanelor vizate prin natura, domeniul de aplicare sau finalitatea lor, operatorul sau persoana împuternicită de către operator care acționează în numele acestuia efectuează o evaluare a impactului operațiunilor de prelucrare, avute în vedere sau actuale, în ceea ce privește protecția datelor cu caracter personal, înainte de a efectua noi operațiuni de prelucrare sau cât mai curând posibil în cazul operațiunilor existente de prelucrare.

(2)  În special următoarele operațiuni de prelucrare pot prezenta astfel de riscuri specifice precum cele menționate la alineatul (1):

(a)  prelucrarea datelor cu caracter personal în cadrul unor sisteme de evidență de mari dimensiuni în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor și al executării pedepselor;

(b)  prelucrarea unor categorii speciale de date cu caracter personal, menționată la articolul 8, a datelor cu caracter personal referitoare la copii și a datelor biometrice în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor și al executării pedepselor.

(c)  evaluarea aspectelor personale privind o persoană fizică sau în scopul analizării sau prezicerii în special a comportamentului persoanei fizice, care se bazează pe prelucrarea automată și poate avea drept consecință măsuri care produc efecte juridice cu privire la persoana respectivă sau care o afectează în mod semnificativ pe aceasta;

(d)  monitorizarea zonelor accesibile publicului, mai ales în cazul utilizării dispozitivelor optoelectronice (supravegherea video); sau

(e)  alte operațiuni de prelucrare pentru care este necesară consultarea autorității de supraveghere în conformitate cu articolul 26 alineatul (1).

(3)  Evaluarea conține cel puțin:

(a)  o descriere sistematică a operațiunilor de prelucrare avute în vedere;

(b)  o evaluare a necesității și proporționalității operațiunilor de prelucrare în raport cu scopurile;

(c)  o evaluare a riscurilor din perspectiva drepturilor și libertăților persoanelor vizate și a măsurilor avute în vedere pentru a aborda aceste riscuri și pentru a minimiza volumul de date cu caracter personal prelucrat;

(d)  garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile adoptate în temeiul prezentei directive, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate;

(e)  o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

(f)  dacă este cazul, o listă a transferurilor de date avute în vedere către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 36 alineatul (2), documentația care dovedește existența unor garanții corespunzătoare;

(4)  În cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta participă la procedurile de evaluare a impactului.

(5)  Statele membre prevăd că operatorul consultă publicul cu privire la prelucrarea pe care intenționează să o efectueze, fără a aduce atingere protecției interesului public sau securității operațiunilor de prelucrare.

(6)  Fără a aduce atingere protecției interesului public sau securității operațiunilor de prelucrare, evaluarea este ușor accesibilă publicului.

(7)  Comisia este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 în scopul de a indica mai detaliat criteriile și condițiile pentru prelucrarea operațiunilor care pot prezenta riscurile specifice menționate la alineatele (1) și (2) și cerințele privind evaluarea menționate la alineatul (3), inclusiv condițiile privind scalabilitatea, verificarea și posibilitatea auditării. [AM 88]

Articolul 26

Consultarea prealabilă a autorității de supraveghere

(1)  Statele membre se asigură că operatorul sau persoana împuternicită consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidență a datelor care urmează a fi creat pentru a asigura conformitatea prelucrării prevăzute cu dispozițiile adoptate în conformitate cu prezenta directivă și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care:

(a)  urmează a fi prelucrate categorii speciale de date, menționate la articolul 8 o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 25a, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare și/sau scopurile lor, un grad înalt de riscuri specifice; sau;

(b)  tipul prelucrării, în special prin utilizarea de tehnologii, mecanisme sau proceduri noi prezintă riscuri specifice pentru drepturile și libertățile fundamentale, în special pentru protecția datelor cu caracter personal ale persoanelor vizate autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare specificate care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor..

(1a)  Atunci când hotărăște, conform atribuțiilor sale că prelucrarea prevăzută nu este conformă cu dispozițiile adoptate în conformitate cu prezenta directivă, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(2)  Statele membre pot prevedea prevăd dispoziții potrivit cărora autoritatea de supraveghere, după consultarea Comitetului european pentru protecția datelor, stabilește o listă a operațiunilor de prelucrare care fac obiectul consultării prealabile, în conformitate cu alineatul (1) litera (b).

(2a)  Statele membre prevăd dispoziții conform cărora operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere evaluarea impactului privind protecția datelor în temeiul articolului 25a și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și în special a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente.

(2b)  Atunci când consideră că prelucrarea prevăzută nu este conformă cu dispozițiile adoptate în conformitate cu prezenta directivă sau că riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(2c)  Statele membre pot consulta autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptată de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezenta directivă și în special pentru a atenua riscurile la care sunt expuse persoanele vizate. [AM 89]

SECȚIUNEA 2

SECURITATEA DATELOR

Articolul 27

Securitatea prelucrării

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul și persoana împuternicită de către operator pun în aplicare măsuri și proceduri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor pe care le presupune prelucrarea și naturii datelor care trebuie protejate, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.

(2)  În ceea ce privește prelucrarea automată a datelor, fiecare stat membru prevede dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator, în urma unei evaluări a riscurilor, pune în aplicare măsuri menite:

(a)  să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor utilizate pentru prelucrarea datelor cu caracter personal (controlul accesului la echipamente);

(b)  să împiedice orice citire, copiere, modificare sau eliminare neautorizată a suporturilor de date (controlul suporturilor de date);

(c)  să împiedice introducerea neautorizată de date și inspectarea, modificarea sau ștergerea neautorizată a datelor cu caracter personal stocate (controlul stocării);

(d)  să împiedice utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (controlul utilizatorului);

(e)  să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată a datelor au acces numai la datele pentru care au autorizare (controlul accesului la date);

(f)  să asigure că este posibilă verificarea și identificarea organismelor cărora le-au fost transmise sau puse la dispoziție sau s-ar putea să le fie transmise sau puse la dispoziție date cu caracter personal utilizându-se echipamente de comunicare a datelor (controlul comunicării);

(g)  să asigure că este posibil ulterior să se verifice și să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată a datelor, momentul introducerii acestora și entitatea care le-a introdus (controlul introducerii datelor);

(h)  să împiedice citirea, copierea, modificarea sau ștergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date (controlul transportării);

(i)  să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi (recuperarea);

(j)  să asigure funcționarea sistemului, raportarea defecțiunilor de funcționare (fiabilitate) și imposibilitatea coruperii datelor cu caracter personal stocate, din cauza funcționării defectuoase a sistemului (integritate);

(ja)  să se asigure că în cazul prelucrării datelor sensibile cu caracter personal, în conformitate cu articolul 8, sunt aplicate măsuri de securitate suplimentare, pentru a garanta conștientizarea diferitelor situații care presupun riscuri și capacitatea de a adopta măsuri preventive, corective și de atenuare în timp aproape real pentru a răspunde vulnerabilităților și incidentelor detectate care ar putea constitui riscuri pentru securitatea datelor;

(2a)  Statele membre prevăd că persoanele împuternicite de către operator pot fi numite numai în cazul în care acestea garantează respectarea măsurilor tehnice și organizaționale necesare în temeiul alineatului (1) și respectarea instrucțiunilor în temeiul articolului 21 alineatul (2) litera (a). Autoritatea competentă monitorizează în acest sens persoana împuternicită de către operator.

(3)  Comisia poate adopta, după caz, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special a standardelor de codificare. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2). [AM 90]

Articolul 28

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

(1)  Statele membre prevăd dispoziții potrivit cărora, în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Operatorul transmite autorității de supraveghere, la cerere, o explicație motivată în cazurile în care notificarea nu este efectuată în termen de 24 de ore în cazurile în care apar întârzieri.

(2)  Persoana împuternicită de operator alertează și informează operatorul imediat fără întârzieri nejustificate după ce ia cunoștință de s-a stabilit o încălcare a securității datelor cu caracter personal.

(3)  Notificarea menționată la alineatul (1) trebuie, cel puțin:

(a)  să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză, precum și categoriile și numărul de înregistrări de date în cauză;

(b)  să comunice identitatea și datele de contact ale responsabilului cu protecția datelor menționat la articolul 30 sau alt punct de contact unde pot fi obținute mai multe informații;

(c)  să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal;

(d)  să descrie consecințele posibile ale încălcării securității datelor cu caracter personal;

(e)  să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și pentru a limita efectele acesteia.

Dacă nu se pot furniza informațiile fără întârziere, operatorul poate efectua notificarea într-o fază ulterioară.

(4)  Statele membre prevăd dispoziții potrivit cărora operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să fie suficientă pentru a permite autorității de supraveghere să verifice conformitatea cu prezentul articol. Documentele respective includ numai informațiile necesare în acest scop.

(4a)  Autoritatea de supraveghere ține un registru public al tipurilor de încălcare notificate.

(5)  Comisia este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 în scopul detalierii criteriilor și cerințelor necesare pentru stabilirea încălcării menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal.

(6)  Comisia poate stabili formatul standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentelor menționate la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în acestea. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2). [AM 91]

Articolul 29

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1)  Statele membre prevăd dispoziții potrivit cărora, atunci când încălcarea securității datelor cu caracter personal afectează protecția datelor cu caracter personal, a vieții private a persoanei vizate, a drepturilor sau a intereselor sale legitime, operatorul, după notificarea prevăzută la articolul 28, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal.

(2)  Informarea persoanei vizate prevăzută la alineatul (1) este cuprinzătoare și folosește un limbaj clar și simplu. Aceasta cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 28 alineatul (3) literele (b), (c) și (d) și informații despre drepturile persoanei vizate, inclusiv căile de atac.

(3)  Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal ale acesteia nu este necesară în cazul în care operatorul demonstrează într-un mod satisfăcător autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție asigură faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.

(3a)  Fără a aduce atingere obligației operatorului de a notifica persoana vizată cu privire la încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a informat deja persoana vizată cu privire la încălcarea securității datelor sale cu caracter personal, în urma analizării posibilelor efecte negative ale încălcării, autoritatea de supraveghere poate solicita ca operatorul să facă acest lucru.

(4)  Informarea persoanei vizate poate fi întârziată, sau restricționată sau omisă din motivele menționate la articolul 11 alineatul (4). [AM 92]

SECȚIUNEA 3

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 30

Desemnarea responsabilului cu protecția datelor

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor.

(2)  Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în domeniul legislației și practicilor privind protecția datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 32. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator.

(2a)  Statele membre prevăd că operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese.

(2b)  Responsabilul cu protecția datelor este numit pentru o perioadă de cel puțin patru ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă acesta nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale.

(2c)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a contacta responsabilul cu protecția datelor cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal ale acesteia.

(3)  Responsabilul cu protecția datelor poate fi desemnat pentru mai multe entități, ținându-se seama de structura organizatorică a autorității competente.

(3a)  Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului identitatea și datele de contact ale responsabilului cu protecția datelor. [AM 93]

Articolul 31

Funcția responsabilului cu protecția datelor

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)  Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor are la dispoziție mijloacele pentru îndeplinirea cu eficacitate și în mod independent a funcțiilor și sarcinilor menționate la articolul 32 și că nu primește instrucțiuni în ceea ce privește exercitarea funcției sale.

(2a)  Operatorul sau persoana împuternicită de către operator sprijină responsabilul cu protecția datelor în exercitarea atribuțiilor sale și furnizează toate mijloacele, inclusiv personal, sediu, echipament, formare profesională continuă precum și orice altă resursă necesară îndeplinirii atribuțiilor și sarcinilor menționate la articolul 32 și menținerii cunoștințelor profesionale ale acestuia. [AM 94]

Articolul 32

Sarcinile responsabilului cu protecția datelor

Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

(a)  sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în conformitate cu dispozițiile adoptate în temeiul prezentei directive, în special în ceea ce privește măsurile și procedurile tehnice și organizatorice, și păstrarea documentelor referitoare la această activitate și la răspunsurile primite;

(b)  monitorizarea aplicării politicilor în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;

(c)  monitorizarea punerii în aplicare și aplicarea dispozițiilor adoptate în temeiul prezentei directive, în special cu privire la cerințele legate de protecția datelor începând cu momentul conceperii, de protecția implicită a datelor, securitatea datelor și de informarea persoanelor vizate, precum și de solicitările acestora în exercitarea drepturilor lor prevăzute de dispozițiile adoptate în temeiul prezentei directive;

(d)  asigurarea păstrării documentației, prevăzute la articolul 23;

(e)  monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a securității datelor cu caracter personal, în temeiul articolelor 28 și 29;

(f)  monitorizarea aplicării evaluării impactului de către operator sau de persoana împuternicită și a cererii de consultare prealabilă adresată autorității de supraveghere, în cazul în care este necesar, în conformitate cu articolul 26 alineatul (1);

(g)  monitorizarea răspunsului la solicitările autorității de supraveghere și, în limitele ariei de competență a responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din proprie inițiativă;

(h)  asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, de consultare a autorității de supraveghere, din propria inițiativă a responsabilului cu protecția datelor. [AM 95]

CAPITOLUL V

TRANSFERUL DATELOR CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE

Articolul 33

Principii generale pentru transferurile de date cu caracter personal

1.  Statele membre prevăd dispoziții potrivit cărora orice transfer de date cu caracter personal de către autoritățile competente, care sunt prelucrate sau care sunt destinate prelucrării după transferul către o țară terță sau către o organizație internațională, inclusiv, ulterior, transferul în continuare către o altă țară terță sau organizație internațională, poate avea loc numai dacă:

(a)  transferul specific este necesar pentru prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor ori pentru executarea pedepselor; precum și

(aa)  datele sunt transferate unui operator într-o țară terță sau unei organizații internaționale competente în sensul articolului 1 alineatul (1); precum și

(ab)  condițiile prevăzute în prezentul capitol sunt respectate de operator sau de persoana împuternicită de către operator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională într-o altă țară terță sau la o altă organizație internațională; precum și

(b)  condițiile prevăzute în prezentul capitol celelalte condiții adoptate în conformitate cu prezenta directivă sunt respectate de operator și de persoana împuternicită de către operator;

(ba)  nivelul de protecție a datelor cu caracter personal garantat în Uniune prin prezenta directivă nu este subminat. precum și

(bb)  dacă Comisia a decis, în conformitate cu condițiile și procedura menționate la articolul 34, că țara terță sau organizația internațională respectivă asigură un nivel adecvat de protecție; sau

(bc)  dacă s-au prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu caracter juridic obligatoriu, așa cum este prevăzut la articolul 35.

2.  Statele membre prevăd dispoziții potrivit cărora transferurile ulterioare menționate la primul paragraf al prezentului articol pot avea loc numai dacă, pe lângă condițiile prevăzute la paragraful respectiv, se îndeplinesc și următoarele condiții:

(a)  transferul ulterior este necesar pentru realizarea aceluiași scop specific ca transferul inițial; precum și

(b)  autoritatea competentă care a realizat transferul inițial autorizează transferul ulterior. [AM 96]

Articolul 34

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție

(1)  Statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către o țară terță sau către o organizație internațională poate avea loc în cazul în care Comisia a decis, în conformitate cu articolul 41 din Regulamentul (CE) …./2012 sau în conformitate cu alineatul (3) din prezentul articol, că țara terță sau un teritoriu sau un sector de prelucrare din acea țară terță sau organizația internațională respectivă asigură un nivel adecvat de protecție. Transferurile realizate în aceste condiții nu necesită alte autorizări suplimentare speciale.

(2)  În cazul în care nu există nici decizie adoptată în conformitate cu articolul 41 din Regulamentul (CE) …./2012, Comisia evaluează caracterul adecvat al nivelului de protecție, luând Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente:

(a)  statul de drept, legislația relevantă în vigoare, atât generală, cât și sectorială, inclusiv cea referitoare la securitatea publică, la apărare, la securitatea națională și la dreptul penal, măsurile precum și implementarea acestei legislații și a măsurilor de securitate respectate în țara respectivă sau de respectiva organizație internațională, Precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate;

(b)  existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care are responsabilitatea de a asigura respectarea normelor în materie de protecție a datelor, inclusiv suficiente competențe de sancționare, de a asista și de a consilia persoana vizată în ceea ce privește exercitarea drepturilor sale și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune precum și

(c)  angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză, în special orice convenții sau instrumente obligatorii din punct de vedere juridic,în ceea ce privește protecția datelor personale.

(3)  Comisia poate este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 pentru a decide, în limitele prezentei directive, că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2).

(4)  Actul de punere aplicare delegat menționează aplicarea geografică și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b).

(4a)  Comisia monitorizează în mod continuu evoluțiile care ar putea afecta îndeplinirea obiectivelor menționate la alineatul (2) în țările terțe și organizațiile internaționale în legătură cu care a fost adoptat un act delegat în conformitate cu alineatul (3).

(5)  Comisia poate este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 pentru a decide, în limitele prezentei directive, că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură un nivel de protecție adecvat în sensul alineatului (2), în special în cazurile în care legislația relevantă, atât cea generală, cât și cea sectorială, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2), sau, în cazuri de extremă urgență pentru persoanele fizice în ceea ce privește dreptul la protecția datelor cu caracter personal, în conformitate cu procedura menționată la articolul 57 alineatul (3).

(6)  Statele membre asigură că, atunci când Comisia ia o decizie în temeiul alineatului (5), potrivit căreia transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, decizia respectivă nu aduce atingere transferurilor efectuate în temeiul articolului 35 alineatul (1) sau în conformitate cu articolul 36. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol.

(7)  Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat.

(8)  Comisia monitorizează aplicarea actelor de punere în aplicare actelor delegate la care se face referire la alineatele (3) și (5). [AM 97]

Articolul 35

Transferurile în baza unor garanții adecvate

(1)  În cazul în care Comisia nu a luat o decizie în temeiul articolului 34, statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională poate avea loc în condițiile în care: sau a decis că o țară terță sau un teritoriu ori un sector de prelucrare din respectiva țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu articolul 34 alineatul (5), operatorul sau persoana împuternicită de către operator poate să nu transfere date cu caracter personal într-o țară terță sau unei organizații internaționale care transferă date la nivel internațional numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie.

(a)  s-au prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie sau

(b)  operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente transferului de date cu caracter personal și a concluzionat că există garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal.

(2)  Decizia privind transferurile în temeiul alineatului (1) litera (b) trebuie să fie luată de personalul autorizat în acest sens. Aceste transferuri trebuie să fie documentate, iar documentele trebuie să fie puse la dispoziția autorității de supraveghere, la cerere. autorizate de către autoritatea de supraveghere înainte de transfer. [AM 98]

Articolul 36

Derogări

(1)  Transferul de date cu caracter personal către țara terță vizată, respectiv către o țară terță sau către organizația internațională în cauză, nu are loc în cazul în care Comisia, în conformitate cu articolul 34 alineatul (5), decide că nu există un nivel adecvat de protecție și în cazul în care interesele legitime ale persoanei vizate în prevenirea unui astfel de transfer primează în fața interesului public privind transferul de date respectiv.

(2)   Prin derogare de la articolele 34 și 35, statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care:

(a)  transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane sau

(b)  transferul este necesar pentru protejarea intereselor legitime ale persoanei vizate, în cazul în care legea statului membru care transferă datele cu caracter personal prevede acest lucru sau

(c)  transferul datelor este esențial pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe sau

(d)  transferul este necesar, în cazuri individuale, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale sau

(e)  transferul este necesar, în cazuri individuale, pentru constatarea, exercitarea sau apărarea unui drept în instanță legat de prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor sau de executarea unei anumite sancțiuni penale.

(2a)  Prelucrarea efectuată în baza alineatului (2) trebuie să aibă un temei juridic în legislația Uniunii sau a statului membru care se aplică operatorului; legislația respectivă trebuie să respecte obiectivul de interes public sau nevoia de a proteja drepturile și libertățile celorlalți, esența dreptului la protecția datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit.

(2b)  Toate transferurile de date personale decise pe baza unor derogări trebuie justificate corespunzător și se limitează la ceea ce este strict necesar, iar frecventele transferuri masive de date nu sunt permise.

(2c)  Decizia privind transferurile în temeiul alineatului (2) trebuie să fie luată de personalul autorizat în acest sens. Aceste transferuri trebuie să fie documentate iar documentația trebuie pusă la dispoziția autorității de supraveghere la cerere, incluzând data și ora transferului, informații cu privire la autoritatea destinatară, justificarea transferului și datele transferate. [AM 99]

Articolul 37

Condiții specifice pentru transferul datelor cu caracter personal

Statele membre prevăd dispoziții potrivit cărora operatorul informează destinatarul cu privire la orice restricție privind prelucrarea datelor cu caracter personal și ia toate măsurile rezonabile pentru a asigura respectarea acestor restricții. Operatorul informează, de asemenea, destinatarul datelor cu caracter personal cu privire la orice actualizare, rectificare sau ștergere a datelor, iar destinatarul efectuează, de asemenea, notificarea corespunzătoare în cazul în care datele au fost transferate ulterior. [AM 100]

Articolul 38

Cooperarea internațională în domeniul protecției datelor cu caracter personal

(1)  În ceea ce privește țările terțe și organizațiile internaționale, Comisia și statele membre iau măsurile corespunzătoare pentru:

(a)  elaborarea de mecanisme eficiente de cooperare internațională pentru a facilita asigurarea asigura aplicarea legislației privind protecția datelor cu caracter personal; [AM 101]

(b)  acordarea de asistență internațională reciprocă în asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal, inclusiv prin notificare, transferul reclamațiilor, asistență în anchete și schimb de informații, sub rezerva unor garanții adecvate pentru protecția datelor cu caracter personal și a altor drepturi și libertăți fundamentale;

(c)  implicarea părților interesate relevante în discuțiile și activitățile care au ca scop lărgirea cooperării internaționale în vederea asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal;

(d)  promovarea schimbului și a documentației cu privire la legislația și practicile în materie de protecție a datelor cu caracter personal;

(da)  clarificarea și consultarea privind conflictele jurisdicționale cu țările terțe. [AM 102]

(2)  În sensul alineatului (1), Comisia ia măsurile necesare pentru a consolida relațiile cu țările terțe sau cu organizațiile internaționale, în special cu autoritățile lor de supraveghere, în cazul în care Comisia a decis că acestea asigură un nivel adecvat de protecție în sensul articolului 34 alineatul (3).

Articolul 38a

Raportul Comisiei

Comisia transmite Parlamentului European și Consiliului, la intervale regulate, un raport privind aplicarea articolelor 33-38. Primul raport este transmis în termen de cel mult patru ani de la data intrării în vigoare a prezentei directive. În acest sens, Comisia poate solicita informații de la statele membre și de la autoritățile de supraveghere, care furnizează aceste informații fără întârzieri nejustificate. Raportul se publică. [AM 103]

CAPITOLUL VI

AUTORITĂȚI DE SUPRAVEGHERE INDEPENDENTE

SECȚIUNEA 1

STATUT INDEPENDENT

Articolul 39

Autoritatea de supraveghere

(1)  Fiecare stat membru prevede dispoziții potrivit cărora una sau mai multe autorități publice sunt responsabile de monitorizarea aplicării dispozițiilor adoptate în temeiul prezentei directive și de contribuția la aplicarea uniformă a acesteia în întreaga Uniune, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ale acestora și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii. În acest sens, autoritățile de supraveghere cooperează între ele și cu Comisia.

(2)  Statele membre pot prevedea că autoritatea de supraveghere instituită în statele membre în temeiul Regulamentului (UE) …./2012 își asumă responsabilitatea pentru sarcinile autorității de supraveghere care urmează să fie instituită în temeiul alineatului (1) din prezentul articol.

(3)  În cazul în care un stat membru instituie mai multe autorități de supraveghere, statul membru respectiv desemnează autoritatea de supraveghere care funcționează ca punct unic de contact pentru participarea efectivă a autorităților respective la Comitetul european pentru protecția datelor.

Articolul 40

Independență

(1)  Statele membre se asigură că autoritatea de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate¸fără a se aduce atingere înțelegerilor de cooperare, în temeiul capitolului VII din prezenta directivă. [AM 104]

(2)  Fiecare stat membru prevede dispoziții potrivit cărora, în îndeplinirea îndatoririlor, membrii autorității de supraveghere nu solicită și nici nu acceptă niciun fel de instrucțiuni și își mențin independența completă și imparțialitatea. [AM 105]

(3)  Membrii autorității de supraveghere nu întreprind acțiuni incompatibile cu îndatoririle lor și, pe durata mandatului, nu desfășoară activități incompatibile, remunerate sau nu.

(4)  După încheierea mandatului, membrii autorității de supraveghere trebuie să dea dovadă de integritate și discreție în ceea ce privește acceptarea unor funcții sau beneficii.

(5)  Fiecare stat membru se asigură că autoritatea de supraveghere beneficiază de resurse umane, tehnice și financiare adecvate, de sediul și infrastructura necesare pentru buna executare a sarcinilor și a competențelor sale, inclusiv a celor care urmează să fie efectuate în contextul asistenței reciproce, al cooperării și al participării active la Comitetul european pentru protecția datelor.

(6)  Fiecare stat membru se asigură că autoritatea de supraveghere dispune de personal propriu, care este numit de șeful autorității de supraveghere și care răspunde în fața acestuia.

(7)  Statele membre se asigură că autoritatea de supraveghere face obiectul unui control financiar care nu aduce atingere independenței sale. Statele membre se asigură că autoritatea de supraveghere dispune de bugete anuale distincte. Bugetele se fac publice.

Articolul 41

Condiții generale aplicabile membrilor autorității de supraveghere

(1)  Statele membre prevăd dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți fie de parlament, fie de guvernul statului membru în cauză.

(2)  Membrii se aleg din rândul persoanelor care fac dovada independenței dincolo de orice îndoială, precum și a experienței și a competențelor necesare pentru îndeplinirea îndatoririlor lor.

(3)  Funcțiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau al destituirii conform dispozițiilor alineatului (5).

(4)  Un membru poate fi demis sau poate fi decăzut din dreptul la pensie sau la alte beneficii echivalente de către instanța națională competentă, în cazul în care membrul respectiv nu mai îndeplinește condițiile necesare pentru executarea funcțiilor sau este vinovat de comiterea unei abateri disciplinare grave.

(5)  În cazul expirării mandatului sau al demisiei membrului, acesta continuă să își exercite îndatoririle până la numirea unui nou membru.

Articolul 42

Norme privind instituirea autorității de supraveghere

Fiecare stat membru prevede, pe cale legislativă, următoarele:

(a)  instituirea și statutul autorității de supraveghere în conformitate cu articolele 39 și 40;

(b)  calificările, experiența și competențele necesare pentru exercitarea funcției de membru al autorității de supraveghere;

(c)  normele și procedurile pentru numirea membrilor autorității de supraveghere, precum și normele privind acțiunile sau ocupațiile incompatibile cu funcțiile membrilor;

(d)  durata mandatului membrilor autorității de supraveghere, care nu poate fi sub patru ani, cu excepția primului mandat după intrarea în vigoare a prezentei directive, care poate fi pe o perioadă mai scurtă;

(e)  posibilitatea de reînnoire a mandatului membrilor autorității de supraveghere;

(f)  regulile și condițiile comune care reglementează îndatoririle membrilor și ale personalului autorității de supraveghere;

(g)  normele și procedurile privind încetarea funcțiilor asumate de membrii autorității de supraveghere, inclusiv în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri disciplinare grave.

Articolul 43

Secretul profesional

Statele membre prevăd dispoziții potrivit cărora membrii și personalul autorității de supraveghere au obligația, atât în cursul mandatului, cât și după încetarea acestuia și în conformitate cu legislația și practica națională de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale, precum și de a-și îndeplini îndatoririle în mod independent și transparent, în conformitate cu prezenta directivă. [AM 106]

SECȚIUNEA 2

ATRIBUȚII ȘI FUNCȚII

Articolul 44

Competență

(1)  Statele membre prevăd dispoziții potrivit cărora fiecare autoritate de supraveghere are competența de a-și îndeplini îndatoririle și de a exercita, pe teritoriul statului membru de care aparține, funcțiile cu care este investită în conformitate cu prezenta directivă. [AM 107]

(2)  Statele membre prevăd dispoziții potrivit cărora autoritatea de supraveghere nu are competența de a supraveghea operațiunile de prelucrare ale instanțelor atunci când acestea acționează în exercițiul funcției lor jurisdicționale.

Articolul 45

Atribuții

(1)  Statele membre prevăd dispoziții potrivit cărora autoritatea de supraveghere:

(a)  monitorizează și asigură aplicarea dispozițiilor adoptate în temeiul prezentei directive, precum și a măsurilor de punere în aplicare aferente acesteia;

(b)  primește reclamațiile depuse de orice persoană vizată sau de o asociație care reprezintă persoana vizată respectivă și este împuternicită în mod corespunzător de aceasta, în conformitate cu articolul 50, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai detaliate sau coordonarea cu o altă autoritate de supraveghere;

(c)  verifică legalitatea prelucrării datelor în conformitate cu articolul 14 și informează persoana vizată, într-un termen rezonabil, cu privire la rezultatul verificării sau la motivele pentru care nu a avut loc verificarea;

(d)  oferă asistență reciprocă altor autorități de supraveghere și asigură consecvența aplicării și a asigurării aplicării dispozițiilor adoptate în temeiul prezentei directive;

(e)  desfășoară anchete, inspecții și audituri fie din proprie inițiativă, fie pe baza unei reclamații sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație;

(f)  monitorizează evoluțiile relevante, în măsura în care acestea au impact asupra protecției datelor cu caracter personal, în special evoluția tehnologiilor informațiilor și comunicațiilor;

(g)  este consultată de instituțiile și organele statului membru cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;

(h)  este consultată cu privire la operațiunile de prelucrare prevăzute la articolul 26;

(i)  participă la activitățile Comitetului european pentru protecția datelor.

(2)  Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special minorilor.

(3)  La cerere, autoritatea de supraveghere oferă consiliere oricărei persoane vizate cu privire la exercitarea drepturilor de care beneficiază, în conformitate cu dispozițiile adoptate în temeiul prezentei directive și, dacă este cazul, cooperează cu autoritățile de supraveghere din alte state membre în acest scop.

(4)  Pentru reclamațiile prevăzute la alineatul (1) litera (b), autoritatea de supraveghere pune la dispoziție un formular de depunere a reclamației, care poate fi completat prin mijloace electronice, fără a exclude alte mijloace de comunicare.

(5)  Statele membre prevăd dispoziții potrivit cărora îndeplinirea funcțiilor autorității de supraveghere este gratuită pentru persoana vizată.

(6)  În cazul în care cererile sunt abuzive în mod vădit excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă sau poate să nu dea curs cererii persoanei vizate rezonabilă. Cuantumul acestei taxe nu depășește costurile luării măsurii solicitate. Sarcina probei cu privire la caracterul abuziv vădit excesiv al cererii revine autorității de supraveghere. [AM 108]

Articolul 46

Competențe

(1)  Statele membre prevăd dispoziții potrivit cărora fiecare autoritate de supraveghere trebuie investită, în special, cu următoarele competențe poate:

(a)  competențe de investigare, cum ar fi competențe privind accesul la datele care fac obiectul operațiilor de prelucrare și competențe privind colectarea tuturor informațiilor necesare pentru îndeplinirea îndatoririlor sale de supraveghere; să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată;

(b)  competențe efective de intervenție, cum ar fi competențe de a emite avize înainte ca operațiunile de prelucrare să fie efectuate și de a asigura publicarea corespunzătoare a acestor avize, de a ordona restricționarea, ștergerea sau distrugerea datelor, de a impune o interdicție temporară sau definitivă de prelucrare, de a adresa operatorului un avertisment sau o mustrare sau de a sesiza parlamentele naționale sau alte instituții politice; să impună operatorului să respecte cerințele persoanei vizate de a-și exercita drepturile în conformitate cu prezenta directivă, inclusiv cu cele prevăzute la articolele 12-17, atunci când aceste cerințe au fost refuzate ca o încălcare a dispozițiilor respective;

(c)  competența de a acționa în justiție în cazul în care dispozițiile adoptate în temeiul prezentei directive au fost încălcate sau de a aduce aceste încălcări în atenția autorităților judiciare. să impună operatorului sau persoanei împuternicite de operator să furnizeze informații în conformitate cu articolul 10 alineatele (1) și (2) și articolele 11, 28 și 29;

(d)  să asigure respectarea avizelor privind consultările prealabile prevăzute la articolul 26;

(e)  să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator;

(f)  să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentei directive, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date;

(g)  să impună interdicția temporară sau definitivă privind prelucrarea;

(h)  să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională;

(i)  să informeze parlamentele naționale, guvernul sau alte instituții publice și publicul în acest sens.

(2)  Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator:

(a)  accesul la toate datele cu caracter personal și la toate informațiile necesare pentru executarea atribuțiilor sale de supraveghere;

(b)  accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor, în conformitate cu legislația națională, în cazul în care există motive întemeiate de a presupune că se efectuează o activitate care contravine prezentei directive, fără a aduce atingere unei autorizări judiciare, dacă legislația națională impune acest lucru.

(3)  Fără a aduce atingere articolului 43, statele membre prevăd dispoziții conform cărora nu se introduc cerințe suplimentare de confidențialitate la cererea autorităților de supraveghere.

(4)  Statele membre pot prevedea dispoziții potrivit cărora pentru obținerea accesului la informații clasificate la un nivel similar cu UE CONFIDENȚIAL sau superior acestuia este nevoie de controale de securitate suplimentare conforme cu dreptul intern. În cazul în care legislația statului membru în care se află autoritatea de supraveghere respectivă nu impune niciun control suplimentar de securitate, acest lucru trebuie să fie recunoscut de toate celelalte state membre.

(5)  Fiecare autoritate de supraveghere are competența de a sesiza autoritățile judecătorești, în cazul încălcării dispozițiilor adoptate în temeiul prezentei directive, și de a participa la proceduri judiciare și de a sesiza o instanță competentă, în conformitate cu articolul 53 alineatul (2).

(6)  Toate autoritățile de supraveghere au competența de a impune sancțiuni în cazul unor infracțiuni de natură administrativă. [AM 109]

Articolul 46a

Raportarea încălcărilor

(1)  Statele membre prevăd dispoziții potrivit cărora autoritățile de supraveghere iau în considerare orientările emise de Comitetul european pentru protecția datelor în temeiul articolului 66 alineatul (4b) din Regulamentul (UE) …/2014 și instituie mecanisme eficiente de încurajare a raportărilor confidențiale privind încălcările prezentei directive.

(2)  Statele membre prevăd dispoziții potrivit cărora autoritățile competente instituie mecanisme eficiente de încurajare a raportărilor confidențiale privind încălcările prezentei directive. [AM 110]

Articolul 47

Raport de activitate

Statele membre prevăd dispoziții potrivit cărora fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale cel puțin din doi în doi ani. Acest raport este pus la dispoziția publicului, a parlamentului respectiv, a Comisiei și a Comitetului european pentru protecția datelor. Raportul include informații cu privire la măsura în care autoritățile competente din jurisdicția lor au accesat datele deținute de entități private pentru a ancheta sau pentru a urmări penal infracțiuni. [AM 111]

CAPITOLUL VII

Cooperare

Articolul 48

Asistență reciprocă

(1)  Statele membre prevăd dispoziții potrivit cărora autoritățile de supraveghere își furnizează asistență reciprocă pentru a transpune și a pune în aplicare dispozițiile prezentei directive în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri în vederea efectuării de consultări prealabile, inspecții și anchete.

(2)  Statele membre prevăd dispoziții potrivit cărora autoritatea de supraveghere ia toate măsurile corespunzătoare necesare pentru a răspunde solicitării formulate de o altă autoritate de supraveghere. Aceste măsuri pot include, în special, transmiterea de informații relevante sau măsuri de punere în aplicare care să impună imediat încetarea sau interzicerea operațiilor de prelucrare care contravin prezentei directive și nu mai târziu de o lună de la primirea solicitării.

(2a)  Solicitarea de asistență cuprinde toate informațiile necesare, inclusiv scopul solicitării și motivele care stau la baza acesteia. Informațiile schimbate sunt utilizate numai în scopul pentru care au fost solicitate.

(2b)  O autoritate de supraveghere căreia i se adresează o solicitare de asistență nu poate refuza să îi dea curs, cu excepția cazului în care:

(a)  nu are competența de a trata solicitarea sau

(b)  tratarea solicitării ar fi incompatibilă cu dispozițiile adoptate în conformitate cu prezenta directivă.

(3)  Autoritatea de supraveghere căreia i s-a adresat solicitarea informează autoritatea de supraveghere care a transmis solicitarea cu privire la rezultate sau, după caz, la progresele înregistrate ori măsurile întreprinse pentru a da curs solicitării respective.

(3a)  Autoritățile de supraveghere furnizează informațiile solicitate de către alte autorități de supraveghere prin mijloace electronice și în cel mai scurt timp, utilizând un formular standard.

(3b)  Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă. [AM 112]

Articolul 48a

Operații comune

(1)  Statele membre se asigură că, pentru intensificarea cooperării și a asistenței reciproce, autoritățile de supraveghere pot utiliza măsuri comune de punere în aplicare sau alte operațiuni comune, în cadrul cărora membri denumiți sau personal aparținând autorităților de supraveghere din alte state membre participă la operațiuni desfășurate pe teritoriul unui stat membru.

(2)  Statele membre se asigură că, în cazul în care persoanele vizate într-un alt stat membru sau alte state membre sunt susceptibile să fie afectate de operațiunile de prelucrare, autoritatea de supraveghere competentă poate fi invitată să participe la operațiunile comune. Autoritatea de supraveghere competentă poate invita autoritățile de supraveghere din fiecare dintre aceste state membre să ia parte la operațiunea respectivă și, atunci când este invitată, răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni.

(3)  Statele membre definesc aspectele practice ale acțiunilor specifice de cooperare. [AM 113]

Articolul 49

Sarcinile Comitetului european pentru protecția datelor

(1)  Comitetul european pentru protecția datelor instituit prin Regulamentul (UE) …./2012 exercită următoarele sarcini în ceea ce privește prelucrarea care intră sub incidența prezentei directive:

(a)  să ofere Comisiei instituțiilor Uniunii consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentei directive;

(b)  să analizeze, la cererea Comisiei, a Parlamentului European sau a Consiliului, din proprie inițiativă sau la inițiativa unuia dintre membrii săi, orice chestiune referitoare la punerea în aplicare a dispozițiilor adoptate în temeiul prezentei directive și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a dispozițiilor respective, inclusiv utilizarea competențelor de punere în aplicare;

(c)  să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea;

(d)  să comunice Comisiei un aviz privind nivelul de protecție în țările terțe sau organizațiile internaționale;

(e)  să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere, inclusiv coordonarea operațiilor comune și a altor activități comune, atunci când decide astfel, la solicitarea unei sau a mai multor autorități de supraveghere;

(f)  să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale;

(g)  să promoveze schimbul de cunoștințe și de documente cu autoritățile de supraveghere a protecției datelor la nivel mondial, inclusiv privind legislația și practicile în materie de protecție a datelor;

(ga)  să prezinte Comisiei avizul său în pregătirea actelor delegate și de punere în aplicare adoptate în conformitate cu prezenta directivă.

(2)  În situațiile în care Parlamentul European, Consiliul sau Comisia consultă Comitetul european pentru protecția datelor, aceasta poate stabili un termen în care Comitetul european pentru protecția datelor trebuie să comunice avizul său, ținând cont de caracterul urgent al chestiunii.

(3)  Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Comisiei și comitetului menționat la articolul 57 alineatul (1) și le publică.

(4)  Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor. [AM 114]

CAPITOLUL VIII

Căi de atac, răspundere și sancțiuni

Articolul 50

Dreptul de a depune o plângere la o autoritate de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, statele membre prevăd dispoziții potrivit cărora orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă dispozițiile adoptate în temeiul prezentei directive.

(2)  Statele membre prevăd dispoziții potrivit cărora orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora care își desfășoară activitatea în interesul public și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentei directive au fost încălcate ca urmare a prelucrării datelor cu caracter personal. Organizația sau asociația trebuie să fie mandatată în mod corespunzător de către persoana (persoanele) vizată(e). [AM 115]

(3)  Statele membre prevăd dispoziții potrivit cărora, independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal.

Articolul 51

Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere

(1)  Statele membre prevăd dreptul pentru toate persoanele fizice sau juridice la o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere care le privesc.

(2)  Statele membre se asigură că orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 45 alineatul (1) litera (b).

(3)  Statele membre prevăd dispoziții potrivit cărora acțiunile introduse împotriva unei autorități de supraveghere sunt înaintate instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

(3a)  Statele membre se asigură că vor fi puse în aplicare hotărârile definitive ale instanțelor menționate în prezentul articol. [AM 116]

Articolul 52

Dreptul la o cale de atac judiciară împotriva unui operator sau unei persoane împuternicite de operator

(1)   Fără a aduce atingere vreunei căi de atac administrative disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere, statele membre prevăd dispoziții potrivit cărora orice persoană fizică are dreptul la exercitarea unei căi de atac judiciare, în cazul în care consideră că drepturile de care beneficiază conform dispozițiilor adoptate în temeiul prezentei directive au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal efectuate încălcând dispozițiile respective.

(1a)  Statele membre se asigură că vor fi puse în aplicare hotărârile definitive ale instanțelor menționate în prezentul articol. [AM 117]

Articolul 53

Norme comune aplicabile acțiunilor în instanță

(1)  Statele membre prevăd dispoziții potrivit cărora orice organism, organizație sau asociație menționată la articolul 50 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 51 și 52 în numele uneia sau mai multor 54, atunci când sunt mandatate de una sau mai multe persoane vizate. [AM 118]

(2)  Statele membre se asigură că fiecare autoritate de supraveghere are dreptul a participa la proceduri judiciare și de a sesiza o instanță, în scopul de a asigura aplicarea dispozițiilor adoptate în temeiul prezentei directive sau de a asigura coerența protecției datelor cu caracter personal în cadrul Uniunii. [AM 119]

(3)  Statele membre se asigură că acțiunile în justiție disponibile în dreptul intern permit adoptarea rapidă de măsuri, inclusiv măsuri provizorii, menite să ducă la încetarea oricărei încălcări presupuse și să prevină orice altă atingere adusă intereselor respective.

Articolul 54

Răspundere și dreptul la despăgubiri

(1)  Statele membre prevăd dispoziții potrivit cărora orice persoană care a suferit prejudicii, inclusiv prejudicii nepecuniare, ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile adoptate în temeiul prezentei directive are dreptul de a cere despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. [AM 120]

(2)  În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului.

(3)  Operatorul sau persoana împuternicită de operator poate fi total sau parțial exonerată de această răspundere, în cazul în care operatorul sau persoana împuternicită de acesta dovedește că nu este responsabilă pentru fapta care a provocat prejudiciul.

Articolul 55

Sancțiuni

Statele membre definesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor adoptate în temeiul prezentei directive și iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive.

Capitolul VIIIa

Transmiterea datelor cu caracter personal către alte părți

Articolul 55a

Transmiterea de date cu caracter personal către alte autorități sau entități private din Uniune

(1)  Statele membre se asigură că operatorul nu transmite sau de a da instrucțiuni persoanei împuternicite să transmită date cu caracter personal unei persoane fizice sau juridice care nu face obiectul dispozițiilor adoptate în temeiul prezentei directive, cu excepția cazurilor în care:

(a)  transmiterea respectă dreptul Uniunii sau al statului membru; precum și

(b)  destinatarul are domiciliul într-un stat membru al Uniunii Europene; precum și

(c)  niciun interes specific legitim al persoanei vizate nu împiedică transmiterea; precum și

(d)  transmiterea este necesară într-o situație specifică în care operatorul transmite date cu caracter personal pentru:

(i)  îndeplinirea unei sarcini în mod legal atribuite acestuia; sau

(ii)  prevenirea unui pericol imediat și grav la adresa siguranței publice; sau

(iii)  prevenirea unei vătămări grave a drepturilor persoanelor.

(2)  Operatorul informează destinatarul cu privire la scopul pentru care datele cu caracter personal pot fi prelucrate în mod exclusiv.

(3)  Comisia informează autoritatea de supraveghere cu privire la aceste transmiteri.

(4)  Operatorul de date informează destinatarul cu privire la restricțiile asupra prelucrării datelor și se asigură că aceste restricții sunt respectate. [AM 121]