Index 
 Înapoi 
 Înainte 
 Text integral 
Procedură : 2012/0011(COD)
Stadiile documentului în şedinţă
Stadii ale documentului : A7-0402/2013

Texte depuse :

A7-0402/2013

Dezbateri :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Voturi :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5
Explicaţii privind voturile

Texte adoptate :

P7_TA(2014)0212

Texte adoptate
PDF 1403kWORD 1228k
Miercuri, 12 martie 2014 - Strasbourg
Protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal ***I
P7_TA(2014)0212A7-0402/2013
Rezoluţie
 Text consolidat

Rezoluţia legislativă a Parlamentului European din 12 martie 2014 referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Procedura legislativă ordinară: prima lectură)

Parlamentul European,

–  având în vedere propunerea Comisiei prezentată Parlamentului și Consiliului (COM(2012)0011),

–  având în vedere articolul 294 alineatul (2), articolul 16 alineatul (2) și articolul 114 alineatul (1) din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7-0025/2012),

–  având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

–  având în vedere avizele motivate prezentate de către Camera Reprezentanților din Belgia, Bundesratul Germaniei, Senatul Franței, Camera deputaților din Italia și Parlamentul Suediei în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,

–  având în vedere avizul Comitetului Economic și Social European din 23 mai 2012(1),

–  după consultarea Comitetului Regiunilor,

–  având în vedere avizul Autorității Europene pentru Protecția Datelor din 7 martie 2012(2),

–  având în vedere avizul Agenției pentru Drepturi Fundamentale a Uniunii Europene din 1 octombrie 2012,

–  având în vedere articolul 55 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru libertăți civile, justiție și afaceri interne și avizele Comisiei pentru ocuparea forței de muncă și afaceri sociale, Comisiei pentru industrie, cercetare și energie, Comisiei pentru piața internă și protecția consumatorilor și Comisiei pentru afaceri juridice (A7-0402/2013),

1.  adoptă poziția în primă lectură prezentată în continuare;

2.  solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;

3.  încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.

(1) JO C 229, 31.7.2012, p. 90.
(2) JO C 192, 30.6.2012, p. 7.


Poziția Parlamentului European adoptată în primă lectură la 12 martie 2014 în vederea adoptării Regulamentului (UE) nr. …/2014 al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor)
P7_TC1-COD(2012)0011

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 alineatul (2) și articolul 114 alineatul (1),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European(1),

după consultarea Comitetului Regiunilor,

având în vedere avizulAutorității Europene pentru Protecția Datelor(2),

hotărând în conformitate cu procedura legislativă ordinară(3),

întrucât:

(1)  Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (Carta) și articolul 16 alineatul (1) din tratat prevăd că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

(2)  Prelucrarea datelor cu caracter personal este în serviciul cetățeanului; principiile și normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal. Aceasta ar trebui să contribuie la realizarea unui spațiu de libertate, securitate și justiție și a unei uniuni economice, la progresul economic și social, la consolidarea și convergența economiilor în cadrul pieței interne și la bunăstarea persoanelor fizice.

(3)  Directiva 95/46/CE a Parlamentului European și a Consiliului(4) vizează armonizarea nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește activitățile de prelucrare și garantarea liberei circulații a datelor cu caracter personal între statele membre.

(4)  Integrarea economică și socială care rezultă din funcționarea pieței interne a condus la o creștere substanțială a fluxurilor transfrontaliere. Schimbul de date între actorii economici și sociali, publici și privați s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autoritățile naționale sunt chemate să coopereze și să facă schimb de date cu caracter personal pentru a putea să își îndeplinească atribuțiile sau să execute sarcini în numele unei autorități într-un alt stat membru.

(5)  Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea schimbului și a colectării de date a crescut spectaculos. Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor. Din ce în ce mai multe persoane fizice fac publice la nivel mondial informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și necesită facilitarea în continuare a liberei circulații a datelor în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal.

(6)  Aceste evoluții impun construirea unui cadru solid și mai coerent în materie de protecție a datelor în Uniune, însoțit de o aplicare riguroasă a normelor, luând în considerare importanța creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piața internă. Persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru persoane fizice, operatori economici și autorități publice ar trebui să fie consolidată.

(7)  Obiectivele și principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, incertitudinea juridică și percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice care au legătură, în special, cu activitatea online. Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal permisă în statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. Această diferență între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește transpunerea și aplicarea Directivei 95/46/CE.

(8)  Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune.

(9)  Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și detalierea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru autorii infracțiunilor în statele membre.

(10)  Articolul 16 alineatul (2) din tratat mandatează Parlamentul European și Consiliul să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum și normele privind libera circulație a acestor date.

(11)  În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderile și întreprinderile mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi garantate din punct de vedere juridic, de obligații și de responsabilități pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea efectivă a autorităților de supraveghere ale diferitelor state membre. Pentru a se lua în considerare situația specifică a microîntreprinderilor și a întreprinderilor mici și mijlocii, prezentul regulament include mai multe derogări. În plus, instituțiile și organismele Uniunii, statele membre și autoritățile lor de supraveghere sunt încurajate să ia în considerare necesitățile specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii în aplicarea prezentului regulament. Noțiunea de microîntreprinderi și de întreprinderi mici și mijlocii ar trebui să se bazeze pe Recomandarea 2003/361/CE a Comisiei(5) .

(12)  Protecția conferită de prezentul regulament vizează persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal. Referitor la prelucrarea datelor care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și detaliile de contact ale persoanei juridice, protecția conferită de prezentul regulament nu ar trebui să poată fi invocată de nicio persoană. Aceasta ar trebui să se aplice, de asemenea, în cazul în care numele persoanei juridice conține numele uneia sau mai multor persoane fizice.

(13)  Protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnicile utilizate, în caz contrar, creându-se un risc serios de eludare. Protecția persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automate, precum și prelucrării manuale, în cazul în care datele sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice, nu ar trebui să intre în domeniul de aplicare a prezentului regulament.

(14)  Prezentul regulament nu se referă nici la chestiuni de protecție a drepturilor și libertăților fundamentale, nici la libera circulație a datelor referitoare la activități care nu intră în domeniul de aplicare a dreptului Uniunii, nici la prelucrarea datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii, care fac obiectul Regulamentului (CE) nr. 45/2001, și nici la prelucrarea datelor cu caracter personal de către statele membre atunci când desfășoară activități legate de politica externă și de securitate comună a Uniunii. Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului(6) ar trebui adaptat la prezentul regulament și aplicat în conformitate cu prezentul regulament. [AM 1]

(15)  Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către o persoană fizică, care sunt exclusiv personale, familiale sau casnice, cum ar fi corespondența și repertoriul de adrese fără niciun scop lucrativ și, prin urmare, sau vânzarea directă și fără nicio legătură cu o activitate profesională sau comercială. Exceptarea ar trebui, de asemenea, Cu toate acestea, prezentul regulament ar trebui nu se aplice operatorilor și persoanelor împuternicite de către operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice. [AM 2]

(16)  Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și libera circulație a acestor date fac obiectul unui instrument juridic specific la nivelul Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele prelucrate de către autoritățile publice în temeiul prezentului regulament, în cazul în care sunt utilizate în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor ar trebui să fie reglementate de un instrument juridic mai specific la nivelul Uniunii (Directiva 2014/.../UE a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date).

(17)  Prezentul regulament nu ar trebui să aducă atingere aplicării Directivei 2000/31/CE a Parlamentului European și a Consiliului(7), în special normelor privind răspunderea furnizorilor intermediari de servicii prevăzute la articolele 12 - 15 din directiva menționată.

(18)  Prezentul regulament permite luarea în considerare a principiului accesului publicului la documente oficiale, în aplicarea dispozițiilor prevăzute de acesta. Datele cu caracter personal din documentele deținute de către o autoritate publică sau un organism public pot fi divulgate de respectiva autoritate sau de respectivul organism în conformitate cu dreptul Uniunii sau legislația statelor membre privind accesul public la documentele oficiale, care conciliază dreptul la protecția datelor cu caracter personal cu dreptul publicului de acces la documentele oficiale și servește în mod echitabil diversele interese în joc. [AM 3]

(19)  Orice prelucrare în Uniune a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Stabilirea implică exercitarea efectivă și reală a unei activități în cadrul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privință.

(20)  Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care își au reședința în din Uniune de către un operator care nu este stabilit în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii, indiferent dacă sunt sau nu cu plată, unor astfel de persoane vizate sau cu monitorizarea comportamentului acestor persoane vizate. Pentru a determina dacă un astfel de operator oferă bunuri sau servicii unor astfel de persoane vizate în Uniune, ar trebui să se stabilească dacă reiese că operatorul intenționează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. [AM 4]

(21)  Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca „monitorizare” a comportamentului persoanelor vizate, ar trebui să se analizeze dacă persoanele fizice sunt urmărite pe internet cu, indiferent de sursa datelor, sau dacă alte date referitoare la aceste persoane sunt colectate, inclusiv din registre și anunțuri publice din Uniune care sunt accesibile din afara Uniunii, inclusiv cu intenția de a utiliza sau în vederea unei eventuale utilizări ulterioare a unor tehnici de prelucrare a datelor care constau în aplicarea unui „profil” unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia. [AM 5]

(22)  În cazul în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.

(23)  Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Pentru a se determina dacă o persoană este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană în scopul identificării sau scoaterii în evidență a persoanei fizice respective, în mod direct sau indirect. Pentru a determina ce mijloace este posibil, în mod rezonabil, să fie utilizate pentru identificarea persoanei, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor nu ar trebui astfel să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă anonime, care reprezintă informații care nu se referă la o persoană fizică identificată sau identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de date anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau pentru cercetare. [AM 6]

(24)  Atunci când utilizează servicii online, persoanele fizice pot fi asociate cu Prezentul regulament ar trebui să se aplice operațiunile de prelucrare care implică identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP sau identificatorii cookie sau etichetele de identificare prin frecvențe radio, cu excepția cazului în care acești identificatori nu se referă la o persoană fizică identificată sau identificabilă. Aceștia pot lăsa urme care, combinate cu identificatorii unici și alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor. Prin urmare, numerele de identificare, datele de localizare, identificatorii online sau alți factori specifici nu trebuie neapărat să fie considerați ca atare date cu caracter personal în toate circumstanțele. [AM 7]

(25)  Consimțământul ar trebui acordat în mod explicit prin orice metodă corespunzătoare care permite manifestarea liberă, specifică și informată a voinței persoanei vizate, fie printr-o declarație sau printr-un act neechivoc al acesteia care este rezultatul alegerii făcute de aceasta, asigurându-se că persoana fizică este conștientă de faptul că își dă consimțământul pentru prelucrarea datelor cu caracter personal, inclusiv prin. Actul neechivoc ar putea include bifarea unei căsuțe atunci când persoana vizitează un site internet sau prin orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, simpla utilizare a unui serviciu sau a unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri electronice, aceasta trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. [AM 8]

(26)  Datele cu caracter personal referitoare la sănătate ar trebui să includă, în special, toate datele având legătură cu starea de sănătate a persoanei vizate; informații privind înscrierea persoanei fizice pentru acordarea de servicii medicale; informații privind plățile pentru asistență medicală efectuate de persoana fizică sau privind eligibilitatea acesteia pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri medicale; orice informații privind persoana fizică respectivă colectate în cadrul furnizării de servicii de sănătate pentru aceasta; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv eșantioane de material biologic; identificarea unei persoane ca furnizor de asistență medicală pentru persoana fizică respectivă sau orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate, indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

(27)  Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine principalele decizii cu privire la scopurile, condițiile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea efectivă a prelucrării datelor cu caracter personal în locul respectiv; prezența și utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de prelucrare nu constituie, în sine, un astfel de sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de către operator ar trebui să fie locul în care se află administrația centrală a acestuia în Uniune.

(28)  Un grup de întreprinderi ar trebui cuprindă o întreprindere care exercită controlul și întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui să fie întreprinderea care poate exercita o influență dominantă asupra celorlalte întreprinderi, de exemplu, în temeiul proprietății, al participării financiare sau al regulilor care o reglementează sau al competenței de a pune în aplicare normele în materie de protecție a datelor cu caracter personal.

(29)  Copii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. Pentru a se determina condițiile în care o persoană fizică este minor, prezentul regulament ar trebui să preia definiția stabilită în Convenția Organizației Națiunilor Unite privind drepturile copilului. Atunci când prelucrarea datelor se bazează pe exprimarea consimțământului de către persoana vizată cu privire la oferirea de bunuri sau servicii în mod direct unui minor, consimțământul ar trebui să fie acordat de părintele sau tutorele acestuia în cazul minorilor cu vârsta sub 13 ani. Atunci când publicul vizat este constituit din copii, ar trebui utilizat un limbaj adecvat vârstei. Alte motive pentru legalitatea prelucrării, precum motive de interes public ar trebui să rămână aplicabile, ca, de exemplu, prelucrarea în contextul serviciilor de prevenire sau consiliere oferite direct copiilor. [AM 9]

(30)  Orice prelucrare a datelor cu caracter personal ar trebui să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor. Datele ar trebui să fie adecvate, relevante și limitate la minimum necesar scopurilor în care datele sunt prelucrate; aceasta necesită, în special, asigurarea faptului că datele colectate nu sunt excesive și că perioada pentru care datele sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică.

(31)  Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei în cauză sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act legislativ al Uniunii sau al statului membru la care se face referire în prezentul regulament. În cazul unui minor sau al unei persoane lipsite de capacitate juridică, legislația aplicabilă a Uniunii sau a statutului membru ar trebui să determine condițiile în care consimțământul este exprimat sau autorizat de persoana respectivă. [AM 10]

(32)  În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, sarcina probei cu privire la faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare îi revine operatorului. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În vederea respectării principiului de reducere la minimum a datelor, sarcina probei nu ar trebui să presupună identificarea pozitivă a persoanelor vizate, decât dacă acest lucru este necesar. La fel ca dispozițiile de drept civil (Directiva 93/13/CEE)(8), politicile privind protecția datelor ar trebui să fie cât mai clare și mai transparente posibil. Acestea nu ar trebui să conțină clauze ascunse sau dezavantajoase. Nu poate fi acordat consimțământul pentru prelucrarea datelor cu caracter personal ale unor terțe persoane. [AM 11]

(33)  Pentru a se asigura consimțământul liber, ar trebui să se precizeze că un consimțământ nu constituie un temei juridic valabil în cazul în care persoana fizică nu dispune cu adevărat de libertatea de a alegere și ulterior nu poate să refuze sau să își retragă consimțământul fără a fi prejudiciată. Aceasta se aplică, în special, în cazul în care operatorul este o autoritate publică care poate impune o obligație în virtutea competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber. Utilizarea unor opțiuni automate pe care persoana vizată trebuie să le modifice pentru a se opune prelucrării datelor, cum ar fi căsuțele pre-marcate, nu exprimă liberul consimțământ. Consimțământul pentru prelucrarea unor date cu caracter personal suplimentare, care nu sunt necesare pentru furnizarea unui serviciu, nu ar trebui solicitate pentru utilizarea serviciului respectiv. Atunci când consimțământul este retras se poate permite terminarea sau neexecutarea unui serviciu care depinde de datele respective. Atunci când atingerea scopului urmărit este neclară, operatorul ar trebui să ofere periodic persoanei vizate informații cu privire la prelucrare și cererea de reafirmare a consimțământului. [AM 12]

(34)  Consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul în care există un dezechilibru evident între persoana vizată și operator. Acest lucru este valabil, în special, atunci când persoana vizată se află într-o situație de dependență în raport cu operatorul, printre altele, în cazul în care datele cu caracter personal ale angajaților sunt prelucrate de către angajator în contextul ocupării unui loc de muncă. În cazul în care operatorul este o autoritate publică, nu ar exista un dezechilibru decât în ceea ce privește operațiuni specifice de prelucrare a datelor în cadrul cărora autoritatea publică poate impune o obligație în temeiul competențelor sale publice relevante, iar consimțământul nu poate fi considerat ca fiind acordat în mod liber, ținându-se cont de interesul persoanei vizate. [AM 13]

(35)  Prelucrarea ar trebui să fie legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract.

(36)  În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorității publice, prelucrarea ar trebui să aibă un temei juridic în dreptul Uniunii sau în legislația unui stat membru care îndeplinește cerințele prevăzute de Carta, pentru orice limitare a drepturilor și libertăților. Acest lucru ar trebui să se aplice, de asemenea, acordurilor colective care pot fi recunoscute în temeiul legislației naționale ca având validitate generală. De asemenea, este de competența dreptului Uniunii sau a legislației naționale să determine dacă operatorul care îndeplinește o sarcină de interes public sau în exercitarea autorității publice ar trebui să fie o administrație publică sau altă persoană fizică sau juridică de drept public sau privat, cum ar fi o asociație profesională. [AM 14]

(37)  Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate.

(38)  Interesele legitime ale operatorului sau, în cazul divulgării, ale părții terțe ale cărei date sunt divulgate, pot constitui un temei juridic pentru prelucrare, cu condiția să răspundă așteptărilor rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul și să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Aceasta ar necesita o evaluare atentă, în special în cazul în care persoana vizată este un minor, întrucât minorii necesită o protecție specifică. Ar trebui considerat că prelucrarea de date pseudonime îndeplinește așteptările rezonabile ale persoanei vizate în baza raportului acesteia cu operatorul, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate. Persoana vizată ar trebui să aibă dreptul gratuit la opoziție în ceea ce privește prelucrarea, din motive legate de situația sa particulară. Pentru a se asigura transparența, operatorul ar trebui să aibă obligația de a informa în mod explicit persoana vizată cu privire la interesele legitime urmărite și dreptul la opoziție și, de asemenea, ar trebui să aibă obligația de a documenta aceste interese legitime. Interesele sau drepturile și libertățile fundamentale ale persoanei vizate pot prevala în special în raport cu interesul operatorului de date atunci când datele sunt prelucrate în circumstanțe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare suplimentară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor de către autoritățile publice, acest temei juridic nu ar trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. [AM 15]

(39)  Prelucrarea datelor în măsura strict necesară și proporțională în scopul asigurării securității rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor stocate sau transmise, precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme sau accesibile prin intermediul acestora, de către autoritățile publice, echipele de intervenție în caz de urgență informatică (CERT), echipele de intervenție în cazul producerii unor incidente care afectează securitatea informatică (CSIRT), furnizorii de rețele și servicii de comunicații electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice. Acest principiu se aplică de asemenea prelucrării de date cu caracter personal în vederea restricționării accesului abuziv la rețele sau sisteme informatice disponibile în mod public, sau a utilizării abuzive a acestora, cum ar fi introducerea pe o listă neagră a unor identificatori electronici. [AM 16]

(39a)  Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prevenirea sau limitarea daunelor pentru operatorul de date ar trebui considerate ca fiind realizate în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același principiu se aplică, de asemenea, obținerii drepturilor în instanță în legătură cu o persoană vizată, precum recuperarea unei datorii sau obținerea unor despăgubiri sau reparații. [AM 17]

(39b)  Cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate, prelucrare datelor cu caracter personal în scopuri de marketing direct pentru propriile produse și servicii sau pentru produse și servicii similare sau în scopuri marketing direct prin poștă ar trebui considerată ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul, dacă informațiile cu privire la dreptul de a se opune sunt în mod evident vizibile și este oferită sursa datelor cu caracter personal. Prelucrarea datelor de contact comerciale ar trebui considerată în general ca fiind realizată în interesul legitim al operatorului de date sau, în cazul divulgării, al unei părți terțe căreia îi sunt divulgate datele, și ca satisfăcând așteptările legitime ale persoanei vizate în baza raportului acesteia cu operatorul. Același lucru se aplică și prelucrării de date făcute în mod evident publice de persoana vizată. [AM 18]

(40)  Prelucrarea datelor cu caracter personal în alte scopuri ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile în care datele au fost inițial colectate, în special în cazul în care prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică. În cazul în care celălalt scop nu este compatibil cu scopul inițial în care datele sunt colectate, operatorul ar trebuie să obțină consimțământul persoanei vizate cu privire la acest alt scop sau ar trebui să întemeieze prelucrarea legală pe un alt motiv legitim, în special în cazul în care acest fapt este prevăzut de dreptul Uniunii sau de legislația statului membru care se aplică operatorului. În orice caz, aplicarea principiilor stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri ar trebui să fie garantată. [AM 19]

(41)  Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, necesită o protecție specifică. Astfel de date nu ar trebui să fie prelucrate, cu excepția cazului în care persoana vizată își dă consimțământul explicit. Cu toate acestea, derogări de la interdicția respectivă ar trebui prevăzute în mod explicit în ceea ce privește nevoile specifice, în special atunci când prelucrarea este efectuată în cadrul activităților legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale. [AM 20]

(42)  Derogarea de la interdicția prelucrării categoriilor de date sensibile ar trebui să fie permisă, de asemenea, în cazul în care este prevăzută de lege, sub rezerva unor garanții corespunzătoare, pentru a se asigura protecția datelor cu caracter personal și a altor drepturi fundamentale, atunci când motive de interes public justifică acest lucru și, în special, în scopuri medicale, inclusiv sănătatea publică, protecția socială și gestionarea serviciilor de asistență medicală, în special în scopul garantării calității și eficienței din punct de vedere al costurilor în ceea ce privește procedurile utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate sau, în scopuri de cercetare istorică, statistică și științifică, sau pentru servicii de arhivare. [AM 21]

(43)  În plus, prelucrarea datelor cu caracter personal de către autoritățile publice în vederea realizării obiectivelor prevăzute de dreptul constituțional sau de dreptul internațional public, ale asociațiilor religioase recunoscute oficial se efectuează din motive de interes public.

(44)  În cazul în care, în cadrul activităților electorale, funcționarea sistemului democratic necesită, într-un stat membru, ca partidele politice să colecteze date privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisă din motive de interes public, cu condiția să se prevadă garanțiile corespunzătoare.

(45)  Dacă datele prelucrate de către un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta una dintre dispozițiile prezentului regulament. În cazul unei cereri de acces, operatorul ar trebui să aibă dreptul de a solicita persoanei vizate mai multe informații pentru a putea să localizeze datele cu caracter personal pe care le caută persoana respectivă. Dacă persoana vizată poate furniza aceste date, operatorii nu ar trebui să fie în măsură să invoce lipsa informațiilor pentru a refuza o cerere de acces. [AM 22]

(46)  Principiul transparenței prevede că orice informații care se adresează publicului sau persoanei vizate ar trebui să fie ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acesta este important în special în cazul în care, în situații cum ar fi publicitatea online, multitudinea actorilor și complexitatea, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizată să știe și să se înțeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine și în ce scop. Întrucât copiii necesită o protecție specifică, orice informații și orice comunicare, în cazul în care prelucrarea vizează în mod specific un minor, ar trebui să fie exprimate într-un limbaj simplu și clar, astfel încât acesta să îl poată înțelege cu ușurință.

(47)  Ar trebui prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturile sale stipulate de prezentul regulament, inclusiv mecanismele de a solicita obține, în mod gratuit, în special, accesul la date, rectificarea și ștergerea acestora, precum și exercitarea dreptului la opoziție. Operatorul ar trebui să fie aibă obligația de a răspunde cererilor persoanelor vizate într-un termen fix rezonabil și, în cazul în care nu se conformează cererii persoanei vizate, să motiveze acest refuz. [AM 23]

(48)  Conform principiilor prelucrării echitabile și transparente, persoana vizată ar trebui să fie informată, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, durata probabilă a stocării datelor în fiecare scop, dacă datele urmează să fie transferate unor părți terțe sau unor țări terțe, existența măsurilor pentru a se opune și a dreptului de acces, rectificare sau ștergere a datelor și dreptul de a înainta o plângere. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui, de asemenea, să fie informată dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. Aceste informații ar trebui furnizate, ceea ce poate să însemne de asemenea că vor fi rapid disponibile, persoanei vizate după oferirea unor informații simplificate sub forma unor pictograme standardizate. Acest lucru ar trebui să însemne, de asemenea, că datele cu caracter personal sunt prelucrate într-un mod care permite efectiv persoanei vizate să își exerseze drepturile. [AM 24]

(49)  Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării sau, în cazul în care datele nu sunt colectate de la persoana vizată, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele sunt divulgate pentru prima dată destinatarului.

(50)  Cu toate acestea, nu este necesară impunerea obligației respective în cazul în care persoana vizată dispune cunoaște deja de aceste informații sau în cazul în care înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedește imposibilă sau implică eforturi disproporționate. Acesta din urmă ar putea fi cazul în special atunci când prelucrarea se efectuează în scopuri de cercetare istorică, statistică sau științifică; în această privință, pot fi luate în considerare numărul persoanelor vizate, vechimea datelor și măsurile compensatorii adoptate. [AM 25]

(51)  Orice persoană ar trebui să aibă dreptul de acces la datele colectate care o privesc și de a exercita acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele cu caracter personal, pentru aproximativ ce perioadă, identitatea destinatarilor datelor cu caracter personal, care este logica generală de prelucrare a datelor cu caracter personal și care ar putea fi consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor și libertăților altora, inclusiv secretului comercial sau proprietății intelectuale, precum în legătură cu drepturile de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. [AM 26]

(52)  Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei persoane vizate care solicită acces la date, în special în contextul serviciilor online și al identificatorilor online. Un operator nu ar trebui să rețină datele cu caracter personal în scopul exclusiv de a fi în măsură să reacționeze la cereri potențiale.

(53)  Orice persoană ar trebui să aibă dreptul de rectificare a datelor cu caracter personal care o privesc și „dreptul de a fi uitată la ștergere”, în cazul în care păstrarea acestor date nu este în conformitate cu prezentul regulament. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era minor și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Cu toate acestea, păstrarea în continuare a datelor ar trebui să fie permisă în cazul în care este necesară în scopuri de cercetare istorică, statistică și științifică, din motive de interes public în domeniul sănătății publice, pentru exercitarea dreptului la libertatea de exprimare, atunci când acest lucru este prevăzut de lege sau în cazul în care există un motiv pentru a restricționa prelucrarea datelor, în loc ca acestea să fie șterse. De asemenea, dreptul la ștergere nu ar trebui să se aplice atunci când păstrarea datelor cu caracter personal este necesară pentru executarea unui contract încheiat cu persoana vizată sau atunci când există o obligație legală de a păstra aceste date. [AM 27]

(54)  Pentru a se consolida „dreptul de a fi uitat ștergere” în mediul on-line, dreptul de ștergere ar trebui, de asemenea, să fie extins astfel încât un operator care a făcut publice date cu caracter personal fără a avea un temei juridic ar trebui să aibă obligația de a informa terții care prelucrează astfel de date că o persoană vizată le solicită să șteargă orice linkuri către datele cu caracter personal respective sau copii sau reproduceri ale acestora. În scopul asigurării acestor informații, operatorul ar trebui să ia toate măsurile rezonabile, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil. În legătură cu publicarea datelor cu caracter personal de către un terț, operatorul ar trebui să fie considerat responsabil de publicare, în cazul în care acesta a autorizat publicarea de către terț necesare pentru ștergerea datelor, inclusive de către terți, fără a aduce însă atingere dreptului persoanei vizate de a solicita despăgubiri. [AM 28]

(54a)  Datele contestate de persoana vizată și a căror exactitate sau lipsă de exactitate nu poate fi determinată ar trebui să fie blocate până la clarificarea chestiunii. [AM 29]

(55)  Pentru a se consolida în continuare controlul asupra propriilor date și dreptul lor de acces, persoanele vizate ar trebui să aibă dreptul, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice într-un format structurat și utilizat în mod curent, de a obține, de asemenea, o copie a datelor care le privesc într-un format electronic utilizat în mod curent. Persoana vizată ar trebui, de asemenea, să fie autorizată să transmită datele respective, pe care le-a furnizat, dintr-o aplicație automată, cum ar fi o rețea socială, către alta. Operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor. Aceasta ar trebui să se aplice în cazul în care persoana vizată a furnizat datele sistemului de prelucrare automată, pe baza consimțământului său sau în cadrul executării unui contract. Furnizorii de servicii ale societății informaționale nu ar trebui să condiționeze furnizarea serviciilor lor de transferul acestor date. [AM 30]

(56)  În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal în scopul asigurării protecției intereselor vitale ale persoanei vizate sau din motive de interes public, de exercitare a autorității publice sau de urmărire a intereselor legitime ale unui operator, orice persoană vizată ar trebui, cu toate acestea, să aibă dreptul de a se opune prelucrării oricăror date care o privesc, gratuit și într-un mod care să poată fi invocate cu ușurință și în mod efectiv. Sarcina probei ar trebui să revină operatorului pentru a demonstra că interesele sale legitime pot prevala asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate. [AM 31]

(57)  În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă gratuit are dreptul la opoziție cu privire la o astfel de prelucrare, care să poată fi invocat cu ușurință și în mod efectiv operatorul ar trebui să îl propună persoanei vizate într-un mod și sub o formă inteligibile, folosind un limbaj clar și simplu și care trebui să se distingă clar acest drept de alte informații. [AM 32]

(58)  Fără a aduce atingere legalității prelucrării datelor, orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează pe se opune creării de profiluri. Crearea de profiluri prin mijloace de prelucrare automată a datelor. Cu toate acestea, o astfel de măsură care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are în mod similar un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate ar trebui să fie permisă în cazul în care este autorizată în mod expres de lege, este efectuată în cadrul încheierii sau al executării unui contract sau în cazul în care persoana vizată și-a dat consimțământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține apreciere umană, iar o astfel de măsură nu ar trebui să se refere la un minor. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, inclusiv o informare specifică a persoanei vizate și dreptul de a obține aprecierea umană, iar o astfel de măsură nu ar trebui să se refere la un minor. Aceste măsuri nu ar trebui să ducă la discriminarea persoanelor pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen. [AM 33]

(58a)   Crearea de profiluri bazate exclusive pe prelucrarea de date pseudonime ar trebui considerat că nu afectează semnificativ interesele, drepturile sau libertățile persoanei vizate. Atunci când crearea de profiluri, fie că se bazează pe o sursă unică de date pseudonime sau pe agregarea de date pseudonime provenite din surse diferite, permite operatorului să atribuie date pseudonime unei anume persoane vizate, datele prelucrate nu ar trebui să mai fie considerate ca fiind pseudonime. [AM 34]

(59)  Dreptul Uniunii sau legislația unui stat membru pot impune restricții ale principiilor specifice, ale drepturilor de informare, acces, rectificare și ștergere sau ale dreptului la portabilitatea de acces și de obținere a datelor, ale dreptului la opoziție, ale măsurilor bazate pe crearea al creării de profiluri, precum și ale comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și ale anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea și urmărirea penală a infracțiunilor sau a încălcării eticii în cazul profesiunilor profesiilor reglementate, alte interese publice specifice și bine definite ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, sau protecția persoanei vizate sau a drepturilor și libertăților unor terți. Aceste restricții ar trebui să fie conforme cu cerințele prevăzute de Carta și de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. [AM 35]

(60)  Ar trebui să se stabilească responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său, în special în ceea ce privește documentarea, securitatea datelor, evaluările de impact, responsabilul cu protecția datelor și supravegherea de către autoritățile pentru protecția datelor. În special, operatorul ar trebui să asigure și să aibă obligația de a poată demonstra conformitatea fiecărei operațiuni de prelucrare cu prezentul regulament. Aceasta ar trebui verificată de auditori interni sau externi independenți. [AM 36]

(61)  Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, atât în momentul conceperii prelucrării, cât și în cel al prelucrării în sine, pentru a se asigura îndeplinirea cerințelor prezentului regulament. În scopul asigurării și al demonstrării conformității cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri corespunzătoare, care să respecte, în special, principiul luării în considerare a protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor. Principiul protecției datelor încă din faza de concepție necesită integrarea protecției datelor în întregul ciclu de viață al tehnologiei, de la prima fază de concepție până la distribuirea, utilizarea și eliminarea sa finală. Aceasta ar trebui să includă și responsabilitatea pentru produsele și serviciile utilizate de operator sau de persoana împuternicită de către operator. Principiul protecției implicite a datelor presupune că parametrii de confidențialitate ai serviciilor și produselor ar trebui să respecte implicit principiile generale de protecție a datelor, precum minimizarea datelor și limitarea scopului. [AM 37]

(62)  Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanei împuternicite de operator, în ceea ce privește, de asemenea, monitorizarea de către autoritățile de supraveghere și măsurile adoptate de acestea, necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile și modalitățile prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. Acordul dintre operatorii asociați ar trebui să reflecte rolurile lor efective și relațiile lor. În cadrul prelucrării de date cu caracter personal în temeiul prezentului regulament, ar trebui să i se permită unui operator să transmită datele unui operator asociat sau unei persoane împuternicite de către operator în vederea prelucrării datelor de către aceștia în numele lui. [AM 38]

(63)  Atunci când un operator care nu este stabilit în Uniune prelucrează date cu caracter personal ale unor persoane vizate care își au reședința în din Uniune, iar activitățile de prelucrare ale operatorului au legătură cu oferirea de bunuri și servicii unor astfel de persoane vizate sau cu monitorizarea comportamentului acestora, operatorul ar trebui să desemneze un reprezentant, cu excepția cazului în care operatorul este stabilit într-o țară terță care asigură un nivel adecvat de protecție sau în care prelucrarea vizează mai puțin de 5 000 de persoane în cursul unei perioade de 12 luni consecutive și nu privește categorii speciale de date cu caracter personal sau operatorul este o întreprindere mică sau mijlocie sau o autoritate publică sau un organism public sau în care operatorul oferă doar ocazional bunuri sau servicii unor astfel de persoane vizate. Reprezentantul ar trebui să acționeze în numele operatorului, putând fi contactat de orice autoritate de supraveghere. [AM 39]

(64)  Pentru a se stabili dacă un operator oferă doar ocazional bunuri și servicii persoanelor vizate care își au reședința în din Uniune, ar trebui să se analizeze dacă din ansamblul activităților desfășurate de către operator rezultă că oferirea de bunuri și servicii unor astfel de persoane vizate este auxiliară activităților principale respective. [AM 40]

(65)  Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul sau persoana împuternicită de către operator ar trebui să actualizeze documentația necesară pentru a respecta cerințele prevăzute de prezentul regulament. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația respectivă, pentru a putea fi utilizată în scopul de a evalua respectarea prezentului regulament. Cu toate acestea, ar trebui să se acorde o atenție și o importanță egală bunelor practici și respectării obligațiilor, pe lângă cerința referitoare la o documentație completă. [AM 41]

(66)  În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentului regulament, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. Atunci când se stabilesc standarde tehnice și măsuri organizatorice menite să asigure securitatea prelucrării, Comisia ar trebui să promoveze promovate neutralitatea tehnologică, interoperabilitatea și inovarea, și, dacă este cazul, ar trebui încurajată cooperarea cu țările terțe. [AM 42]

(67)  Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv fraudarea identității. Prin urmare, de îndată ce a luat cunoștință de producerea unei astfel de încălcări, operatorul ar trebui să o notifice autorității de supraveghere, fără întârziere nejustificată și, dacă este posibil, în termen de 24 maxim 72 de ore. În Dacă este cazul în care termenul de 24 de ore nu este respectat, o explicație a motivelor întârzierii ar trebui să însoțească notificarea. Persoanele fizice ale căror date cu caracter personal ar putea fi afectate negativ de încălcare ar trebui să fie notificate fără întârziere nejustificată pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației. Notificarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificările persoanelor vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorități competente (de exemplu, autoritățile de aplicare a legii). De exemplu, pentru ca persoanele vizate să poată atenua un risc imediat de prejudiciere, acestea ar trebui notificate cu promptitudine, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securității datelor sau împotriva unor încălcări similare ale securității datelor ar putea justifica un termen mai îndelungat. [AM 43]

(68)  Pentru a se determina dacă o încălcare a securității datelor cu caracter personal este notificată fără întârziere nejustificată autorității de supraveghere și persoanei vizate, ar trebui să se analizeze dacă operatorul a implementat și a aplicat măsuri tehnologice de protecție și organizatorice corespunzătoare în scopul de a stabili imediat dacă s-a produs o încălcare a securității datelor cu caracter personal și de a informa cu promptitudine autoritatea de supraveghere și persoana vizată, înainte de prejudicierea intereselor sale personale și economice, luându-se în considerare, în special, natura și gravitatea încălcării securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia asupra persoanei vizate.

(69)  La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea fraudării identității sau a altor forme de utilizare abuzivă. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare.

(70)  Directiva 95/46/CE prevede o obligație generală de a notifica prelucrarea datelor cu caracter personal autorităților de supraveghere. Cu toate că obligația respectivă generează sarcini administrative și financiare, aceasta nu contribuie întotdeauna la îmbunătățirea protecției datelor cu caracter personal. Prin urmare, o astfel de obligație de notificare generală nediferențiată ar trebui să fie abrogată și înlocuită cu proceduri și mecanisme eficace care să pună accentul, în schimb, pe operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura lor, prin domeniul lor de aplicare sau prin scopurile lor. În astfel de cazuri, operatorul sau persoana împuternicită de către operator ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor, care ar trebui să includă, în special, măsurile avute în vedere, garanții și mecanisme pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu prezentul regulament.

(71)  Aceasta ar trebui să se aplice, în special, sistemelor de evidență de mari dimensiuni recent instituite, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional și care ar putea afecta un număr mare de persoane vizate.

(71a)  Evaluările de impact reprezintă elementul central al oricărui cadru sustenabil de protecție a datelor, garantând faptul că întreprinderile înțeleg de la început toate consecințele posibile ale operațiunilor lor de prelucrare a datelor. Dacă evaluările impactului sunt riguroase, posibilitatea apariției unei încălcări a securității datelor sau a unor operațiuni de invadare a vieții private poate fi limitată în mod fundamental. Prin urmare, evaluările impactului asupra protecției datelor ar trebui să ia în considerare gestionarea întregului ciclu de viață a datelor cu caracter personal, de la colectare la prelucrare și ștergere și să descrie în detaliu operațiunile de prelucrare avute în vedere, riscurile prezentate pentru drepturile și libertățile persoanelor vizate, măsurile avute în vedere pentru abordarea riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure respectarea dispozițiilor prezentului regulament. [AM 44]

(71b)  Operatorii ar trebui să se concentreze pe protecția datelor cu caracter personal pe durata întregului ciclu de viață al datelor, de la culegere la prelucrare și eliminare, investind de la început într-un cadru de gestionare sustenabilă a datelor și instituind un mecanism cuprinzător de asigurare a conformității. [AM 45]

(72)  În unele circumstanțe ar putea fi judicios și economic ca o evaluare a impactului asupra protecției datelor să aibă o perspectivă mai extinsă decât cea a unui singur proiect, de exemplu, în cazul în care autorități sau organisme publice intenționează să instituie o aplicație sau o platformă de prelucrare comună sau în cazul în care mai mulți operatori preconizează să introducă o aplicație comună sau un mediu de prelucrare comun în cadrul unui sector sau segment industrial sau pentru o activitate orizontală utilizată pe scară largă.

(73)  Evaluările impactului asupra protecției datelor ar trebui efectuate de către o autoritate publică sau un organism public în cazul în care o astfel de evaluare nu a fost deja realizată în contextul adoptării legislației naționale pe care se bazează îndeplinirea sarcinilor autorității publice sau ale organismului public și care reglementează anumite operațiuni sau serii de operațiuni de prelucrare în cauză. [AM 46]

(74)  În cazul în care o evaluare a impactului asupra protecției datelor arată că operațiunile de prelucrare implică un nivel ridicat al riscurilor specifice pentru drepturile și libertățile persoanelor vizate, cum ar fi privarea persoanelor fizice de un drept, sau prin utilizarea noilor tehnologii specifice, responsabilul cu protecția datelor sau autoritatea de supraveghere ar trebui să fie consultată, înainte de începerea operațiunilor, cu privire la o prelucrare riscantă care ar putea să nu fie conformă cu prezentul regulament și pentru a face propuneri în vederea remedierii unei astfel de situații. Această O consultare a autorității de supraveghere ar trebui, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare. [AM 47]

(74a)  Evaluările de impact pot fi utile numai dacă operatorii își respectă angajamentele prevăzute inițial în acestea. Prin urmare, operatorii de date ar trebui să efectueze periodic evaluări ale conformității care să demonstreze că actualele mecanisme de prelucrare a datelor respectă garanțiile din evaluarea impactului asupra protecției datelor. Acestea ar trebui să demonstreze și capacitatea operatorului de date de a respecta alegerile libere ale persoanelor vizate. În plus, în cazul în care la evaluarea conformității se constată nereguli, acestea ar trebui evidențiate și ar trebui să se prezinte recomandări cu privire la modul în care se poate realiza o conformitate deplină. [AM 48]

(75)  În cazul în care prelucrarea este efectuată în sectorul public sau în cazul în care, în sectorul privat, prelucrarea este efectuată de o întreprindere de mari dimensiuni privește mai mult de 5000 de persoane vizate în cursul a 12 luni sau în cazul în care activitățile de bază ale întreprinderii, indiferent de dimensiunea acesteia, implică operațiuni de prelucrare a unor date confidențiale sau operațiuni de prelucrare care necesită o monitorizare regulată și sistematică, o persoană ar trebui să acorde asistență operatorului sau persoanei împuternicite de către operator pentru monitorizarea conformității, la nivel intern, cu prezentul regulament. Atunci când se stabilește dacă se prelucrează date referitoare la un număr mare de persoane vizate, nu ar trebui luate în considerare datele arhivate care sunt protejate pentru a nu face obiectul unor operațiuni normale de acces și de prelucrare și care nu mai pot fi modificate. Acești responsabilii responsabili cu protecția datelor, fie că sunt sau nu sunt angajați ai operatorului și fie că îndeplinesc sau nu această sarcină cu normă întreagă, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent și beneficiază de o protecție specială împotriva concedierii. Responsabilitatea finală ar trebui să îi revină conducerii unei organizații. Responsabilul cu protecția datelor ar trebui să fie consultat în special înaintea conceperii, achiziționării, dezvoltării și instalării de sisteme pentru prelucrarea automată a datelor cu caracter personal, pentru a se garanta respectarea principiilor luării în considerare a vieții private începând cu momentul conceperii și al respectării implicite a vieții private. [AM 49]

(75a)  Responsabilul cu protecția datelor ar trebui să aibă cel puțin următoarele calificări: cunoștințe temeinice privind conținutul și punerea în aplicare a legislației privind protecția datelor, inclusiv privind măsurile și procedurile tehnice și organizatorice; cunoștințe solide privind cerințele tehnice referitoare la protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cunoștințe specifice sectorului în conformitate cu dimensiunea operatorului sau a persoanei împuternicite de operator și cu gradul de sensibilitate a datelor care trebuie prelucrate; capacitatea de a efectua inspecții, consultări, documentări și analize ale fișierelor-jurnal; și capacitatea de a lucra cu reprezentanți ai lucrătorilor. Operatorul ar trebui să permită responsabilului cu protecția datelor să participe la măsuri de formare avansată pentru a-și menține nivelul de cunoștințe specializate necesare pentru îndeplinirea sarcinilor sale. Desemnarea funcției de responsabil cu protecția datelor nu presupune în mod obligatoriu ocuparea cu normă întreagă a lucrătorului respective. [AM 50]

(76)  Asociațiile sau alte organisme care reprezintă categorii de operatori ar trebui încurajate, după consultarea reprezentanților angajaților, să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare. Aceste coduri ar trebui să simplifice respectarea prezentului regulament de către întreprinderi. [AM 51]

(77)  Pentru a se îmbunătăți transparența și conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum și de sigilii și mărci standardizate în materie de protecție a datelor, care să permită persoanelor vizate să evalueze în mod rapid, fiabil și verificabil nivelul de protecție a datelor aferent produselor și serviciilor relevante. Un „sigiliu european privind protecția datelor” ar trebui să fie stabilit la nivel european pentru a crea un climat de încredere în rândul persoanelor vizate, certitudine juridică pentru operatori și, în același timp, pentru a exporta standardele europene în domeniul protecției datelor, permițând întreprinderilor din afara Europei să pătrundă mai ușor pe piețele europene prin obținerea certificării. [AM 52]

(78)  Fluxurile transfrontaliere de date cu caracter personal sunt necesare pentru dezvoltarea comerțului internațional și a cooperării internaționale. Creșterea acestor fluxuri a generat noi provocări și preocupări cu privire la protecția datelor cu caracter personal. Cu toate acestea, în cazul în care se transferă date cu caracter personal din Uniune către țări terțe sau organizații internaționale, nivelul de protecție a persoanelor fizice garantat în Uniune prin prezentul regulament nu ar trebui să fie diminuat. În orice caz, transferurile către țările terțe nu pot fi efectuate decât în deplină conformitate cu prezentul regulament.

(79)  Prezentul regulament nu aduce atingere acordurilor internaționale încheiate între Uniune și țări terțe în vederea reglementării transferului de date cu caracter personal, inclusiv garanții garanțiilor corespunzătoare pentru persoanele vizate, care asigură un nivel adecvat de protecție a drepturilor fundamentale ale cetățenilor. [AM 53]

(80)  Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară. De asemenea, Comisia poate să decidă, după trimiterea unei notificări și a unei justificări complete țării terțe, să anuleze o astfel de decizie. [AM 54]

(81)  În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special protecția drepturilor omului, Comisia ar trebui, în evaluarea sa referitoare la țara terță, să ia în considerare modul în care aceasta respectă statul de drept, accesul la justiție, precum și normele și standardele internaționale în materie de drepturi ale omului.

(82)  Comisia poate, de asemenea, să recunoască faptul că o țară terță sau un teritoriu sau un sector de prelucrare dintr-o țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție a datelor. Orice dispoziție legislativă care prevede accesul extrateritorial la datele cu caracter personal prelucrate pe teritoriul Uniunii, fără să existe o autorizare în conformitate cu dreptul Uniunii sau al unui stat membru, ar trebui să fie considerată drept o indicație a absenței unui nivel adecvat de protecție. În consecință, transferul de date cu caracter personal către țara terță respectivă ar trebui să fie interzis. În acest caz, ar trebui să se prevadă dispoziții pentru consultări între Comisie și astfel de țări terțe sau organizații internaționale. [AM 55]

(83)  În absența unei decizii privind caracterul adecvat al protecției, operatorul sau persoana împuternicită de către operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții corespunzătoare pentru persoana vizată. Astfel de garanții corespunzătoare pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecție a datelor adoptate de către Comisie, a clauzelor standard în materie de protecție a datelor adoptate de către o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere sau a altor măsuri adecvate și proporționale care sunt justificate având în vedere toate circumstanțele aferente unei operațiuni de transfer de date sau unui set de operațiuni de transfer de date și în cazurile autorizate de o autoritate de supraveghere. Respectivele garanții corespunzătoare ar trebui să sprijine respectarea adecvată a drepturilor persoanei vizate în cadrul prelucrării în interiorul UE, în special a dreptului la limitarea scopului, a dreptului de acces, rectificare și ștergere, precum și a dreptului la compensații. Respectivele garanții ar trebui să asigure în special respectarea principiilor de prelucrare a datelor cu caracter personal, să protejeze drepturile persoanelor vizate și să ofere căi de atac efective, să asigure respectarea principiilor de protecție a datelor începând cu momentul conceperii, precum și de protecție implicită a datelor, să garanteze existența unui responsabil cu protecția datelor. [AM 56]

(84)  Posibilitatea ca operatorul sau persoana împuternicită de către operator să utilizeze clauze standard în materie de protecție a datelor adoptate de către Comisie sau de către o autoritate de supraveghere nu ar trebui să împiedice operatorii sau persoanele împuternicite de către aceștia să includă clauze standard în materie de protecție a datelor într-un contract mai amplu și nici să adauge alte clauze sau garanții suplimentare, atât timp acestea cât cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de către Comisie sau de către o autoritate de supraveghere sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. Clauzele standard în materie de protecție a datelor adoptate de către Comisie ar putea acoperi situații diferite, și anume transferul de la operatori stabiliți pe teritoriul Uniunii către operatori stabiliți în afara Uniunii și de la operatori stabiliți pe teritoriul Uniunii către persoane împuternicite de către operatori, inclusiv subcontractanți, stabiliți în afara Uniunii . Operatorii și persoanele împuternicite de către operatori ar trebui să fie încurajați să ofere garanții și mai solide prin intermediul unor angajamente contractuale suplimentare care să completeze clauzele standard în materie de protecție. [AM 57]

(85)  Un grup corporatist ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaționale dinspre Uniune către organizații din cadrul aceluiași grup de întreprinderi, atâta timp cât astfel de reguli corporatiste includ principii toate principiile esențiale și drepturi exercitabile în scopul asigurării unor garanții corespunzătoare pentru transferurile sau categoriile de transferuri de date cu caracter personal. [AM 58]

(86)  Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul, în care transferul este necesar în legătură cu un contract sau cu o acțiune în justiție, în care motive importante de interes public stabilite de dreptul Uniunii sau de legislația unui stat membru impun acest lucru sau în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor sau ansamblul categoriilor de date conținute în registru, iar atunci când registrul este destinat să fie consultat de către persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele și drepturile fundamentale ale persoanei vizate. [AM 59]

(87)  Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare pentru protecția unor motive importante de interes public, de exemplu în cazurile transferurilor internaționale de date între autoritățile din domeniul concurenței, între administrațiile fiscale sau vamale, între autoritățile de supraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătate publică, sau către autoritățile competente în scopul prevenirii, identificării, investigării și urmăririi penale a infracțiunilor, inclusiv a prevenirii spălării banilor și combaterii finanțării terorismului. Transferul de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care acesta este necesar în scopul asigurării protecției unui interes esențial pentru viața persoanei vizate sau pentru viața unei alte persoane, dacă persoana vizată se află în incapacitatea de a-și da consimțământul. Transferul de date cu caracter personal pentru protecția unor astfel de motive importante de interes public ar trebui să fie utilizate doar ocazional. În fiecare caz ar trebui să se efectueze o evaluare atentă a tuturor circumstanțelor transferului. [AM 60]

(88)  Transferurile care nu pot fi considerate ca fiind frecvente sau masive, ar putea, de asemenea, să fie efectuate în scopul realizării intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, după ce aceștia au evaluat toate circumstanțele aferente transferului de date. Pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică, ar trebui să se ia în considerare așteptările legitime ale societății cu privire la creșterea nivelului de cunoștințe. [AM 61]

(89)  În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor într-o țară terță, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluții care să ofere persoanelor vizate garanția obligatorie din punct de vedere juridic că vor continua să beneficieze de drepturi fundamentale și garanții în ceea ce privește prelucrarea datelor lor în Uniune, odată ce aceste date au fost transferate, în măsura în care prelucrarea nu are un caracter masiv, repetitiv și structural. Garanția ar trebui să includă despăgubiri financiare în cazul pierderii datelor sau al accesului sau prelucrării neautorizate a acestora, precum și obligația, indiferent de legislația națională, de a furniza informații detaliate și complete cu privire la toate accesele la date de către autoritățile publice din țara terță. [AM 62]

(90)  Unele țări terțe au adoptat legi, regulamente și alte instrumente legislative care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor persoanelor fizice și juridice aflate sub jurisdicția statelor membre. Aplicarea extrateritorială a acestor legi, regulamente și alte instrumente legislative poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice garantată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în legislația unui stat membru care se aplică operatorului. Condițiile în care există un motiv important de interes public ar trebui precizate pe larg de către Comisie într-un act delegat. În cazurile în care operatorii și persoanele împuternicite de către operatori se confruntă cu un conflict de competență între Uniune, pe de o parte, și o țară terță, pe de altă parte, în ceea ce privește cerințele de conformitate, Comisia ar trebui să se asigure că dreptul Uniunii prevalează în toate situațiile. Comisia ar trebui să ofere îndrumare și asistență operatorului și persoanei împuternicite de către operator și ar trebui să încerce să soluționeze conflictul de competență cu țara terță în cauză. [AM 63]

(91)  Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a datelor, în special pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a acestor informații. În același timp, autoritățile de supraveghere pot constata că se află în imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile desfășurate în afara frontierelor lor. Eforturile acestora de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice și de existența unor obstacole de ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, este necesar să se promoveze o cooperare mai strânsă între autoritățile de supraveghere a protecției datelor pentru a putea face schimb de informații și a desfășura investigații împreună cu omologii lor internaționali.

(92)  Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Statele membre pot institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. O astfel de autoritate dispune de resurse financiare și de personal adecvate pentru a-și îndeplini pe deplin rolul, ținând seama de mărimea populației și de volumul de prelucrare a datelor cu caracter personal. [AM 64]

(93)  În cazul în care un stat membru instituie mai multe autorități de supraveghere, acesta ar trebui să stabilească prin lege mecanisme care să asigure participarea efectivă a autorităților de supraveghere respective la mecanismul pentru asigurarea coerenței. Statul membru respectiv ar trebui, în special, să desemneze autoritatea de supraveghere care îndeplinește funcția de punct unic de contact pentru participarea efectivă a acestor autorități la mecanism, în scopul asigurării unei cooperări rapide și armonioase cu alte autorități de supraveghere, cu Comitetul european pentru protecția datelor și cu Comisia.

(94)  Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, asigurându-se în special că personalul dispune de competențe tehnice și juridice adecvate, de localuri și de infrastructura necesară infrastructuri necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. [AM 65]

(95)  Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite de lege în fiecare stat membru și ar trebui, în special, să prevadă că acești membri ar trebui să fie numiți de parlamentul sau de guvernul statului membru, acordându-se atenția cuvenită minimizării posibilității de interferență politică, și să includă dispoziții privind calificarea personală, prevenirea conflictelor de interese și funcția membrilor respectivi. [AM 66]

(96)  Autoritățile de supraveghere ar trebui să monitorizeze aplicarea dispozițiilor prevăzute de prezentul regulament și să contribuie la aplicarea consecventă a acestuia în întreaga Uniune, în scopul asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și al facilitării liberei circulații a datelor cu caracter personal în interiorul pieței interne. În acest sens, autoritățile de supraveghere ar trebui să coopereze reciproc și cu Comisia.

(97)  În cazul în care, în Uniune, prelucrarea datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de către operator se efectuează în mai multe state membre, o singură autoritate de supraveghere ar trebui să aibă competența de a monitoriza activitățile să dețină rolul de ghișeu unic și autoritate principală responsabilă de supravegherea operatorului sau a persoanei împuternicite de către operator în întreaga Uniune și de a adopta să adopte deciziile aferente, în scopul intensificării aplicării consecvente, al furnizării securității juridice și al reducerii sarcinii administrative pentru astfel de operatori și de persoane împuternicite de operatori. [AM 67]

(98)  Autoritatea competentă principală, care furnizează un astfel de ghișeu unic, ar trebui să fie autoritatea de supraveghere a statului membru în care operatorul sau persoana împuternicită de către operator își are sediul principal sau reprezentantul său. Comitetul european pentru protecția datelor poate, în anumite cazuri, desemna autoritatea principală prin intermediul mecanismului pentru asigurarea coerenței, la cererea unei autorități competente. [AM 68]

(98a)  Persoanele vizate ale căror date cu caracter personal sunt prelucrate de un operator de date sau de o persoană împuternicită de către operator într-un alt stat membru ar trebui să aibă posibilitatea de a adresa o plângere autorității de supraveghere la alegerea lor. Autoritatea principală de protecție a datelor ar trebui să-și coordoneze activitatea cu cea a celorlalte autorități implicate. [AM 69]

(99)  Cu toate că prezentul regulament se aplică, de asemenea, activităților instanțelor naționale, prelucrarea datelor cu caracter personal nu ar trebui să fie de competența autorităților de supraveghere, în cazul în care instanțele își exercită atribuțiile judiciare, în scopul asigurării protecției independenței judecătorilor în îndeplinirea sarcinilor lor judiciare. Cu toate acestea, derogarea ar trebui să se limiteze strict la activități pur judiciare în cadrul acțiunilor în instanță și să nu se aplice altor activități în care judecătorii ar putea fi implicați, în conformitate cu legislația națională.

(100)  Pentru a se asigura consecvența monitorizării și a aplicării prezentului regulament în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă în fiecare stat membru aceleași atribuții și competențe efective, inclusiv competențe de investigare, de intervenție cu forță juridică obligatorie, de decizie și sancționare, în special în cazul plângerilor depuse de persoane fizice, precum și de a acționa în justiție. Competențele de investigare ale autorităților de supraveghere în ceea ce privește accesul în localuri ar trebui exercitate în conformitate cu dreptul Uniunii și cu legislația națională. Aceasta se referă, în special, la cerința de a obține în prealabil o autorizare judiciară.

(101)  Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată sau asociație care acționează în interesul public și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată sau asociația cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate. [AM 70]

(102)  Activitățile de creștere a gradului de conștientizare organizate pentru public de autoritățile de supraveghere ar trebui să includă măsuri specifice care să vizeze operatorii și persoanele împuternicite de către operatori, inclusiv microîntreprinderile și întreprinderile mici și mijlocii, precum și persoanele vizate.

(103)  Autoritățile de supraveghere ar trebui să își acorde reciproc asistență în îndeplinirea atribuțiilor care le revin, pentru a se asigura consecvența aplicării și a asigurării aplicării prezentului regulament în piața internă.

(104)  Fiecare autoritate de supraveghere ar trebui să aibă dreptul de a participa la operațiuni comune între autoritățile de supraveghere. Autoritatea de supraveghere căreia i s-a adresat solicitarea ar trebui să aibă obligația de a răspunde cererii într-un anumit termen.

(105)  Pentru a se asigura aplicarea consecventă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenței în cadrul căruia autoritățile de supraveghere și Comisia să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenționează să ia o măsură în ceea ce privește operațiunile de prelucrare care au legătură cu oferirea de bunuri sau servicii persoanelor vizate în mai multe state membre sau cu monitorizarea comportamentului unor astfel de persoane vizate sau care ar putea afecta în mod substanțial libera circulație a datelor cu caracter personal. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere sau Comisia solicită ca aspectul respectiv să fie abordat în cadrul mecanismului pentru asigurarea coerenței. În plus, persoanele vizate ar trebui să aibă dreptul de a solicita coerență în cazul în care consideră că o măsură luată de autoritatea de protecție a datelor a unui stat membru nu îndeplinește acest criteriu. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competențelor care îi revin în temeiul tratatelor. [AM 71]

(106)  În aplicarea mecanismului pentru asigurarea coerenței, Comitetul european pentru protecția datelor ar trebui, într-un anumit termen, să emită un aviz în cazul în care o majoritate simplă a membrilor săi decide astfel sau în cazul în care o autoritate de supraveghere sau Comisia solicită acest lucru.

(106a)  Pentru a asigura punerea în aplicare coerentă a prezentului regulament, Comitetul european pentru protecția datelor poate adopta, în cazuri specifice, o măsură obligatorie pentru autoritatea de supraveghere competentă. [AM 72]

(107)  Pentru a se asigura conformitatea cu prezentul regulament, Comisia poate adopta un aviz privind aspectul respectiv sau o decizie, prin care să se solicite autorității de supraveghere suspendarea proiectului său de măsură. [AM 73]

(108)  Este posibil să existe o necesitate urgentă de a se acționa pentru asigurarea protecției intereselor persoanelor vizate, în special în cazul în care există pericolul ca exercitarea unui drept al unei persoane vizate să fie împiedicată în mod considerabil. Prin urmare, atunci când aplică mecanismul pentru asigurarea coerenței, o autoritate de supraveghere ar trebui să poată adopta măsuri provizorii, cu o anumită perioadă de valabilitate.

(109)  Aplicarea acestui mecanism ar trebui să fie o condiție pentru valabilitatea juridică și executarea deciziei respective de către o autoritate de supraveghere. În alte cazuri cu relevanță transfrontalieră, autoritățile de supraveghere în cauză ar putea să își acorde reciproc asistență și să efectueze investigații comune, pe bază bilaterală sau multilaterală, fără declanșarea mecanismului pentru asigurarea coerenței.

(110)  La nivelul Uniunii, ar trebui să se înființeze Comitetul european pentru protecția datelor. Acesta ar trebui să înlocuiască Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie format din șefii autorității de supraveghere a fiecărui stat membru și din șeful Autorității Europene pentru Protecția Datelor. Comisia ar trebui să participe la activitățile sale. Comitetul european pentru protecția datelor ar trebui să contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consultanță Comisiei instituțiilor Uniunii Europene și prin promovarea cooperării autorităților de supraveghere în întreaga Uniune, inclusiv a coordonării operațiunilor comune. Comitetul european pentru protecția datelor ar trebui să acționeze în mod independent în exercitarea sarcinilor sale. Comitetul european pentru protecția datelor ar trebui să consolideze dialogul cu părțile interesate, precum asociațiile persoanelor vizate, organizațiile consumatorilor, operatorii de date și alte părți interesate relevante și experți. [AM 74]

(111)  Orice persoană vizată Persoanele vizate ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la o cale de atac efectivă în conformitate cu articolul 47 din Carta, în cazul în care consideră că drepturile pe care le are în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. [AM 75]

(112)  Orice organism, organizație sau asociație care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora acționează în interesul public și este constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în numele persoanelor vizate, cu acordul acestora, sau să exercite dreptul la o cale de atac în numele persoanelor vizate dacă sunt împuternicite de către persoana vizată sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal prezentului regulament. [AM 76]

(113)  Orice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac împotriva deciziilor unei autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei autorități de supraveghere ar trebui să fie aduse în fața instanțelor statului membru în care este stabilită autoritatea de supraveghere.

(114)  Pentru a se consolida protecția judiciară a persoanelor vizate în situațiile în care autoritatea de supraveghere competentă este stabilită în alt stat membru decât cel în care persoana vizată își are reședința, persoana vizată poate solicita oricărui împuternici orice organism, oricărei organizații sau oricărei asociații care are drept obiectiv asigurarea protecției drepturilor și intereselor persoanelor vizate în ceea ce privește protecția datelor acestora organizație sau asociație care acționează în interesul public să introducă o acțiune în numele său împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. [AM 77]

(115)  În situațiile în care autoritatea de supraveghere competentă stabilită în alt stat membru nu acționează sau a adoptat măsuri insuficiente în legătură cu o plângere, persoana vizată poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune împotriva autorității de supraveghere respective în fața instanței competente din celălalt stat membru. Acest lucru nu se aplică persoanelor care nu au reședința pe teritoriul UE. Autoritatea de supraveghere poate decide, sub control judiciar, dacă este sau nu este oportun să se dea curs cererii. [AM 78]

(116)  În ceea ce privește acțiunile inițiate împotriva unui operator sau unei persoane împuternicite de către operator, reclamantul ar trebui să aibă posibilitatea de a introduce acțiunea în fața instanțelor din statele membre în care operatorul sau persoana împuternicită de către operator are un sediu sau, în cazul în care persoana vizată dispune de o reședință pe teritoriul UE, în statul membru în care persoana vizată își are reședința, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice. [AM 79]

(117)  În cazul în care există indicii conform cărora acțiuni paralele sunt pendinte în fața instanțelor din state membre diferite, instanțele ar trebui să aibă obligația de a se contacta reciproc. Instanțele ar trebui să aibă posibilitatea de a suspenda o acțiune atunci când o cauză paralelă este pendinte în alt stat membru. Statele membre ar trebui să se asigure că acțiunile în justiție, pentru a fi eficiente, permit adoptarea rapidă de măsuri în scopul remedierii sau al prevenirii încălcării prezentului regulament.

(118)  Orice daună, patrimonială sau nepatrimonială, pe care o persoană o poate suferi ca urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau de persoana împuternicită de către operator, care poate fi exonerat(ă) de răspundere doar dacă dovedește că nu este răspunzător (răspunzătoare) pentru prejudiciu, în special în cazul în care acesta (aceasta) stabilește vina persoanei vizate sau în caz de forță majoră. [AM 80]

(119)  Ar trebui impuse sancțiuni oricărei persoane, de drept privat sau public, care nu respectă prezentul regulament. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor. Normele privind sancțiunile ar trebui să facă obiectul unor garanții procedurale adecvate în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale, inclusiv cele referitoare la dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem. [AM 81]

(119a)  La aplicarea sancțiunilor, statele membre ar trebui să dovedească respectarea deplină a garanțiilor procedurale adecvate, inclusiv dreptul la o cale de atac efectivă în justiție, la un proces echitabil, precum și principiul ne bis in idem. [AM 82]

(120)  Pentru consolidarea și armonizarea sancțiunilor administrative în cazul încălcării prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competența de a sancționa infracțiunile administrative. Prezentul regulament ar trebui să indice aceste infracțiuni și limita maximă a amenzilor administrative aferente, care ar trebui să fie stabilite în fiecare caz, proporțional cu situația specifică, luându-se în considerare în mod corespunzător, în special, natura, gravitatea și durata încălcării. Mecanismul pentru asigurarea coerenței poate fi, de asemenea, utilizat în scopul remedierii divergențelor în aplicarea sancțiunilor administrative.

(121)  Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice, artistice sau literare ar trebui să îndeplinească criteriile pentru aplicarea unor derogări Ori de câte ori este necesar, excepțiile sau derogările de la cerințele anumitor dispoziții din prezentul regulament, ar trebui să acordate în vederea stabilirii unui echilibru între dreptul la protecția datelor cu caracter personal și dreptul la libertatea de exprimare și, mai ales, dreptul de a primi și de a comunica informații, astfel cum este garantat în special prin articolul 11 din Carta. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal din domeniul audiovizualului, precum și din arhivele de știri și din bibliotecile de ziare. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepțiile și derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Astfel de excepții și derogări ar trebui să fie adoptate de statele membre în ceea ce privește principiile generale, drepturile persoanelor vizate, operatorul și persoana împuternicită de operator, transferul de date cu caracter personal către țări terțe sau organizații internaționale, autoritățile de supraveghere independente, precum și cooperarea și coerența și situațiile specifice de prelucrare a datelor. Acest lucru nu trebuie totuși să determine statele membre să stabilească derogări de la celelalte dispoziții ale prezentului regulament. Pentru a ține seama de importanța dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noțiunile legate de această libertate , cum ar fi jurnalismul, să fie interpretate în sens larg. Prin urmare, în scopul excepțiilor și derogărilor care urmează să fie stabilite în prezentul regulament, statele membre ar trebui să clasifice drept „jurnalistice” să acopere în sens larg toate activitățile al căror scop este de a comunica publicului informații, opinii și idei, indiferent de suportul utilizat pentru transmiterea acestora, ținând seama, de asemenea, de dezvoltarea tehnologică. Aceste activități nu ar trebui să se limiteze la cele desfășurate de societăți de media și pot include activități cu sau fără scop lucrativ. [AM 83]

(122)  Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date necesitând un nivel mai ridicat de protecție, poate fi adesea justificată de o serie de motive legitime în beneficiul persoanelor și al societății în general, în special în contextul asigurării continuității asistenței medicale transfrontaliere. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea datelor cu caracter personal privind sănătatea, sub rezerva unor garanții specifice și corespunzătoare menite să protejeze drepturile fundamentale și datele cu caracter personal al persoanelor fizice. Acest lucru include dreptul persoanelor de a avea acces la datele lor cu caracter personal privind sănătatea, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată.

(122a)   Un profesionist care prelucrează date cu caracter personal ar trebui să primească, în măsura în care acest lucru este posibil, date anonimizate sau prezentate sub pseudonim, astfel încât identitatea să nu fie cunoscută decât de către medicul generalist sau specialist care a solicitat prelucrarea datelor. [AM 84]

(123)  Prelucrarea datelor cu caracter personal privind sănătatea poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă(9), adică toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor cu caracter personal privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părți terțe, cum ar fi angajatorii, societățile de asigurări și băncile. [AM 85]

(123a)   Prelucrarea datelor cu caracter personal privind sănătatea, care reprezintă o categorie specială de date, poate fi necesară în scopuri de cercetare istorică, statistică sau științifică. De aceea, prezentul regulament prevede o derogare de la această cerință în cazul în care cercetarea servește unui interes public ridicat. [AM 86]

(124)  Principiile generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie aplicabile și în contextul ocupării forței de muncă Prin urmare, pentru și al securității sociale. Statele membre ar trebui să aibă posibilitatea de a reglementa activitățile de prelucrare a datelor cu caracter personal ale angajaților în contextul ocupării forței de muncă statele membre ar trebui să aibă posibilitatea, în limitele și al securității sociale, în conformitate cu normele și standardele minime stabilite de prin prezentul regulament de a adopta pe cale legislativă norme specifice de prelucrare a. În măsura în care în statul membru respectiv există un temei juridic pentru reglementarea aspectelor legate de ocuparea forței de muncă printr-un acord între reprezentanții angajaților și conducerea întreprinderii sau a întreprinderii care exercită controlul asupra unui grup de întreprinderi (acord colectiv) sau în conformitate cu Directiva 2009/38/CE a Parlamentului European și a Consiliului(10), prelucrarea datelor cu caracter personal în sectorul contextul ocupării forței de muncă ar trebui să poată fi reglementată și printr-un astfel de acord. [AM 87]

(125)  Pentru a fi legală, prelucrarea datelor cu caracter personal în scopuri de cercetare istorică, statistică sau științifică ar trebui să respecte și alte dispoziții legislative relevante, cum ar fi cele privind studiile clinice.

(125a)  Datele cu caracter personal pot fi, de asemenea, prelucrate ulterior de servicii de arhivare a căror sarcină principală sau obligatorie este colectarea, conservarea, oferirea de informații cu privire la acestea, exploatarea și diseminarea arhivelor în interes public. Legislația statelor membre ar trebui să reconcilieze dreptul la protecția datelor cu caracter personal cu normele privind arhivele și accesul public la informații administrative. Statele membre ar trebui să încurajeze elaborarea, în special de către Grupul European de arhive, a unor norme care să garanteze confidențialitatea datelor față de părți terțe, precum și autenticitatea, integritatea și păstrarea corectă a datelor. [AM 88]

(126)  În sensul prezentului regulament, cercetarea științifică ar trebui să includă cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată din surse private și ar trebui, în plus, să ia în considerare obiectivul Uniunii de creare a unui spațiu european de cercetare, astfel cum este menționat la articolul 179 alineatul (1) din Tratatul privind funcționarea Uniunii Europene. Prelucrarea datelor cu caracter personal în scopuri de cercetare istorică, statistică sau științifică nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazurilor în care există consimțământul persoanei vizate sau a celor întemeiate pe dreptul Uniunii sau legislația statelor membre. [AM 89]

(127)  În ceea ce privește competențele autorităților de supraveghere de a obține, de la operator sau de la persoana împuternicită de operator, accesul la datele cu caracter personal și accesul în clădirile sale, statele membre pot adopta, pe cale legislativă și în limitele stabilite de prezentul regulament, norme specifice pentru garantarea secretului profesional sau a altor obligații echivalente, în măsura în care acest lucru este necesar pentru a asigura un echilibru între dreptul la protecția datelor cu caracter personal și o obligație de păstrare a secretului profesional.

(128)  Conform articolului 17 din Tratatul privind funcționarea Uniunii Europene, prezentul regulament respectă și nu aduce atingere statutului de care beneficiază, în temeiul dreptului național, bisericile și asociațiile sau comunitățile religioase din statele membre. Prin urmare, atunci când o biserică dintr-un stat membru aplică, la data intrării în vigoare a prezentului regulament, norme cuprinzătoare adecvate de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, aceste norme existente ar trebui să se aplice în continuare, în măsura în care se asigură conformitatea lor cu prezentul regulament și sunt recunoscute ca fiind conforme. Ar trebui să se solicite acestor biserici și asociații religioase să prevadă instituirea unei autorități de supraveghere complet independente. [AM 90]

(129)  Pentru a se realiza obiectivele prezentului regulament, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul a dreptului acestora la protecția datelor cu caracter personal, și pentru a se garanta libera circulație a datelor cu caracter personal pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce privește condițiile privind modalitatea de furnizare a informației bazată pe pictograme; legalitatea prelucrării; specificarea criteriilor și a condițiilor de obținere a consimțământului unui minor; prelucrarea unor categorii speciale de date; specificarea criteriilor și a condițiilor aplicabile cererilor în mod vădit excesive și taxelor pentru exercitarea drepturilor persoanelor vizate; criteriile și cerințele aplicabile pentru informarea persoanei vizate și dreptul de acces; „dreptul de a fi uitat” și dreptul la ștergere; măsurile bazate pe crearea de profiluri; criteriile și cerințele privind responsabilitatea operatorului și protecția datelor începând cu momentul conceperii și protecția implicită a datelor; persoana împuternicită de operator; criteriile și cerințele privind documentația și securitatea prelucrării; criteriile și cerințele aplicabile pentru stabilirea unei încălcări a securității datelor cu caracter personal și pentru notificarea acesteia către autoritatea de supraveghere, precum și circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere persoanei vizate; criteriile și condițiile pentru operațiunile de prelucrare care necesită o evaluare a impactului asupra protecției datelor; criteriile și cerințele pentru determinarea unui nivel ridicat al riscurilor specifice care necesită o consultare prealabilă; desemnarea și sarcinile responsabilului cu protecția datelor; declararea că codurile de conduită sunt conforme cu prezentul regulament; criteriile și cerințele privind mecanismele de certificare; nivelul adecvat de protecție acordat de o țară terță sau de o organizație internațională; criteriile și cerințele pentru transferurile prin intermediul regulilor corporatiste obligatorii; derogările aplicabile transferului; sancțiunile administrative; prelucrarea în scopuri medicale; și prelucrarea în contextul ocupării forței de muncă și prelucrarea în scopuri de cercetare istorică, statistică și științifică. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți și, în special, cu Comitetul european pentru protecția datelor. Atunci când pregătește și elaborează acte delegate, Comisia trebuie ar trebui să asigure transmiterea simultană, la timp și în mod corespunzător adecvată a documentelor relevante către Parlamentul European și către Consiliu. [AM 91]

(130)  În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui învestită cu competențe de executare pentru a stabili: formulare tip legate de pentru metodele specifice de obținere a consimțământului verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor persoanelor vizate lor; formulare tip pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea, inclusiv comunicarea datelor cu caracter personal persoanei vizate; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard materie de documentare, care să fie păstrate de operator și de persoana împuternicită de către operator; formularul tip pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea documentarea unei încălcări a securității datelor cu caracter personal către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței informare a autorității de supraveghere. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie(11). În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. [AM 92]

(131)  Procedura de examinare ar trebui să fie utilizată pentru a se stabili formulare tip legate de obținerea: pentru metodele specifice de obținere a consimțământului unui minor; verificabil în ceea ce privește prelucrarea datelor cu caracter personal ale minorilor; proceduri standard și formulare tip pentru comunicarea cu persoanele vizate privind exercitarea drepturilor persoanelor vizate; formulare tip lor; pentru informarea persoanei vizate; formulare tip și proceduri standard referitoare la dreptul de acces; dreptul la portabilitatea , inclusiv pentru comunicarea datelor cu caracter personal persoanei vizate; formulare tip în ceea ce privește responsabilitatea operatorului de a asigura protecția datelor începând cu momentul conceperii și protecția implicită a datelor; cerințe specifice privind securitatea prelucrării; formatul și procedurile standard în materie de documentare care să fie păstrate de operator și de persoana împuternicită de către operator; pentru notificarea unei încălcări a securității datelor cu caracter personal în atenția autorității de supraveghere și pentru comunicarea documentarea unei încălcări a securității datelor cu caracter personal; către persoana vizată; standarde și proceduri pentru o evaluare a impactului asupra protecției datelor; formele și procedurile de autorizare prealabilă și de consultare prealabilă; standarde tehnice și mecanisme de certificare; nivelul adecvat de protecție oferit de o țară terță, de un teritoriu sau de un sector de prelucrare din țara terță respectivă sau de o organizație internațională; divulgările de informații neautorizate de dreptul Uniunii; asistența reciprocă; operațiunile comune; deciziile în cadrul mecanismului pentru asigurarea coerenței, dat informare a autorității de supraveghere, dar fiind că aceste acte au un domeniu de aplicare general. [AM 93]

(132)  Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgență, în cazuri justificate în mod corespunzător referitoare la o țară terță, un teritoriu sau un sector de prelucrare din țara terță respectivă sau o organizație internațională care nu asigură un nivel de protecție adecvat și referitoare la aspectele comunicate de către autoritățile de supraveghere în cadrul mecanismului pentru asigurarea coerenței. [AM 94]

(133)  Dat fiind că obiectivele prezentului regulament, și anume asigurarea unui nivel echivalent de protecție a persoanelor și libera circulație a datelor în întreaga Uniune, nu pot fi realizate în mod satisfăcător de către statele membre dar, având în vedere amploarea și efectele acțiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate să adopte măsuri în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este enunțat la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru atingerea obiectivelor respective.

(134)  Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Cu toate acestea, deciziile Comisiei care au fost adoptate și autorizațiile care au fost emise de autoritățile de supraveghere pe baza Directivei 95/46/CE ar trebui să rămână în vigoare. Deciziile adoptate de Comisie și autorizațiile acordate de autoritățile de supraveghere referitoare la transferul de date cu caracter personal către țări terțe în conformitate cu articolul 41 alineatul (8) ar trebui să rămână în vigoare pe o perioadă de tranziție de cinci ani după intrarea în vigoare a prezentului regulament, în cazul în care nu sunt modificate, înlocuite sau abrogate de către Comisie înainte de încheierea acestei perioade. [AM 95]

(135)  Prezentul regulament ar trebui să se aplice tuturor aspectelor referitoare la protecția drepturilor și a libertăților fundamentale legate de prelucrarea datelor cu caracter personal, care fac obiectul unor obligații specifice cu același obiectiv ca cel stabilit în Directiva 2002/58/CE a Parlamentului European și a Consiliului(12), inclusiv obligațiile privind operatorul și drepturile persoanelor fizice. Pentru a se clarifica relația dintre prezentul regulament și Directiva 2002/58/CE, aceasta din urmă ar trebui să fie modificată în consecință.

(136)  În ceea ce privește Islanda și Norvegia, prezentul regulament reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, în măsura în care se aplică prelucrării datelor cu caracter personal de către autoritățile implicate în punerea în aplicare a acquis-ului, astfel cum prevede Acordul încheiat de Consiliul Uniunii Europene și Republica Islanda și Regatul Norvegiei privind asocierea acestora din urmă la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(13).

(137)  În ceea ce privește Elveția, prezentul regulament reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, în măsura în care se aplică prelucrării datelor cu caracter personal de către autoritățile implicate în punerea în aplicare a acquis-ului, astfel cum prevede Acordul între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană cu privire la asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(14).

(138)  În ceea ce privește Liechtenstein, prezentul regulament reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, în măsura în care se aplică prelucrării datelor cu caracter personal de către autoritățile implicate în punerea în aplicare a acquis-ului, astfel cum prevede Protocolul între Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(15).

(139)  Având în vedere faptul că, așa cum a subliniat Curtea de Justiție a Uniunii Europene, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității, prezentul regulament respectă drepturile fundamentale și principiile recunoscute în Carta consacrată în tratate, în special dreptul la respectarea vieții private și de familie, a reședinței și a secretului comunicațiilor, dreptul la protecția datelor cu caracter personal, libertatea de gândire, de conștiință și de religie, libertatea de exprimare și de informare, libertatea de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și obiective

(1)  Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.

(2)  Prezentul regulament asigură protecția drepturilor și a libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal.

(3)  Libera circulație a datelor cu caracter personal în cadrul Uniunii nu poate fi limitată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

Articolul 2

Domeniul material de aplicare

(1)  Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, indiferent de metoda de prelucrare, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

(2)  Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a)  în cadrul unei activități care nu intră sub incidența dreptului Uniunii, în ceea ce privește, mai ales, securitatea națională;

(b)  de către instituțiile, organele, oficiile și agențiile Uniunii;

(c)  de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 titlului V capitolul 2 din Tratatul privind Uniunea Europeană;

(d)  efectuate de către o persoană fizică, fără niciun interes lucrativ, în cadrul activităților sale exclusiv personale sau domestice. Această derogare se aplică și publicării de date cu caracter personal atunci când se poate estima în mod rezonabil că doar un număr limitat de persoane va avea acces la aceste date.

(e)  de către autoritățile publice competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale.

(3)  Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE, în special a normelor privind răspunderea furnizorilor de servicii intermediari, prevăzute la articolele 12 - 15 din directiva menționată. [AM 96]

Articolul 3

Domeniul teritorial de aplicare

(1)  Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.

(2)  Prezentul regulament se aplică prelucrării datelor cu caracter personal ale persoanelor vizate care își au reședința în din Uniune de către un operator sau persoana împuternicită de către operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

(a)  oferirea de bunuri sau servicii, indiferent dacă se solicită o plată de către persoana în cauză, unor astfel de persoane vizate în Uniune sau

(b)  urmărirea comportamentului acestora monitorizarea persoanelor vizate.

(3)  Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care legislația națională a unui stat membru se aplică în temeiul dreptului internațional public. [AM 97]

Articolul 4

Definiții

În sensul prezentului regulament:

1.  „persoana vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective;

2.  date cu caracter personal” înseamnă orice informație privind referitoare la o persoană fizică identificată sau identificabilă („persoană vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator unic, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale, sociale sau de gen;

2a.  „date protejate printr-un pseudonim” înseamnă date cu caracter personal care nu mai pot fi atribuite unei persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze că nu va avea loc o astfel de atribuire;

2b.  „date criptate” înseamnă date cu caracter personal care, prin intermediul unor măsuri tehnologice de protecție, devin neinteligibile pentru persoanele care nu sunt autorizate să le acceseze;

3.  „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, ștergerea sau distrugerea;

3a.  „crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea anumitor aspecte personale legate de o persoană fizică sau efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice respective la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia;

4.  „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

5.  „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru;

6.  „persoana împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

7.  „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal;

7a.  „terț” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de acesta, sunt autorizate să prelucreze date;

8.  „consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică, informată și explicită, prin care persoana vizată acceptă, printr-o declarație sau printr-o acțiune pozitivă fără echivoc, ca datele sale cu caracter personal să fie prelucrate;

9.  „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod sub o altă formă;

10.  „date genetice” înseamnă toate datele , indiferent de tipul acestora, cu caracter personal referitoare la caracteristicile genetice ale unei persoane, care sunt au fost moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală astfel cum rezultă în urma unei analize a unei mostre de material biologic al persoanei în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor informații echivalente;

11.  „date biometrice” înseamnă orice date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice;

12.  „date privind sănătatea” înseamnă orice informații date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective;

13.  „sediu principal” înseamnă, în ceea ce privește operatorul, locul de stabilire al acestuia întreprinderii sau grupului de întreprinderi pe teritoriul Uniunii, indiferent dacă au calitatea de operator sau de persoană împuternicită de operator, în care sunt luate principalele decizii privind scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal. Următoarele criterii obiective pot fi luate în considerare, printre altele: locul sediului central al operatorului sau al persoanei împuternicite de operator; în cazul în care nu se ia nicio decizie pe teritoriul Uniunii cu privire la scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal, sediul principal este locul în care se desfășoară principalele află entitatea din cadrul grupului de întreprinderi care este cea mai în măsură, din perspectiva funcțiilor de conducere și a responsabilităților administrative, să se ocupe de normele stabilite în prezentul regulament și să le execute; locul în care sunt exercitate în mod efectiv reale activități de prelucrare estionare prin care se stabilește prelucrarea datelor în cadrul activităților unui sediu al unui operator din Uniune. În ceea ce privește persoana împuternicită de operator, „sediu principal” înseamnă locul administrației sale centrale din Uniune unor înțelegeri stabile;

14.  „reprezentant” înseamnă orice persoană fizică sau juridică stabilită în Uniune, desemnată explicit de către operator, care acționează și poate fi contactată în locul operatorului de către orice autoritate de supraveghere și alte organisme din Uniune, reprezintă operatorul în ceea ce privește obligațiile care îi revin operatorului în temeiul prezentului regulament;

15.  „întreprindere” înseamnă orice entitate care desfășoară o activitate economică, indiferent de forma juridică a acesteia, cuprinzând, în special, persoane fizice și juridice, parteneriate sau asociații care desfășoară în mod regulat o activitate economică;

16.  „grup de întreprinderi” înseamnă o întreprindere care exercită controlul și întreprinderile controlate de aceasta;

17.  „reguli corporatiste obligatorii” înseamnă politicile în materie de protecție a datelor cu caracter personal care trebuie respectate de către un operator sau o persoană împuternicită de operator stabilită pe teritoriul unui stat membru al Uniunii, în ceea ce privește transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită în una sau mai multe țări terțe în cadrul unui grup de întreprinderi;

18.  „minor” înseamnă orice persoană cu vârsta sub 18 ani;

19.  „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 46. [AM 98]

CAPITOLUL II

PRINCIPII

Articolul 5

Principii legate de prelucrarea datelor cu caracter personal

Datele cu caracter personal trebuie să fie:

(a)  să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată (legalitate, echitate și transparență);

(b)  să fie colectate în scopuri determinate, explicite și legitime și să nu fie nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri (limitarea scopului);

(c)  să fie adecvate, pertinente și limitate la strictul necesar în ceea ce privește scopurile pentru care sunt prelucrate; aceste date sunt prelucrate numai dacă și atât timp cât scopurile nu pot fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal (reducerea la minimum a datelor);

(d)  să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie sunt șterse sau rectificate fără întârziere (exactitate);

(e)  să fie păstrate într-o formă care permite identificarea directă sau indirectă a persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate numai în scopuri de cercetare istorică, statistică sau științifică sau pentru a fi arhivate, în conformitate cu normele și condițiile prevăzute la articolul 83 și la articolul 83a, și numai dacă se efectuează o reexaminare periodică în vederea evaluării necesității de a continua stocarea și dacă se iau măsuri tehnice și organizatorice adecvate în vederea limitării accesului la date exclusiv în aceste scopuri (limitarea la minimum a stocării);

(ea)  prelucrate într-o manieră care îi permite persoanei vizate să își exercite drepturile într-un mod eficient (eficacitate);

(eb)  prelucrate într-un mod care le protejează împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare (integritate);

(f)  să fie prelucrate sub răspunderea operatorului, care asigură și demonstrează poate demonstra conformitatea fiecărei operațiuni de prelucrare cu dispozițiile prezentului regulament (responsabilitatea). [AM 99]

Articolul 6

Legalitatea prelucrării

(1)  Prelucrarea datelor cu caracter personal este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)  persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b)  prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru executarea unor măsuri precontractuale la cererea persoanei vizate;

(c)  prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(d)  prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate;

(e)  prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

(f)  prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau, în cazul divulgării de un terț căruia îi sunt divulgate datele, și care satisface așteptările legitime ale persoanei vizate bazate pe relația sa cu operatorul, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor. Acest lucru nu se aplică în cazul prelucrării efectuate de către autoritățile publice în îndeplinirea misiunii lor.

(2)  Prelucrarea datelor cu caracter personal necesară în scopuri de cercetare istorică, statistică sau științifică este legală sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83.

(3)  Temeiul juridic pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(a)  dreptul Uniunii sau

(b)  legislația statului membru care se aplică operatorului.

Legislația statului membru trebuie să urmărească un obiectiv de interes public sau să fie necesară în vederea protejării drepturilor și libertăților celorlalți, să respecte substanța dreptului de protecție a datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit. În limitele prezentului regulament, legislația statului membru poate prevede detaliile referitoare la legalitatea prelucrării, în special în ceea ce privește operatorii de date, scopul prelucrării și limitarea acestui scop, caracteristicile datelor și ale persoanelor vizate, măsurile și procedurile de prelucrare, destinatarii și durata stocării.

(4)  În cazul în care scopul prelucrării ulterioare nu este compatibil cu scopul pentru care au fost colectate datele cu caracter personal, prelucrarea trebuie să se bazeze pe un temei juridic care presupune cel puțin unul din considerentele menționate la alineatul (1) literele (a) - (e). Acest lucru se aplică în special oricărei schimbări a termenilor și condițiilor generale ale unui contract.

(5)  Comisia trebuie să fie abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii condițiilor menționate la alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor. [AM 100]

Articolul 7

Condiții privind consimțământul

(1)  Când prelucrarea se bazează pe consimțământ, operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate.

(2)  În cazul în care consimțământul persoanei vizate urmează să fie acordat în contextul unei declarații scrise care se referă și la un alt aspect, solicitarea de a acorda consimțământul trebuie să fie prezentată într-o formă care o diferențiază clar de celălalt aspect. Dispozițiile privind consimțământul persoanei vizate care încalcă parțial prezentul regulament sunt complet nule.

(3)  Fără a aduce atingere altor temeiuri juridice pentru prelucrare, persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Retragerea consimțământului se face la fel de simplu ca și acordarea acestuia. Persoana vizată este informată de operator dacă retragerea consimțământului poate duce la întreruperea serviciilor furnizate sau a relației cu operatorul.

(4)  Consimțământul nu reprezintă un temei juridic pentru prelucrare are un scop limitat și își pierde valabilitatea atunci când există un dezechilibru semnificativ între poziția persoanei vizate și cea a operatorului scopul încetează să existe sau de îndată ce prelucrarea datelor cu caracter personal nu mai este necesară pentru realizarea scopurilor pentru care datele au fost inițial colectate. Executarea unui contract sau prestarea unui serviciu nu sunt condiționate de consimțământul cu privire la prelucrarea sau utilizarea datelor care nu sunt necesare pentru executarea contractului sau pentru prestarea serviciului, în conformitate cu articolul 6 alineatul (1) litera (b). [AM 101]

Articolul 8

Prelucrarea datelor cu caracter personal ale minorilor

(1)  În sensul prezentului regulament, în ceea ce privește oferirea de bunuri sau servicii ale societății informaționale în mod direct unui minor, prelucrarea datelor cu caracter personal ale unui minor cu vârsta sub 13 ani este legală numai dacă și în măsura în care consimțământul este acordat sau autorizat de părintele sau de tutorele reprezentantul legal al minorului. Operatorul depune toate eforturile rezonabile pentru a obține verifica consimțământul verificabil, ținând seama de tehnologiile disponibile, fără a genera prelucrarea inutilă a datelor cu caracter personal.

(1a)  Informațiile prezentate minorilor, părinților și reprezentanților legali pentru ca aceștia să-și exprime consimțământul, inclusiv referitoare la colectarea și utilizarea de date cu caracter personal ale operatorului, ar trebui prezentate într-un limbaj clar, adaptat publicului vizat.

(2)  Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un minor.

(3)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor referitoare la metodele de a obține consimțământul verificabil menționate la alineatul (1). În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și cele mai bune practici referitoare la metodele de verificare a consimțământului menționate la alineatul (1), în conformitate cu articolul 66.

(4)  Comisia poate să stabilească formulare tip pentru metodele specifice de obținere a consimțământului verificabil menționat la alineatul (1). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 102]

Articolul 9

Prelucrarea categoriilor Categorii speciale de date cu caracter personal

(1)  Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, orientarea sexuală sau identitatea de gen, apartenența sindicală și activitățile sindicale, precum și prelucrarea datelor genetice sau biometrice sau a datelor privind sănătatea, viața sexuală, sancțiunile administrative, hotărârile, infracțiunile penale sau infracțiunile presupuse, condamnările sau măsurile de securitate conexe.

(2)  Alineatul (1) nu se aplică atunci când în următoarele situații:

(a)  persoana vizată și-a dat consimțământul pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, în condițiile prevăzute la articolele 7 și 8, cu excepția cazului în care dreptul Uniunii sau legislația unui stat membru prevede că interdicția menționată la alineatul (1) nu poată fi ridicată de persoana vizată sau

(aa)  prelucrarea este necesară pentru executarea unui contract din care face parte persoana vizată sau pentru luarea unor măsuri precontractuale la solicitarea persoanei vizate înainte de încheierea unui contract;

(b)  prelucrarea este necesară în scopul respectării obligațiilor și al exercitării unor drepturi specifice ale operatorului în domeniul dreptului muncii, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de legislația unui stat membru sau de acorduri colective care prevede prevăd garanții adecvate pentru protejarea drepturilor fundamentale ale persoanei vizate, cum ar fi dreptul la nediscriminare, sub rezerva condițiilor și garanțiilor prevăzute la articolul 82; sau

(c)  prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul sau

(d)  prelucrarea este efectuată, în cadrul activităților lor legitime și cu garanții adecvate, de către o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate sau

(e)  prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată sau

(f)  prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau

(g)  prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public ridicat, executate în baza dreptului Uniunii sau a legislației unui stat membru care este proporțională cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsurile corespunzătoare pentru protejarea drepturilor fundamentale și intereselor legitime ale persoanei vizate sau

(h)  prelucrarea datelor privind sănătatea este necesară în scopuri legate de sănătate și sub rezerva face obiectul condițiilor și a garanțiilor prevăzute la articolul 81 sau

(i)  prelucrarea este necesară în scopuri de cercetare istorică, statistică sau științifică, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83 sau

(ia)  prelucrarea este necesară serviciilor de arhivare, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 83a sau

(j)  prelucrarea datelor referitoare la sancțiuni administrative, hotărâri, infracțiuni penale, condamnări penale sau la măsuri de securitate conexe se efectuează fie sub controlul autorității publice, fie atunci când prelucrarea este necesară pentru conformarea cu o obligație legală sau de reglementare care îi revine operatorului, fie pentru îndeplinirea unei sarcini executate din considerente importante de interes public, în măsura în care prelucrarea este autorizată de dreptul Uniunii sau de legislația unui stat membru care prevede garanții adecvate legate de drepturile fundamentale și interesele persoanei vizate. Un Orice registru complet al condamnărilor penale este ținut numai sub controlul autorității publice.

(3)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor, condițiilor și garanțiilor corespunzătoare Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici pentru prelucrarea categoriilor speciale de date cu caracter personal menționate la alineatul (1), precum și derogările prevăzute la alineatul (2), în conformitate cu articolul 66. [AM 103]

Articolul 10

Prelucrarea care nu permite identificarea

(1)  În cazul în care datele prelucrate de către un operator nu îi permit acestuia sau persoanei împuternicite de către operator să identifice direct sau indirect o persoană fizică sau consistă doar din date pseudonime, operatorul nu are obligația de a prelucrează și nici nu obține informații suplimentare pentru a identifica persoana vizată numai în scopul respectării unei dispoziții ale a prezentului regulament.

(2)  Atunci când operatorul de date nu este în măsură să respecte o anumită dispoziție a prezentului regulament din cauza alineatului (1), operatorul nu este obligat să respecte dispoziția respectivă. Atunci când, în consecință, operatorul de date nu este în măsură să se conformeze cererii persoanei vizate, operatorul informează persoana vizată în mod corespunzător. [AM 104]

Articolul 10a

Principii generale privind drepturile persoanelor vizate

(1)  Temeiul protecției datelor îl constituie drepturile clare și fără ambiguități ale persoanei vizate, fapt respectat de operatorul de date. Dispozițiile prezentului regulament au scopul de a întări, clarifica, garanta și, după caz, codifica aceste drepturi.

(2)  Aceste drepturi includ, printre altele, furnizarea de informații clare și ușor de înțeles privind prelucrarea datelor sale cu caracter personal, dreptul de acces, de rectificare și de ștergere a datelor cu caracter personal, dreptul de a obține date, dreptul de a se opune creării de profiluri, dreptul de a depune o plângere în fața autorității competente de protecție a datelor, .dreptul de a introduce o acțiune în justiție, precum și dreptul la compensații și despăgubiri în urma unei operațiuni de prelucrare ilegale. Aceste drepturi se exercită în general gratuit. Operatorul de date răspunde cererilor persoanei vizate într-un termen rezonabil. [AM 105]

CAPITOLUL III

DREPTURILE PERSOANEI VIZATE

SECȚIUNEA 1

TRANSPARENȚĂ ȘI MODALITĂȚI

Articolul 11

Transparența informațiilor și a comunicărilor

(1)  Operatorul aplică politici concise, transparente, clare și ușor de accesat în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate.

(2)  Operatorul transmite persoanei vizate orice informație și orice comunicare cu privire la prelucrarea datelor cu caracter personal într-o formă inteligibilă, utilizând un limbaj clar și simplu, adaptat în funcție de persoana vizată, în special pentru orice informație adresată în mod expres unui minor. [AM 106]

Articolul 12

Proceduri și mecanisme de exercitare a drepturilor persoanei vizate

(1)  Operatorul stabilește proceduri pentru furnizarea informațiilor prevăzute la articolul 14 și pentru exercitarea drepturilor persoanelor vizate menționate la articolul 13 și la articolele 15 - 19. Operatorul prevede în special mecanisme pentru facilitarea introducerii unei cereri privind acțiunile menționate la articolul 13 și la articolele 15 - 19. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede, de asemenea, modalitățile de introducere a cererilor pe cale electronică, atunci când este posibil.

(2)  Operatorul informează persoana vizată fără întârziere nejustificată și, cel târziu, în termen de o lună 40 de zile calendaristice de la primirea cererii, dacă a fost luată vreo măsură în temeiul articolului 13 și al articolelor 15-19 și furnizează informațiile solicitate. Acest termen poate fi prelungit cu încă o lună, în cazul în care mai multe persoanele vizate își exercită drepturile și cooperarea acestora este necesară într-o măsură rezonabilă pentru a evita eforturi inutile și disproporționate din partea operatorului. Informațiile sunt furnizate în scris sau, dacă este posibil, operatorul de date poate furniza acces de la distanță la o platformă online sigură, care să ofere persoanei vizate posibilitatea de a-și consulta direct datele cu caracter personal. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, dacă este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

(3)  În cazul în care operatorul refuză nu să ia măsuri la cererea persoanei vizate, acesta informează persoana vizată cu privire la motivele refuzului inacțiunii sale și la posibilitățile de a depune o plângere în fața autorității de supraveghere și de a introduce o cale de atac în justiție.

(4)  Informațiile și măsurile luate în contextul cererilor menționate la alineatul (1) sunt gratuite. În cazul în care cererile sunt în mod vădit excesive, în special din cauza caracterului lor repetitiv, operatorul poate percepe o taxă rezonabilă care să țină cont de costurile administrative pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate ori poate să nu ia măsurile solicitate. În acest caz, operatorul suportă sarcina probei în ceea ce privește caracterul vădit excesiv al cererii.

(5)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și condițiilor privind cererile vădit excesive și taxele menționate la alineatul (4).

(6)  Comisia poate stabili formulare tip și proceduri standard în ceea ce privește comunicarea menționată la alineatul (2), inclusiv în format electronic. În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 107]

Articolul 13

Drepturi referitoare la destinatari Obligația de notificare în caz de rectificare și ștergere

Operatorul comunică fiecărui destinatar căruia i-au fost dezvăluite transferate datele orice rectificare sau ștergere efectuată în conformitate cu articolele 16 și 17, cu excepția cazului în care acest lucru se dovedește imposibil sau presupune un efort disproporționat. Operatorul informează persoana vizată despre respectivele părți terțe. Operatorul informează persoana vizată cu privire la acești destinatari dacă persoana vizată o cere. [AM 108]

Articolul 13a

Politici de informare standardizate

(1)  În cazul în care sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul îi furnizează respectivei persoane următoarele date înainte de a obține informații în conformitate cu articolul 14:

(a)  dacă datele personale sunt colectate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării;

(b)  dacă datele cu caracter personal sunt stocate la un nivel mai mare decât nivelul minim necesar pentru fiecare scop specific al prelucrării;

(c)  dacă datele cu caracter personal sunt prelucrate în alte scopuri decât scopul pentru care au fost colectate;

(d)  dacă date cu caracter personal sunt diseminate unor părți terțe comerciale;

(e)  dacă datele cu caracter personal sunt vândute sau închiriate;

(f)  dacă datele cu caracter personal sunt stocate în formă criptată.

(2)  Datele prevăzute la alineatul (1) sunt prezentate în conformitate cu anexa la prezentul regulament într-un format aliniat sub formă de tabel, cu texte și simboluri, pe următoarele trei coloane:

(a)  prima coloană descrie formele grafice care simbolizează aceste date;

(b)  cea de a doua coloană conține informații esențiale care descriu aceste date;

(c)  cea de a treia coloană descrie formele grafice care indică dacă un element specific este respectat.

(3)  Informațiile menționate la alineatele (1) și (2) sunt prezentate într-un mod vizibil și ușor lizibil și apar într-o limbă ușor de înțeles de către consumatorii din statele membre cărora le sunt furnizate informațiile. În cazul în care datele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

(4)  Nu se furnizează date suplimentare. Se pot furniza explicații detaliate sau observații suplimentare în ceea ce privește datele prevăzute la alineatul (1) împreună cu celelalte cerințe privind informațiile conforme cu articolul 14.

(5)  Comisia este abilitată să adopte, după solicitarea unui aviz Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în vederea descrierii suplimentare a datelor menționate la alineatul 1 și a prezentării lor, astfel cum se menționează la alineatul (2) și în anexa la prezentul regulament. [AM 109]

SECȚIUNEA 2

INFORMARE ȘI ACCES LA DATE

Articolul 14

Informații pentru persoana vizată

(1)  Atunci când sunt colectate date cu caracter personal referitoare la o persoană vizată, operatorul furnizează persoanei vizate cel puțin următoarele informații, după ce informațiile următoare, în conformitate cu articolul 13a, au fost furnizate:

(a)  identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului operatorului și ale responsabilului cu protecția datelor;

(b)  scopurile specifice în care sunt prelucrate datele cu caracter personal, precum și informații specifice privind securitatea prelucrării datelor cu caracter personal, inclusiv condițiile contractului și condițiile generale în cazul în care prelucrarea se întemeiază pe articolul 6 alineatul (1) litera (b) și interesele legitime urmărite de operator în, atunci când este cazul, informații cu privire la felul în care prelucrarea se întemeiază pe se aplică și se respectă cerințele de la articolul 6 alineatul (1) litera (f);

(c)  perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(d)  existența dreptului de a solicita operatorului accesul la datele cu caracter personal referitoare la persoana vizată, precum și rectificarea sau ștergerea acestora, sau a dreptului de a se opune prelucrării acestor date cu caracter personal sau de a obține date;

(e)  dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(f)  destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(g)  dacă este cazul, intenția operatorului de a efectua un transfer de date către o țară terță sau o organizație internațională și nivelul de protecție oferit de țara terță sau de organizația internațională respectivă, prin trimitere la o decizie existența sau absența unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție, în cazul transferurilor menționate la articolul 42 sau 43, prin trimitere la garanțiile adecvate și la mijloacele de a obține o copie a acestora;

(ga)  după caz, informații cu privire la existența creării de profiluri, a unor măsuri bazate pe crearea de profiluri și cu privire la efectele preconizate de crearea de profiluri asupra persoanei vizate;

(gb)  informații pertinente despre logica ce stă la baza oricărei operațiuni de prelucrare automatizată;

(h)  orice altă informație care este necesară pentru garantarea unei prelucrări corecte față de persoana vizată, având în vedere circumstanțele specifice în care sunt colectate sau prelucrate datele cu caracter personal, în special existența anumitor activități și operațiuni de prelucrare în privința cărora evaluările de impact asupra datelor cu caracter personal au indicat existența unui risc ridicat;

(ha)  atunci când este cazul, informații care indică dacă datele cu caracter personal au fost furnizate autorităților publice în cursul ultimelor 12 luni consecutive.

(2)  În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de pe lângă informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau voluntar opțional al furnizării datelor cu caracter personal, precum și cu privire la eventualele consecințe ale refuzului de a furniza aceste nefurnizării acestor date.

(2a)  La luarea deciziei cu privire la informațiile suplimentare necesare pentru asigurarea unei prelucrări corecte în temeiul alineatului (1) litera (h), operatorii țin seama de liniile directoare aplicabile în temeiul articolului 34.

(3)  În cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații privind sursele din care provin datele specifice cu caracter personal. Dacă datele cu caracter personal provin din surse aflate la dispoziția publicului, poate fi oferită o indicație generală.

(4)  Operatorul furnizează informațiile menționate la alineatele (1), (2) și (3):

(a)  în momentul în care datele cu caracter personal sunt colectate de la persoana vizată sau fără întârzieri nejustificate atunci când prima opțiune nu este viabilă; sau

(aa)  la solicitarea unui organism, unei organizații sau asociații menționate la articolul 73;

(b)  în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul înregistrării acestora sau într-un termen rezonabil după colectare, ținând seama de circumstanțele specifice în care datele respective sunt colectate sau prelucrate în alt mod sau dacă se preconizează comunicarea transferul acestora către un alt destinatar, și cel târziu în momentul primului transfer sau, dacă datele sunt utilizate pentru a comunica cu persoana în cauză, cel târziu în momentul în care datele sunt comunicate pentru are loc prima dată comunicare cu persoana respectivă; sau

(ba)  numai la cerere atunci când datele sunt prelucrate de o întreprindere mică sau de o microîntreprindere care prelucrează date cu caracter personal doar ca o activitate auxiliară.

(5)  Dispozițiile alineatelor (1) - (4) nu se aplică atunci când:

(a)  persoana vizată deține deja informațiile menționate la alineatele (1), (2) și (3) sau

(b)  datele sunt prelucrate în scopuri istorice, statistice sau științifice care fac obiectul condițiilor și garanțiilor prevăzute la articolul 81 sau articolul 83, nu sunt colectate de la persoana vizată, iar furnizarea acestor informații se dovedește imposibilă sau ar presupune un efort disproporționat iar operatorul a publicat informațiile astfel încât să fie preluate de oricine; sau

(c)  datele nu sunt colectate de la persoana vizată, iar înregistrarea sau divulgarea datelor este prevăzută în mod expres de lege legea sub incidența căreia intră operatorul, care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate, având în vedere riscurile prezentate de prelucrarea și de natura datelor cu caracter personal; sau

(d)  datele nu sunt colectate de la persoana vizată, iar furnizarea acestor informații aduce atingere drepturilor și libertăților altor persoane fizice, astfel cum sunt definite în dreptul Uniunii sau în legislația unui stat membru, în conformitate cu articolul 21;

(da)  datele sunt prelucrate în cadrul profesiei, sau sunt încredințate sau devin cunoscute unei persoane supuse obligației secretului profesional reglementat de legislația Uniunii sau de dreptul statului membru sau unei obligații legale de a păstra secretul, în cazul în care datele nu sunt colectate direct de la persoana vizată.

(6)  În cazul menționat la alineatul (5) litera (b), operatorul prevede măsuri corespunzătoare pentru protejarea drepturilor sau intereselor legitime ale persoanei vizate.

(7)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor privind categoriile de destinatari menționate la alineatul (1) litera (f), a cerințelor privind notificarea posibilității de acces menționate la alineatul (1) litera (g), a criteriilor privind informațiile suplimentare necesare menționate la alineatul (1) litera (h) pentru sectoare și situații specifice, precum și a condițiilor și a garanțiilor corespunzătoare pentru derogările prevăzute la alineatul (5) litera (b). În acest sens, Comisia ia în considerare măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(8)  Comisia poate stabili formulare tip pentru transmiterea informațiilor menționate la alineatele (1) - (3), ținând seama, dacă este cazul, de particularitățile și nevoile specifice ale diverselor sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 110]

Articolul 15

Dreptul de acces și de obținere de date al persoanei vizate

(1)  Sub rezerva articolului 12 alineatul (4), persoana vizată are dreptul de a obține din partea operatorului, într-un limbaj clar și simplu, în orice moment, la cerere, confirmarea faptului că datele sale cu caracter personal sunt sau nu prelucrate. În cazul în care aceste date cu caracter personal sunt prelucrate, operatorul furnizează următoarele informații:

(a)  scopurile prelucrării pentru fiecare categorie de date cu caracter personal;

(b)  categoriile de date cu caracter personal vizate;

(c)  destinatarii sau categoriile de destinatari cărora datele cu caracter personal urmează să le fie divulgate sau le-au fost divulgate, în special dacă inclusiv destinatarii sunt din țări terțe;

(d)  perioada în care vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e)  existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării acestor date;

(f)  dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere;

(g)  comunicarea datelor cu caracter personal care sunt în curs de prelucrare și a oricărei informații disponibile cu privire la originea datelor;

(h)  importanța și consecințele preconizate ale prelucrării, cel puțin în cazul măsurilor menționate la articolul 20.;

(ha)  informații pertinente despre logica care stă la baza oricărei operațiuni de prelucrare automatizată;

(hb)  fără a aduce atingere articolului 21, în cazul divulgării datelor cu caracter personal unei autorități publice ca urmare a unei cereri din partea unei autorități publice, confirmarea faptului că această cerere a fost făcută.

(2)  Persoana vizată are dreptul de a obține din partea operatorului comunicarea datelor cu caracter personal care sunt în curs de prelucrare. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic structurat, cu excepția cazului în care persoana vizată solicită un alt format. Fără a aduce atingere articolului 10, operatorul ia toate măsurile necesare pentru a verifica dacă persoana care solicită accesul la date este persoana vizată.

(2a)  În cazul în care persoana vizată a furnizat date cu caracter personal, iar datele cu caracter personal sunt prelucrate electronic, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor cu caracter personal furnizate într-un format electronic interoperabil care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date, fără a fi împiedicată de operatorul de la care sunt retrase datele cu caracter personal. Atunci când este acest lucru este fezabil din punct de vedere tehnic și fizic posibil, datele se transferă direct de la operator la operator, la cererea persoanei vizate.

(2b)  Prezentul articol nu aduce atingere obligației de a șterge datele atunci când acestea nu mai sunt necesare, conform articolului 5 alineatul (1) litera (e).

(2c)  În temeiul alineatelor (1) și (2), nu există drept de acces atunci când sunt vizate date în sensul articolului 14 alineatul (5) litera (da), cu excepția cazului în care persoana vizată este abilitată să înlăture confidențialitatea în cauză și acționează în consecință.

(3)  Comisia este abilitată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind comunicarea către persoana vizată a conținutului datelor cu caracter personal menționate la alineatul (1) litera (g).

(4)  Comisia poate specifica formele și procedurile standard pentru solicitarea și acordarea accesului la informațiile menționate la alineatul (1), inclusiv pentru verificarea identității persoanei vizate și comunicarea datelor cu caracter personal către persoana vizată, ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 111]

SECȚIUNEA 3

RECTIFICARE ȘI ȘTERGERE

Articolul 16

Dreptul la rectificare

Persoana vizată are dreptul de a obține de la operator rectificarea datelor sale cu caracter personal care sunt inexacte. Persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații corective suplimentare.

Articolul 17

Dreptul lauitat și de a fi ștergere

(1)  Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc și încetarea difuzării acestor date, în special în ceea ce privește datele cu caracter personal care sunt puse la dispoziție de către persoana vizată atunci când era minor și de a obține din partea terților ștergerea oricăror legături către acestea sau copierea sau replicarea lor, în cazul în care se aplică unul dintre următoarele motive:

(a)  datele nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b)  persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea în conformitate cu articolul 6 alineatul (1) litera (a) sau în cazul în care perioada de stocare a datelor a expirat și nu există niciun alt temei legal pentru prelucrarea datelor;

(c)  persoana vizată se opune prelucrării datelor cu caracter personal în temeiul articolului 19;

(ca)  o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie șterse;

(d)  prelucrarea datelor nu este conformă cu prezentul regulament din alte motive datele au fost prelucrate ilegal.

1a.  Aplicarea alineatului (1) depinde de capacitatea operatorului de date de a verifica dacă persoana care a solicitat ștergerea este persoana vizată.

(2)  În cazul în care operatorul menționat la alineatul (1) a făcut publice datele cu caracter personal fără o justificare în temeiul articolului 6 alineatul (1), acesta ia toate măsurile rezonabile pentru ca datele să fie șterse, inclusiv măsuri tehnice, în ceea ce privește datele de a căror publicare este responsabil, pentru a informa terții care prelucrează astfel de date că persoana vizată le solicită să șteargă toate linkurile către datele cu caracter personal și orice copie sau reproducere a acestora. În cazul în care operatorul a autorizat un terț să publice date cu caracter personal, se consideră că operatorul este responsabil de publicarea datelor respective de terți, fără a aduce atingere articolului 77. Operatorul informează persoana în cauză, dacă este posibil, cu privire la acțiunile întreprinse de părțile terțe relevante.

(3)  Operatorul și, după caz, terțul, efectuează ștergerea fără întârziere, cu excepția cazului în care păstrarea datelor cu caracter personal este necesară:

(a)  pentru exercitarea dreptului la liberă exprimare, în conformitate cu articolul 80;

(b)  din motive de interes public în domeniul sănătății publice, în conformitate cu articolul 81;

(c)  în scopuri istorice, statistice și științifice, în conformitate cu articolul 83;

(d)  pentru respectarea obligației legale de a păstra datele cu caracter personal prevăzută în legislația Uniunii sau a statului membru aplicabilă operatorului; legislațiile statelor membre trebuie să răspundă unui obiectiv de interes public, să respecte esența dreptului dreptul la protecția datelor cu caracter personal și să fie proporționale cu obiectivul legitim urmărit;

(e)  în cazurile prevăzute la alineatul (4).

(4)  În loc să le șteargă, operatorul limitează prelucrarea datelor cu caracter personal în așa fel încât datele să nu mai poată face obiectul accesului obișnuit și al operațiunilor de prelucrare și să nu mai poată fi modificate, în cazul în care:

(a)  persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor;

(b)  operatorul nu mai are nevoie de datele cu caracter personal pentru a-și îndeplini atribuțiile, dar acestea trebuie să fie păstrate ca dovadă;

(c)  prelucrarea acestora este ilegală, iar persoana vizată se opune ștergerii datelor, solicitând, în schimb, restricționarea utilizării lor;

(ca)  o instanță sau o autoritate de reglementare din Uniune a pronunțat o hotărâre definitivă și executorie potrivit căreia datele în cauză trebuie restricționate;

(d)  persoana vizată solicită transferul datelor cu caracter personal în alt sistem de prelucrare automată a datelor, în conformitate cu articolul 18 15 paragraful 2 2a;

(da)  tipul specific de stocare nu permite ștergerea și a fost instalat înainte de intrarea în vigoare a prezentului regulament.

(5)  Datele cu caracter personal menționate la alineatul (4) pot fi prelucrate, cu excepția stocării, doar în scop probatoriu, fie cu consimțământul persoanei vizate, fie pentru protejarea drepturilor altor persoane fizice ori juridice fie pentru un obiectiv de interes public.

(6)  În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (4), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare.

(7)  Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor.

(8)  În cazul în care se efectuează ștergerea, operatorul nu prelucrează în niciun alt fel datele personale.

(8a)  Operatorul pune în aplicare mecanisme pentru a asigura respectarea termenelor stabilite pentru ștergerea datelor cu caracter personal și/sau pentru o revizuire periodică a necesității de stocare a datelor.

(9)  Comisia este mandatată să adopte, după solicitarea unui aviz al Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 86 în scopul de a detalia:

(a)  criteriile și cerințele privind aplicarea alineatului (1) în anumite sectoare și în anumite situații de prelucrare a datelor;

(b)  condițiile de ștergere a linkurilor către datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunicații accesibile publicului, astfel cum se menționează la alineatul (2);

(c)  criteriile și condițiile de restricționare a prelucrării datelor cu caracter personal prevăzute la alineatul (4). [AM 112]

Articolul 18

Dreptul la portabilitatea datelor

(1)  În cazul în care datele cu caracter personal sunt prelucrate electronic într-un format structurat care este utilizat în mod curent, persoana vizată are dreptul să obțină, din partea operatorului, o copie a datelor care fac obiectul prelucrării electronice într-un format electronic structurat care este utilizat în mod curent și care permite persoanei vizate să utilizeze ulterior aceste date.

(2)  În cazul în care persoana vizată a furnizat datele cu caracter personal și prelucrarea se bazează pe consimțământul acesteia sau pe un contract, persoana vizată are dreptul de a transmite aceste date cu caracter personal, precum și orice altă informație furnizată de persoana vizată și păstrată de un sistem automatizat de prelucrare, într-un alt sistem, într-un format electronic care este utilizat în mod curent, fără ca operatorul de la care sunt retrase datele cu caracter personal să poată împiedica acest lucru.

(3)  Comisia poate specifica formatul electronic prevăzut la alineatul (1), precum și normele tehnice, modalitățile și procedurile de transmitere a datelor cu caracter personal în conformitate cu alineatul (2). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 113]

SECȚIUNEA 4

DREPTUL LA OPOZIȚIE ȘI CREAREA DE PROFILURI

Articolul 19

Dreptul la opoziție

(1)  În orice moment, persoana vizată are dreptul de a se opune, pe motive legate de situația specială în care se află, prelucrării datelor cu caracter personal pe care se bazează pe articolul 6 alineatul (1) literele (d), și (e) și (f), cu excepția cazului în care operatorul demonstrează că motivele legitime și imperioase care justifică prelucrarea primează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

(2)  Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct se bazează pe articolul 6 alineatul (1) litera (f), persoana vizată are dreptul, în orice moment și fără o justificare suplimentară, de a se opune gratuit în general sau într-un scop specific prelucrării datelor sale cu caracter personal în acest scop. Acest drept este explicit oferit persoanei vizate, într-un mod inteligibil, care să se poată distinge în mod clar de alte informații.

(2a)  Acest drept menționat la alineatul (2) este explicit oferit persoanei vizate, într-un mod și într-o formă inteligibile, utilizând un limbaj clar și simplu, în special pentru orice informație adresată în mod expres unui minor, care să se poată distinge în mod clar de alte informații.

(2b)  În contextual utilizării serviciilor societății informaționale și fără a aduce atingere Directivei 2002/58/CE, dreptul la opoziție poate fi exercitat prin mijloace automate, folosind standarde tehnice care permit persoanei vizate să își exprime în mod clar dorințele.

(3)  n cazul în care există o opoziție în conformitate cu alineatele (1) și (2), operatorul nu mai utilizează sau nu mai prelucrează respectivele datele cu caracter personal în scopurile stabilite în opoziție. [AM 114]

Articolul 20

Măsuri bazate peCrearea de profiluri

(1)  Fără a aduce atingere dispozițiilor articolului 6, orice persoană fizică are dreptul de a nu fi supusă unei măsuri care produce efecte juridice privind această persoană fizică sau care o afectează în mod semnificativ și care se bazează exclusiv pe prelucrarea automată menită să evalueze anumite aspecte personale privind această persoană fizică sau să analizeze ori să prevadă, în special, performanțele persoanei fizice la locul de muncă, situația sa economică, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acestuia se opune creării de profiluri, în conformitate cu articolul 19. Persoana vizată este informată cu privire la dreptul de a se opune creării de profiluri într-un mod foarte vizibil.

(2)  Sub rezerva celorlalte dispoziții din prezentul regulament, o persoană poate fi supusă unei creării de profiluri care duce la măsuri de acest tip, astfel cum se prevede la alineatul (1), care dau naștere unor efecte juridice privind persoana vizată sau are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate numai dacă prelucrarea datelor:

(a)  se efectuează în faza de încheiere sau deeste necesară pentru executarea unui contract, atunci când a fost acceptată cererea de încheiere sau de executare a contractului, depusă de persoana vizată sau atunci când dacă au fost invocate măsuri corespunzătoare intereselor legitime ale persoanei vizate, cum ar fi dreptul de a obține intervenție umană; sau

(b)  este autorizat în mod expres de legislația Uniunii sau a unui stat membru, care prevede, de asemenea, măsuri corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate; sau

(c)  se bazează pe consimțământul persoanei vizate, sub rezerva condițiilor prevăzute la articolul 7 și a unor garanții corespunzătoare.

(3)  Prelucrarea automată a datelor cu caracter personal menite să evalueze anumite aspecte personale referitoare la o persoană fizică Se interzice crearea de profiluri care are drept efect discriminarea împotriva persoanelor fizice pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale, a orientării sexuale sau a identității de gen sau care are drept rezultat măsuri ce au astfel de efecte. Operatorul asigură protecția eficace împotriva tuturor discriminărilor care pot decurge din crearea de profiluri. Crearea de profiluri nu se bazează exclusiv pe categoriile speciale de date cu caracter personal la care se face referire la articolul 9.

(4)  În cazurile menționate la alineatul (2), informațiile pe care operatorul trebuie să le furnizeze în temeiul articolului 14 includ informații despre existența prelucrării, pentru o măsură de tipul celei la care se face referire la alineatul (1), precum și despre efectele preconizate ale acestei prelucrări asupra persoanei vizate.

(5)  Crearea de profiluri care duce la măsuri care dau naștere unor efecte juridice privind persoana vizată sau care are un impact semnificativ asupra intereselor, drepturilor și libertăților persoanei vizate nu se bazează exclusiv ou în principal pe prelucrarea automatizată și include o apreciere umană, inclusiv explicația privind decizia luată în urma acestei aprecieri. Măsurile corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate menționate la alineatul (2) includ dreptul de a obține o apreciere umană și explicația privind decizia luată în urma acestei aprecieri.

(5a)  Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) cu scopul detalierii criteriilor și condițiilor aplicabile creării de profiluri în temeiul alineatului (2). [AM 115]

SECȚIUNEA 5

Restricții

Articolul 21

Restricții

(1)  Legislația Uniunii sau a statului membru poate restrânge printr-o măsură legislativă domeniul de aplicare a obligațiilor și a drepturilor prevăzute la articolul 5 literele (a) - (e), la articolele 11 - 20 și la articolul 32, atunci când o astfel de restricție articolele 11-19 și la articolul 32, cu condiția ca această restricție să îndeplinească un obiectiv clar definit de interes public, să respecte esența dreptului la protecția datelor cu caracter personal, să fie proporțională cu scopul legitim urmărit și să respecte drepturile fundamentale și interesele persoanei vizate și constituie o măsură necesară și proporțională într-o societate democratică pentru a:

(a)  garanta securitatea publică;

(b)  asigura prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor;

(c)  proteja alte interese publice ale Uniunii Europene sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și domeniul fiscal, precum și stabilitatea și integritatea pieței;

(d)  asigura prevenirea, investigarea, detectarea și punerea sub urmărire a încălcării eticii în cazul profesiunilor reglementate;

(e)  asigura funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de exercitarea în cadrul exercitării autorității publice competente în cazurile menționate la literele (a), (b),(c) și (d);

(f)  asigura protecția persoanei vizate sau a drepturilor și libertăților altora.

(2)  În special, orice măsură legislativă menționată la alineatul (1) conține trebuie să fie necesară și proporțională într-o societate democratică și să conțină dispoziții specifice, cel puțin în ceea ce privește obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare și stabilirea operatorului:

(a)  obiectivele care trebuie avute în vedere în cadrul procesului de prelucrare;

(b)  stabilirea operatorului;

(c)  scopurile specifice și mijloacele de prelucrare;

(d)  garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegale;

(e)  dreptul persoanelor vizate de a fi informate despre restricții.

(2a)  Măsurile legislative menționate la alineatul (1) nu permit operatorilor privați să păstreze date în plus față de cele strict necesare pentru scopul inițial și nici nu impun obligații în acest sens. [AM 116]

CAPITOLUL IV

OPERATORUL ȘI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR

SECȚIUNEA 1

OBLIGAȚII GENERALE

Articolul 22

Responsabilitatea și răspunderea operatorului

(1)  Operatorul adoptă politici corespunzătoare și pune în aplicare măsuri tehnice și organizatorice adecvate și demonstrabile pentru a garanta și a putea demonstra în mod transparent că prelucrarea datelor cu caracter personal se efectuează în conformitate cu prezentul regulament, ținând cont de cele mai noi tehnologii în materie, de natura procedurii de prelucrare a datelor cu caracter personal, de contextul, amploarea și scopurile prelucrării, de riscurile la adresa drepturilor și libertăților persoanelor vizate, precum și de tipul organizației, atât la momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise.

(1a)  Având în vedere stadiul actual al tehnicii și costurile punerii în aplicare, operatorul ia toate măsurile rezonabile pentru a aplica politici și proceduri de conformare care respectă în permanență opțiunile autonome ale persoanelor vizate. Aceste politici de conformare sunt revizuite cel puțin o dată la doi ani și actualizate ori de câte ori este necesar.

(2)  Măsurile prevăzute la alineatul (1) cuprind în special:

(a)  păstrarea documentației, în conformitate cu articolul 28;

(b)  punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 30;

(c)  efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 33;

(d)  respectarea cerințelor privind autorizarea prealabilă sau consultarea prealabilă a autorității de supraveghere, în conformitate cu articolul 34 alineatele (1) și (2);

(e)  desemnarea unui responsabil cu protecția datelor, în conformitate cu articolul 35 alineatul (1).

(3)  Operatorul pune în aplicare mecanisme pentru a asigura verificarea eficacității este în măsură să demonstreze caracterul adecvat și eficacitatea măsurilor menționate la alineatele (1) și (2). Dacă se dovedește a fi proporțională, această verificare va fi efectuată de auditori interni sau externi independenți. Toate rapoartele periodice generale ale activităților operatorului, precum rapoartele obligatorii ale societăților cotate la bursă, cuprind o descriere sintetică a politicilor și măsurilor menționate la alineatul (1).

(3a)  Operatorul are dreptul să transmită datele cu caracter personal în interiorul Uniunii în cadrul grupului de întreprinderi din care acesta face parte, atunci când această etapă a prelucrării este necesară în scopuri administrative interne și legitime între domenii de activitate conectate ale grupului de întreprinderi și atât timp cât un nivel corespunzător de protecție a datelor, precum și protecția intereselor persoanelor vizate sunt garantate de norme interne de protecție a datelor sau de coduri de conduită echivalente, astfel cum sunt menționate la articolul 38.

(4)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor măsurilor corespunzătoare menționate la alineatul (1), altele decât cele menționate la alineatul (2), condițiile pentru verificare și mecanismele de audit menționate la alineatul (3) și criteriile de proporționalitate prevăzute la alineatul (3), și în scopul de a prevedea măsuri specifice pentru microîntreprinderi și pentru întreprinderile mici și mijlocii. [AM 117]

Articolul 23

Protecția datelor începând cu momentul conceperii și protecția implicită a datelor

(1)  Având în vedere stadiul actual al tehnicii și costurile de implementare, cunoștințele tehnice actuale, cele mai bune practici interne și riscurile reprezentate de prelucrarea datelor, operatorul și persoana împuternicită de acesta, dacă există, pun în aplicare, atât în momentul stabilirii scopurilor și mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, măsuri și proceduri tehnice și organizatorice corespunzătoare și proporționale, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate, îndeosebi în ceea ce privește principiile menționate la articolul 5. Protecția datelor încă din momentul conceperii ține seama în mod deosebit de gestionarea întregului ciclu de viață al datelor cu caracter personal, de la colectare la prelucrare și la eliminare, axându-se în mod sistematic pe garanții procedurale cuprinzătoare cu privire la acuratețea, confidențialitatea, integritatea, securitatea fizică și eliminarea datelor cu caracter personal. În cazul în care operatorul a realizat o evaluare a impactului asupra protecției datelor în temeiul articolului 33, se ține seama de rezultatele acesteia în elaborarea măsurilor și procedurilor.

(1a)  Pentru stimularea unei aplicări generalizate în diferite sectoare economice, protecția datelor încă din faza de concepție reprezintă o condiție prealabilă obligatorie pentru procedurile de achiziții publice, în conformitate cu Directiva 2004/18/CE a Parlamentului European și a Consiliului(16), precum și cu Directiva 2004/17/CE a Parlamentului European și a Consiliului(17) (Directiva privind utilitățile publice).

(2)  Operatorul pune în aplicare mecanisme care garantează că, implicit, se prelucrează numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării și că aceste date colectate sau, păstrate sau diseminate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane și că persoanele vizate pot să controleze gradul de difuzare a datelor lor cu caracter personal.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente măsurilor și mecanismelor de certificare menționate la alineatele (1) și (2), în special în ceea ce privește cerințele legate de protecția datelor începând cu momentul conceperii aplicabile în cazul tuturor sectoarelor, al produselor și al serviciilor.

(4)  Comisia poate stabili standarde tehnice pentru cerințele menționate la alineatele (1) și (2). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 118]

Articolul 24

Operatori asociați

Atunci când un operator stabilește, împreună cu alți mai mulți operatori stabilesc în comun scopul și mijloacele de prelucrare a datelor cu caracter personal, operatorii asociați își îndeplinesc, în egală măsură, responsabilitățile în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește procedurile și mecanismele de exercitare a drepturilor persoanelor vizate, prin intermediul unui acord între acestea. Acordul reflectă în mod corespunzător rolurile și relațiile efective ale operatorilor asociați față de persoanele vizate, iar esența acestuia este făcută cunoscută persoanelor vizate. În cazul unor neclarități privind responsabilitățile, operatorii sunt responsabili în mod solidar. [AM 119]

Articolul 25

Reprezentanții operatorilor care nu își au sediul în Uniune

(1)  În situația menționată la articolul 3 alineatul (2), operatorul desemnează un reprezentant în Uniune.

(2)  Prezenta obligație nu se aplică:

(a)  unui operator cu sediul într-o țară terță, în cazul în care Comisia a decis că această țară terță asigură un nivel adecvat de protecție în conformitate cu articolul 41; sau

(b)  unei întreprinderi cu mai puțin de 250 de angajați; unui operator care prelucrează date cu caracter personal referitoare la un număr mai mic de 5 000 de persoane vizate pe parcursul a 12 luni consecutive și unui operator care nu prelucrează categorii speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), date de localizare sau date referitoare la minori sau angajați din sistemele de evidență a datelor de mari dimensiuni sau

(c)  unei autorități sau unui organism public; sau

(d)  unui operator care furnizează numai ocazional bunuri sau servicii persoanelor vizate care își au reședința pe teritoriul Uniunii, cu excepția cazului în care prelucrarea datelor cu caracter special privește categoriile speciale de date cu caracter special, astfel cum sunt menționate la articolul 9 alineatul (1), datele de localizare sau datele referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni.

(3)  Reprezentantul își are sediul în unul dintre statele membre în care își au reședința persoanele vizate ale căror date cu caracter personal sunt prelucrate în legătură cu se produc furnizarea de bunuri și servicii sau a căror conduită este monitorizată persoanelor vizate sau monitorizarea lor.

(4)  Desemnarea unui reprezentant de către operator nu aduce atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși. [AM 120]

Articolul 26

Persoana împuternicită de către operator

(1)  În cazul în care o operațiune de prelucrare prelucrarea se realizează în numele operatorului, operatorul alege o persoană împuternicită care oferă garanții suficiente pentru punerea în aplicare a măsurilor și a procedurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și veghează la respectarea acestor măsuri.

(2)  Modul în care o persoană împuternicită de către operator efectuează prelucrarea este reglementată printr-un contract sau printr-un alt act juridic care obligă persoana împuternicită de către operator în raport cu operatorul și care prevede, în special,. Operatorul și persoana împuternicită de către operator au libertatea de a stabili rolurile și sarcinile cu privire la cerințele prezentului regulament și se asigură că persoana împuternicită de către operator:

(a)  acționează prelucrează datele cu caracter personal numai la instrucțiunile operatorului, în special în cazul în care transferul de date cu caracter personal utilizate este interzis, cu excepția cazului în care dreptul Uniunii sau legislația statului membru prevede altfel;

(b)  angajează numai personal care s-a angajat să respecte confidențialitatea sau care sunt obligați prin lege să respecte confidențialitatea;

(c)  adoptă toate măsurile necesare în conformitate cu articolul 30;

(d)  recrutează o altă persoană împuternicită stabilește condițiile recrutării unei alte persoane împuternicite de către operator numai cu autorizarea prealabilă a operatorului, cu excepția unor dispoziții contrare;

(e)  în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, creează, în acord cu operatorul, condițiile tehnice și organizatorice necesare corespunzătoare și relevante pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III;

(f)  ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 30 și 34, ținând seama de caracterul prelucrării și informațiile aflate la dispoziția persoanei împuternicite de operator;

(g)  transmite operatorului toate rezultatele după terminarea procesului de prelucrare, nu prelucrează în niciun alt mod datele cu caracter personal și elimină copiile existente, cu excepția cazului în care dreptului Uniunii sau legislația statelor membre prevede stocarea datelor;

(h)  pune la dispoziția operatorului și a autorității de supraveghere toate informațiile necesare pentru a se controla a demonstra respectarea obligațiilor prevăzute la prezentul articol și permite inspecții la fața locului.

(3)  Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligațiilor care îi revin persoanei împuternicite de către operator menționate la alineatul (2).

(3a)  Garanțiile suficiente menționate la alineatul (1) pot fi demonstrate prin aderarea la codurile de conduită sau mecanismele de certificare în conformitate cu articolele 38 și 39 din prezentul regulament.

(4)  În cazul în care o persoană împuternicită de către operator prelucrează date cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator sau devine parte determinantă în legătură cu scopul și mijloacele de prelucrare a datelor cu caracter personal, persoana împuternicită de către operator este considerată operator pentru prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 24.

(5)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor aferente responsabilităților, drepturilor și sarcinilor unei persoane împuternicite de către operator în conformitate cu alineatul (1), precum și condițiilor care permit facilitarea procesului de prelucrare a datelor cu caracter personal în cadrul unui grup de întreprinderi, în special pentru verificare și raportare. [AM 121]

Articolul 27

Desfășurarea activității de prelucrare sub autoritatea operatorului și a persoanei împuternicite de către operator

Persoana împuternicită de către operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de către operator care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care legislația Uniunii sau a statului membru îl obligă să facă acest lucru.

Articolul 28

Documentația

(1)  Fiecare operator și persoană împuternicită de operator și, dacă este cazul, reprezentantul operatorului, păstrează documentația referitoare la toate operațiunile de prelucrare derulate sub responsabilitatea sa actualizată periodic, necesară pentru îndeplinirea cerințelor prevăzute în prezentul regulament.

(2)  Această documentație cuprinde cel puțin În plus, fiecare operator și persoană împuternicită de operator păstrează documentație referitoare la următoarele informații:

(a)  numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau ale oricărei persoane împuternicite de către operator, dacă este cazul;

(b)  numele și datele de contact ale responsabilului cu protecția datelor, dacă este cazul;

(c)  scopul prelucrării datelor, inclusiv interesele legitime urmărite de responsabilul cu prelucrarea, atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (f);

(d)  o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal care le privesc;

(e)   (c) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv operatorii numele și datele de contact ale operatorilor cărora le sunt comunicate datele cu caracter personal în interesul legitim pe care îl urmăresc , dacă există;

(f)  dacă este cazul, transferurile de date către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 44 alineatul (1) litera (h), documentația care dovedește existența unor garanții corespunzătoare;

(g)  o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

(h)  descrierea mecanismelor prevăzute la articolul 22 alineatul (3).

(3)  Operatorul și persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului, pune documentația la dispoziția autorității de supraveghere, la cererea acesteia.

(4)  Obligațiile menționate la alineatele (1) și (2) nu se aplică următoarelor categorii de operatori și persoane împuternicite de către operatori:

(a)  persoanelor fizice care prelucrează date cu caracter personal fără vreun interes comercial; sau

(b)  întreprinderilor sau organizațiilor cu mai puțin de 250 de angajați care prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale.

(5)  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor referitoare la documentația la care se face referire la alineatul (1), pentru a ține seama în special de responsabilitățile operatorului și ale persoanei împuternicite de către operator și, dacă este cazul, de responsabilitățile reprezentantului operatorului.

(6)  Comisia poate să conceapă formulare standard pentru documentele la care se face referire la alineatul (1). Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 122]

Articolul 29

Cooperarea cu autoritatea de supraveghere

(1)  Operatorul și, dacă este cazul, persoana împuternicită de către operator și, dacă este cazul, reprezentantul operatorului cooperează, la cerere, cu autoritatea de supraveghere pentru a-și îndeplini sarcinile care le revin, în special prin furnizarea informațiilor menționate la articolul 53 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la același alineat litera (b). [AM 123]

(2)  Ca urmare a exercitării, de către autoritatea de supraveghere, a competențelor prevăzute la articolul 53 alineatul (2), operatorul și persoana împuternicită de către operator răspund autorității de supraveghere într-un termen rezonabil stabilit de către autoritatea de supraveghere. Răspunsul include o descriere a măsurilor adoptate și a rezultatelor obținute, ca răspuns la observațiile autorității de supraveghere.

SECȚIUNEA 2

SECURITATEA DATELOR

Articolul 30

Securitatea prelucrării

(1)  Operatorul și persoana împuternicită de operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate care să fie în concordanță cu riscurile pe care le presupune prelucrarea și cu caracterul datelor cu caracter personal care trebuie protejate, ținând cont de rezultatele unei evaluări de impact privind protecția datelor în conformitate cu articolul 33, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.

(1a)  Având în vedere stadiul actual al tehnologiei și costurile punerii în aplicare, această politică de securitate trebuie să includă:

(a)  capacitatea de a asigura faptul că integritatea datelor cu caracter personal este validată;

(b)  capacitatea de a asigura o confidențialitate, integritate, disponibilitate și rezistență continuă a sistemelor și serviciilor de prelucrare a datelor cu caracter personal;

(c)  capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul în care un incident de natură fizică sau tehnică are un impact negativ asupra disponibilității, integrității și confidențialității sistemelor și serviciilor informatice;

(d)  în cazul prelucrării datelor sensibile cu caracter personal, în conformitate cu articolele 8 și 9, măsuri de securitate suplimentare pentru a garanta conștientizarea diferitelor situații care presupun riscuri și capacitatea de a adopta măsuri preventive, corective și de atenuare în timp aproape real pentru a răspunde vulnerabilităților și incidentelor detectate care ar putea constitui riscuri pentru securitatea datelor;

(e)  un proces pentru testarea, evaluarea și aprecierea eficacității politicilor, procedurilor și planurilor de securitate, al cărui scop este să asigure menținerea eficacității.

(2)  În urma unei evaluări a riscurilor, operatorul și persoana împuternicită de operator adoptă măsurile prevăzute la alineatul (1) pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale ori a pierderii accidentale, și pentru prevenirea oricărei forme de prelucrare ilegală, în special divulgarea, accesul sau diseminarea neautorizată ori modificarea datelor cu caracter personal. respectă cel puțin următoarele cerințe:

(a)  garantează că datele cu caracter personal pot fi accesate exclusiv de personalul autorizat și în scopuri autorizate din punct de vedere juridic;

(b)  protejează datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale sau ilegale, a pierderii sau deteriorării accidentale și a stocării, prelucrării, accesării sau divulgării neautorizate sau ilegale; precum și

(c)  asigură punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) referitoare la măsurile tehnice și organizatorice prevăzute la alineatele (1) și (2), stabilind inclusiv care este stadiul actual al tehnologiei pentru anumite sectoare și în anumite situații de prelucrare a datelor, ținând seama în special de evoluția tehnologiei și a soluțiilor de proiectare pentru protecția datelor începând cu momentul conceperii și cel al protecției implicite a datelor, cu excepția cazului în care se aplică alineatul (4).

(4)  Comisia poate adopta, dacă este cazul, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special pentru a:

(a)  preveni accesul neautorizat la date cu caracter personal;

(b)  preveni orice act neautorizat de divulgare, citire, copiere, modificare, ștergere sau eliminare a datelor cu caracter personal;

(c)  asigura verificarea legalității operațiunilor de prelucrare.

Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 124]

Articolul 31

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

(1)  În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Notificarea autorității de supraveghere trebuie să fie însoțită de o explicație motivată în cazul în care aceasta nu are loc în termen de 24 de ore.

(2)  În conformitate cu articolul 26 alineatul (2) litera (f), persoana împuternicită de către operator îl previne și îl informează pe operator imediat fără întârzieri nejustificate după ce s-a constatat încălcarea securității datelor cu caracter personal.

(3)  Notificarea menționată la alineatul (1) trebuie cel puțin:

(a)  să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză și categoriile și numărul de înregistrări de date în cauză;

(b)  să comunice identitatea și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;

(c)  să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal;

(d)  să descrie consecințele încălcării securității datelor cu caracter personal;

(e)  să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și a limita efectele acesteia.

Dacă este necesar, informațiile pot fi furnizate treptat.

(4)  Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită să fie suficientă pentru a permite autorității de supraveghere să verifice conformitatea cu prezentul articol și cu articolul 30. Documentația respectivă include numai informațiile necesare în acest scop.

(4a)  Autoritatea de supraveghere ține un registru public al tipurilor de încălcare notificate.

(5)  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul de a indica mai detaliat criteriile și cerințele necesare Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) pentru stabilirea încălcării și stabilirii întârzierilor nejustificate menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal.

(6)  Comisia poate stabili un format standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentației la care se face referire la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în această documentație. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 125]

Articolul 32

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1)  Atunci când încălcarea securității datelor cu caracter personal pune în pericol protecția datelor cu caracter personal, a vieții private a persoanei vizate, a drepturilor sau intereselor sale legitime, operatorul, după notificarea prevăzută la articolul 31, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal.

(2)  Informarea persoanei vizate prevăzută la alineatul (1) cuprinde o descriere a caracterului este detaliată și utilizează un limbaj clar și explicit. Ea descrie caracterul încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 31 alineatul (3) literele (b) și, (c) și (d) și informațiile despre drepturile persoanei vizate, inclusiv căile de atac.

(3)  Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal a persoanei vizate nu este necesară în cazul în care operatorul demonstrează, într-un mod satisfăcător, autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.

(4)  Fără a aduce atingere obligației operatorului de a comunica persoanei vizate încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a comunicat încă persoanei vizate că securitatea datelor sale cu caracter personal a fost încălcată, autoritatea de supraveghere poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.

(5)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor Comitetului european pentru protecția datelor i se încredințează sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 66 alineatul (1) litera (b) privind circumstanțele în care o încălcare a securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal, vieții private, drepturilor și intereselor legitime ale persoanei vizate menționate la alineatul (1).

(6)  Comisia poate stabili forma în care persoana vizată este informată conform alineatului (1) și procedurile aplicabile respectivei informări. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 126]

Articolul 32a

Analiza riscurilor

(1)  Operatorul sau, după caz, persoana împuternicită de către operator efectuează o analiză a riscurilor privind impactul potențial al prelucrării de date planificate asupra drepturilor și libertăților persoanelor vizate, prin care evaluează dacă operațiunile sale de prelucrare pot prezenta riscuri specifice.

(2)  Următoarele operațiuni de prelucrare pot prezenta astfel de riscuri specifice:

(a)  prelucrarea de date cu caracter personal referitoare la un număr mai mare de 5 000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive;

(b)  prelucrarea unor categorii speciale de date, astfel cum sunt menționate la articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni;

(c)  elaborarea unui profil pentru măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă;

(d)  prelucrarea informațiilor cu caracter personal pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind bolile mentale sau infecțioase, atunci când datele sunt prelucrate în scopul luării de măsuri sau decizii care vizează anumite persoane pe scară largă;

(e)  monitorizarea automată pe scară largă a zonelor accesibile publicului;

(f)  alte operațiuni de prelucrare a datelor pentru care este necesară consultarea responsabilului cu protecția datelor sau a autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b);

(g)  atunci când o încălcare poate pune în pericol protecția datelor cu caracter personal, a vieții private, a drepturilor și intereselor legitime ale persoanelor vizate;

(h)  activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura, domeniul de aplicare și/sau scopurile lor, necesită monitorizarea periodică și sistematică a persoanelor vizate;

(i)  atunci când datele cu caracter personal sunt accesibile unui număr de persoane care nu poate fi în mod rezonabil estimat că este limitat.

(3)  Potrivit rezultatelor analizei riscurilor:

(a)  atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a) sau (b), operatorii care nu sunt stabiliți în Uniune desemnează un reprezentant în Uniune, în conformitate cu cerințele și derogările prevăzute la articolul 25;

(b)  atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b) sau (h), operatorul desemnează un responsabil cu protecția datelor, în conformitate cu cerințele și derogările prevăzute la articolul 35;

(c)  atunci când există o operațiune de prelucrare menționată la alineatul (2) literele (a), (b), (c), (d), (e), (f), (g) sau (h), operatorul sau persoana împuternicită de către operator care acționează în numele operatorului efectuează o evaluare a impactului asupra protecției datelor, în conformitate cu articolul 33;

(d)  atunci când există operațiuni de prelucrare menționate la alineatul (2) litera (f), operatorul îl consultă pe responsabilul cu protecția datelor sau, în cazul în care nu a fost numit un responsabil cu protecția datelor, autoritatea de supraveghere, în conformitate cu articolul 34.

(4)  Analiza riscurilor se revizuiește cel târziu după un an sau imediat, în cazul în care natura, domeniul de aplicare sau scopul operațiunilor de prelucrare a datelor se modifică în mod semnificativ. Atunci când, în conformitate cu alineatul (3) litera (c), operatorul nu este obligat să efectueze o evaluare a impactului asupra protecției datelor, se păstrează documentele referitoare la analiza riscurilor. [AM 127]

SECȚIUNEA 3

EVALUAREA IMPACTULUI PRIVIND PROTECȚIA GESTIONAREA PROTECȚIEI DATELOR AUTORIZAȚIA PREALABILĂ PE DURATA CICLULUI DE VIAȚĂ [AM 128]

Articolul 33

Evaluarea impactului privind protecția datelor

(1)  Atunci când operațiunile de prelucrare prezintă riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor este necesar în temeiul articolului 32a alineatul (3) litera (c), operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, trebuie să efectueze o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției drepturilor și libertăților persoanelor vizate, în special asupra dreptului lor la protecție a datelor cu caracter personal. O evaluare unică este suficientă pentru abordarea unui set de operațiuni de prelucrare similare care prezintă riscuri similare.

(2)  Următoarele operațiuni de prelucrare prezintă în special riscurile specifice la care se face referire la alineatul (1):

(a)  o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la o persoană fizică sau care vizează analizarea ori întocmirea de previziuni în special în ceea ce privește situația economică a persoanei fizice, locul în care se află, sănătatea, preferințele personale, încrederea de care se bucură sau comportamentul acesteia, care se bazează pe prelucrarea automată și pe care se bazează măsurile care produc efecte juridice sau care afectează în mod semnificativ persoana respectivă;

(b)  prelucrarea informațiilor privind viața sexuală, sănătatea, rasa și originea etnică sau informații necesare pentru furnizarea de asistență medicală, studii epidemiologice sau studii privind boli mentale sau infecțioase prelucrarea datelor pentru adoptarea de măsuri sau decizii care vizează anumite persoane pe scară largă;

(c)  monitorizarea zonelor accesibile publicului, mai ales în cazul utilizării pe scară largă a dispozitivelor optoelectronice (supravegherea video);

(d)  procesarea datelor cu caracter personal în sistemele de evidență a datelor de mari dimensiuni privind minorii sau procesarea datelor biometrice sau genetice;

(e)  alte operațiuni de prelucrare de date pentru care este necesară consultarea autorității de supraveghere în conformitate cu articolul 34 alineatul (2) litera (b).

(3)  Evaluarea trebuie să cuprindă are în vedere gestionarea întregului ciclu de viață al datelor cu caracter personal, de la culegere la prelucrare și eliminare. Ea cuprinde cel puțin;

(a)  o descriere generală sistematică a operațiunilor de prelucrare avute în vedere, o evaluare a riscurilor privind drepturile și libertățile persoanelor vizate, măsurile preconizate în vederea evitării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile, scopurile prelucrării și, după caz, interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate. urmărite de operator;

(b)  o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;

(c)  o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate, inclusiv riscul de discriminare care poate fi implicat sau sporit de operație;

(d)  o descriere a măsurilor avute în vedere pentru evitarea riscurilor și reducerea la minimum a cantității de date cu caracter personal care sunt prelucrate;

(e)  o listă a garanțiilor, măsurilor de securitate și mecanismelor menite să asigure protecția datelor cu caracter personal, cum ar fi pseudonimizarea, și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate;

(f)  o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

(g)  o explicație referitoare la practicile de protecție a datelor de la momentul conceperii și de protecție implicită a datelor în temeiul articolului 23 care au fost puse în aplicare;

(h)  o listă a destinatarilor sau categoriile de destinatari ai datelor cu caracter personal;

(i)  dacă este cazul, o listă a transferurilor de date avute în vedere către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective ;

(j)  o evaluare a contextului prelucrării datelor.

(3a)  în cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta ar trebui să participe la procedurile de evaluare a impactului.

(3b)  Se păstrează documente referitoare la evaluare și se stabilește un calendar pentru analize periodice ale conformității privind protecția datelor în temeiul articolului 33a alineatul (1). Evaluarea este actualizată fără întârziere în cazul în care rezultatele analizei conformității privind protecția datelor menționate la articolul 33a indică probleme în ceea ce privește conformitatea. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun evaluarea la dispoziția autorității de supraveghere, la cererea acesteia.

(4)  Operatorul solicită avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor comerciale sau publice ori securității operațiunilor de prelucrare.

(5)  Atunci când operatorul este o autoritate sau un organism public și prelucrarea rezultă dintr-o obligație juridică în temeiul articolului 6 alineatul (1) litera (c), care prevede normele și procedurile referitoare la operațiunile de prelucrare și reglementate de legislația Uniunii, alineatele (1) - (4) nu se aplică, cu excepția cazului în care statele membre consideră că este necesară efectuarea unei astfel de evaluări înaintea desfășurării activităților de prelucrare.

(6)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind operațiunile de prelucrare care pot prezenta riscurile specifice menționate la alineatele (1) și (2), precum și cerințelor pentru evaluare la care se face referire la alineatul (3), inclusiv condițiile de scalabilitate, de verificare și posibilitatea auditării. În acest sens, Comisia ia în considerare măsuri specifice pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(7)  Comisia poate să prevadă standarde și proceduri de realizare, verificare și auditare a evaluării menționate la alineatul (3). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 129]

Articolul 33a

Analiza conformității privind protecția datelor

(1)  În termen de cel mult doi ani de la realizarea unei evaluări a impactului în temeiul articolului 33 alineatul (1), operatorul sau persoana împuternicită de acesta, care acționează în numele operatorului, realizează o analiză a conformității. Această analiză a conformității demonstrează faptul că prelucrarea datelor cu caracter personal are loc în conformitate cu evaluarea impactului privind protecția datelor.

(2)  Analiza conformității se realizează periodic, cel puțin din doi în doi ani, sau imediat în cazul în care are loc o modificare a riscurilor specifice pe care le implică operațiunile de prelucrare.

(3)  În cazul în care rezultatele analizei conformității indică probleme privind conformitatea, analiza conformității conține recomandări cu privire la modalitățile prin care se poate atinge conformitatea deplină.

(4)  Se păstrează documentele referitoare la analiza conformității și recomandările pe care le conține. Operatorul și persoana împuternicită de acesta și, dacă este cazul, reprezentantul operatorului, pun analiza conformității la dispoziția autorității de supraveghere, la cererea acesteia.

(5)  În cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta participă la procedurile de revizuire a conformității. [AM 130]

Articolul 34

Autorizarea prealabilă și consultarea prealabilă

(1)  Operatorul sau persoana împuternicită de către operator, după caz, obține o autorizație din partea autorității de supraveghere înainte de prelucrarea datelor cu caracter personal, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care un operator sau o persoană împuternicită de către operator adoptă clauzele contractuale prevăzute la articolul 42 alineatul (2) litera (d) sau nu oferă garanții corespunzătoare printr-un instrument obligatoriu din punct de vedere juridic, astfel cum se menționează la articolul 42 alineatul (5) în ceea ce privește transferul de date cu caracter personal către o țară terță sau o organizație internațională.

(2)   (1) Operatorul sau persoana împuternicită de către operator, care acționează în numele operatorului, consultă responsabilul cu protecția datelor sau, în cazul în care acesta nu a fost numit, autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal în scopul de a garanta conformitatea prelucrării prevăzute cu prezentul regulament și, în special, pentru a atenua riscurile la care sunt expuse persoanele vizate, atunci când:

(a)  o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 33, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare sau scopurile lor, un grad înalt de riscuri specifice; sau

(b)  responsabilul cu protecția datelor sau autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare și/sau scopurile lor, în conformitate cu alineatul (4).

(3)   Atunci când considerăstabilește în conformitate cu competențele sale că prelucrarea prevăzută nu este conformă cu prezentul regulament, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(4)  Autoritatea de supraveghere întocmește și publică o listă de operațiuni de prelucrare care sunt supuse consultării prealabile în conformitate cu alineatul (2) litera (b). Autoritatea de supraveghere comunică aceste liste Comitetului european pentru protecția datelor.

(5)  În cazul în care lista prevăzută la alineatul (4) cuprinde activități de prelucrare care presupun furnizarea de bunuri și prestarea de servicii către persoane vizate din mai multe state membre sau la monitorizarea comportamentului lor ori pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57 înainte de adoptarea listei.

(6)  Operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere, la cerere, evaluarea impactului privind protecția datelor prevăzută la în conformitate cu articolul 33 și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și, în special, a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente.

(7)  Statele membre consultă autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptate de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezentul regulament și în special pentru a atenua riscurile la care sunt expuse persoanele vizate.

(8)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și a cerințelor privind stabilirea gradului înalt de risc specific prevăzut la alineatul 2 litera (a).

(9)  Comisia poate elabora formulare și proceduri standard pentru autorizațiile și consultările prealabile menționate la alineatele (1) și (2), precum și formulare și proceduri standard de informare a autorităților de supraveghere, în conformitate cu alineatul (6). Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 131]

SECȚIUNEA 4

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 35

Desemnarea responsabilului cu protecția datelor

(1)  Operatorul și persoana împuternicită de către operator desemnează un responsabil cu protecția datelor atunci când:

(a)  prelucrarea este efectuată de o autoritate sau de un organism public; sau

(b)  prelucrarea este efectuată de o întreprindere cu 250 de angajați sau mai mult persoană juridică și implică peste 5000 de persoane vizate pe parcursul oricărei perioade de 12 luni consecutive; sau

(c)  activitățile principale ale operatorului sau ale persoanei împuternicite de către operator constau în operațiuni de prelucrare care, prin natura lor, domeniul de aplicare și/sau scopul lor, necesită monitorizarea periodică și sistematică a persoanelor vizate. sau

(d)  activitățile de bază ale operatorului sau ale persoanei împuternicite de către operator constau în prelucrarea categoriilor speciale de date în conformitate cu articolul 9 alineatul (1), a datelor de localizare, a datelor referitoare la minori sau angajați, din sistemele de evidență a datelor de mari dimensiuni.

(2)  În cazul menționat la alineatul (1) litera (b),Un grup de întreprinderi poate numi un responsabil principal cu protecția datelor, cu condiția să se garantează că un responsabil cu protecția datelor este ușor accesibil din fiecare întreprindere.

(3)  În cazul în care operatorul sau persoana împuternicită de către operator este o autoritate sau un organism public, responsabilul cu protecția datelor poate fi desemnat pentru mai multe dintre entitățile sale, luând în considerare structura organizatorică a autorității sau a organismului public.

(4)  În alte cazuri decât cele menționate la alineatul (1), operatorul, persoana împuternicită de către operator, asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori pot desemna un responsabil cu protecția datelor.

(5)  Operatorul sau persoana împuternicită de către operator desemnează responsabilul cu protecția datelor în baza calităților profesionale și, în special, a cunoștințelor de specialitate în materie de legislație și practici privind protecția datelor și a capacității de a îndeplini sarcinile menționate la articolul 37. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator.

(6)  Operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese.

(7)  Operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor pentru o perioadă de cel puțin patru ani în cazul unui angajat sau doi ani în cazul unui contractant extern de servicii. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale.

(8)  Responsabilul cu protecția datelor poate fi un angajat al operatorului sau al persoanei împuternicite de către operator ori poate să își îndeplinească atribuțiile în baza unui contract de servicii.

(9)  Operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului numele și datele de contact ale responsabilului cu protecția datelor.

(10)  Persoanele vizate au dreptul de a contacta responsabilul cu protecția datelor cu privire la toate problemele legate de prelucrarea datelor persoanelor vizate și de a solicita exercitarea drepturilor în temeiul prezentului regulament.

(11)  Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 cu scopul de a specifica în detaliu criteriile și cerințele pentru activitățile principale ale operatorului sau ale persoanei împuternicite de către operator prevăzute la alineatul (1) litera (c), precum și criteriile privind calitățile profesionale ale responsabilului cu protecția datelor prevăzute la alineatul (5). [AM 132]

Articolul 36

Funcția responsabilului cu protecția datelor

(1)  Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)  Operatorul sau persoană împuternicită de către operator se asigură că responsabilul cu protecția datelor își exercită îndatoririle și atribuțiile în mod independent și că nu primește instrucțiuni în privința exercitării funcției. Responsabilul cu protecția datelor răspunde direct în fața conducerii executive a operatorului sau a persoanei împuternicite de către operator. Operatorul sau persoană împuternicită de către operator desemnează în acest scop un membru al conducerii executive care este responsabil de conformitatea cu dispozițiile prezentului regulament.

(3)  Operatorul sau persoana împuternicită de către operator sprijină pe responsabilul cu protecția datelor în îndeplinirea sarcinilor sale și pune la dispoziție toate resursele, inclusiv personalul, incinta, echipamentele și orice alte resurse necesare pentru îndeplinirea funcțiilor și atribuțiilor prevăzute la articolul 37 și pentru menținerea competențelor sale profesionale.

(4)  Responsabilii cu protecția datelor au obligația de a respecta secretul privind identitatea persoanelor vizate și circumstanțele ce permit identificarea acestora, cu excepția cazului în care persoanele vizate îi eliberează de această obligație. [AM 133]

Articolul 37

Sarcinile responsabilului cu protecția datelor

(1)Operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

(a)  sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în temeiul prezentului regulament, mai ales în ceea ce privește măsurile și procedurile tehnice și organizatorice, păstrarea unei evidențe a acestei activități și a răspunsurilor primite;

(b)  monitorizarea aplicării politicilor operatorului sau ale persoanei împuternicite de către operator în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;

(c)  monitorizarea aplicării prezentului regulament, în special în ceea ce privește cerințele legate de protecția datelor de la momentul conceperii, de protecția implicită a datelor, de securitatea datelor, de informațiile persoanelor vizate și de cererile acestora în exercitarea drepturilor lor în temeiul prezentului regulament;

(d)  asigurarea menținerii unei documentații actualizate, prevăzute la articolul 28;

(e)  monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a prevederilor legate de datele cu caracter personal, în temeiul articolelor 31 și 32;

(f)  monitorizarea efectuării de către operator sau de persoana împuternicită de către operator a evaluării impactului și a introducerii cererilor de autorizare sau de consultare prealabilă, dacă este cazul, în conformitate cu articolele 32a, 33 și 34;

(g)  monitorizarea răspunsului la cererile adresate de autoritatea de supraveghere, și, în limitele competenței responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din propria inițiativă a responsabilului cu protecția datelor;

(h)  asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, consultarea autorității de supraveghere, din proprie inițiativă;

(i)  verificarea respectării conformității cu prezentul regulament în cadrul mecanismului de consultare prealabilă prevăzut la articolul 34;

(j)  informarea reprezentanților lucrătorilor cu privire la prelucrarea datelor acestora din urmă.

(2)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor privind sarcinile, certificarea, statutul, competențele și resursele responsabilului cu protecția datelor la care se face referire la alineatul (1). [AM 134]

SECȚIUNEA 5

CODURI DE CONDUITĂ ȘI CERTIFICARE

Articolul 38

Coduri de conduită

(1)  Statele membre, autoritățile de supraveghere și Comisia încurajează elaborarea de coduri de conduită sau adoptarea unor coduri de conduită elaborate de o autoritate de supraveghere, menite să contribuie la buna aplicare a prezentului regulament, ținând seama de caracteristicile specifice ale diverselor sectoare de prelucrare a datelor, în special cu privire la:

(a)  prelucrarea datelor în mod echitabil și transparent;

(aa)  respectarea drepturilor consumatorilor;

(b)  colectarea datelor;

(c)  informarea publicului și a persoanelor vizate;

(d)  cererile persoanelor vizate în exercitarea drepturilor acestora;

(e)  informarea și protejarea copiilor;

(f)  transferul datelor către țări terțe sau organizații internaționale;

(g)  mecanisme de monitorizare și de asigurare a conformității cu codul de către operatorii care aderă la cod;

(h)  proceduri extrajudiciare și alte proceduri de soluționare a litigiilor pentru soluționarea diferendelor între operatori și persoanele vizate în ceea ce privește prelucrarea datelor cu caracter personal, fără a aduce atingere drepturilor persoanelor vizate, conform articolelor 73 și 75.

(2)  Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de către operatori într-un stat membru care intenționează să elaboreze coduri de conduită sau să modifice și să extindă codurile de conduită existente le pot prezenta în vederea emiterii unui aviz din partea autorității de supraveghere din statul membru respectiv. Autoritatea de supraveghere poate emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului fără întârzieri nejustificate dacă prelucrarea în conformitate cu proiectul de cod de conduită sau a modificărilor cu modificările aduse acestuia este conformă prezentului Regulament. Autoritatea de supraveghere solicită opiniile persoanelor vizate sau ale reprezentanților lor cu privire la aceste proiecte.

(3)  Asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operator în mai multe state membre pot prezenta Comisiei proiecte de coduri de conduită, precum și modificări sau extinderi ale codurilor de conduită existente.

(4)  Comisia poate adopta este împuternicită să adopte, după solicitare avizului Comitetului european pentru protecția datelor, acte de punere în aplicare delegate în conformitate cu articolul 86 pentru a decide asupra valabilității generale în Uniune a codurilor de conduită și a modificărilor sau extinderilor la codurile de conduită existente care i-au fost prezentate în conformitate cu alineatul (3) și asupra conformității acestora cu prezentul regulament. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate.

(5)  Comisia asigură publicitatea adecvată pentru codurile asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (4). [AM 135]

Articolul 39

Certificare

(1)  Statele membre și Comisia încurajează, în special la nivel european, instituirea de mecanisme de certificare în domeniul protecției datelor și de sigilii și mărci în domeniul protecției datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecție a datelor pe care îl asigură operatorii și persoanele împuternicite de către operatori. Mecanismele de certificare din domeniul protecției datelor contribuie la buna aplicare a prezentului regulament, luând în considerare caracteristicile specifice ale diverselor sectoare și ale diferitelor operațiuni de prelucrare.

(1a)  Orice operator sau persoană împuternicită de către operator poate solicita oricărei autorități de supraveghere din Uniune, în schimbul unei taxe rezonabile care ține cont de costurile administrative, să certifice faptul că prelucrarea datelor cu personal este realizată în conformitate cu prezentul regulament, în special cu principiile stabilite la articolele 5, 23 și 30, obligațiile operatorului și ale persoanei împuternicite, precum și drepturile persoanei vizate.

(1b)  Certificarea este voluntară, accesibilă și disponibilă prin intermediul unui proces transparent, care nu generează sarcini excesive.

(1c)  Autoritățile de supraveghere și Comitetul european pentru protecția datelor cooperează în cadrul mecanismului pentru asigurarea coerenței în conformitate cu articolul 57 pentru a garanta un mecanism de certificare pentru protecția armonizată a datelor, inclusiv taxe armonizate în cadrul Uniunii.

(1d)  Pe parcursul procedurii de certificare, autoritatea de supraveghere poate solicita unor auditori externi specializați să efectueze auditarea operatorului sau a persoanei împuternicite de către operator, în numele său. Auditorii externi au personal calificat suficient, sunt imparțiali și nu prezintă conflicte de interese în ceea ce privește îndatoririle lor. Autoritățile de supraveghere revocă acreditarea dacă există motive să creadă că auditorul nu își îndeplinește corect îndatoririle. Certificarea finală este acordată de autoritatea de supraveghere.

(1e)  Autoritățile de supraveghere acordă operatorilor și persoanelor împuternicite de operatori, care conform auditurilor sunt certificați pentru prelucrarea datelor cu caracter personal în conformitate cu prezentul Regulament, marca standardizată privind protecția datelor „sigiliul european privind protecția datelor”.

(1f)  „Sigiliul european privind protecția datelor” este valabil atât timp cât operațiunile de protecție a datelor asigurate de operatorul sau de persoana împuternicită de către operator care a obținut certificarea respectă întocmai prezentul regulament.

(1g)  Fără a aduce atingere dispozițiilor de la alineatul (1f), „sigiliul european privind protecția datelor” este valabil maximum cinci ani.

(1h)  Comitetul european pentru protecția datelor creează un registru electronic public în care publicul poate vizualiza toate certificatele valabile și nule emise în statul membru în cauză.

(1i)  Comitetul european pentru protecția datelor poate certifica din proprie inițiativă că un standard tehnic de consolidare a protecție datelor este conform prezentului regulament.

(2)  După solicitarea unui aviz din partea Comitetul european pentru protecția datelor și consultarea părților interesate, în special a organizațiilor din sector și a organizațiilor neguvernamentale, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii criteriilor și cerințelor aplicabile mecanismelor de certificare din domeniul protecției datelor, menționate la alsineatul (1) alineatele (1a) – (1h), inclusiv a cerințelor pentru acreditarea auditorilor, a condițiilor de acordare și retragere, precum și a cerințelor în materie de recunoaștere în Uniune și în țările terțe. Aceste acte delegate conferă drepturi de punere în aplicare opozabile persoanelor vizate.

(3)  Comisia poate stabili standarde tehnice pentru mecanismele de certificare și pentru sigiliile și mărcile din domeniul protecției datelor, precum și mecanisme de promovare și recunoaștere a mecanismelor de certificare și a sigiliilor și mărcilor din domeniul protecției datelor. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 136]

CAPITOLUL V

TRANSFERUL DATELOR CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE

Articolul 40

Principiul general al transferurilor

Datele cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau unei organizații internaționale pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de către operator și de persoana împuternicită de către operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională.

Articolul 41

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție

(1)  Transferul se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori un sector de prelucrare din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită alte autorizări suplimentare speciale.

(2)  Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente:

(a)  statul de drept, legislația relevantă în vigoare, atât cea generală, cât și cea specifică, inclusiv cea referitoare la securitatea publică, apărare, securitatea națională și dreptul penal, precum și punerea în aplicare a dispozițiilor acesteia, normele profesionale și măsurile de securitate care sunt respectate în țara respectivă sau de respectiva organizație internațională, precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate;

(b)  existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care au responsabilitatea de a asigura respectarea normelor de protecție a datelor, inclusiv atribuții suficiente de sancționare, de a asista și de a consilia persoanele vizate în ceea ce privește exercitarea drepturilor acestora și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune; precum și

(c)  angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză, în special orice convenții sau instrumente obligatorii din punct de vedere juridic referitoare la protecția datelor cu caracter personal.

(3)  Comisia poate este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță sau un teritoriu din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). Aceste acte delegate prevăd o clauză de caducitate dacă se referă la un sector de prelucrare și sunt revocate în conformitate cu alineatul (5) de îndată ce nu mai este asigurat un nivel adecvat de protecție în conformitate cu prezentul regulament.

(4)  Actul de punere în aplicare delegat menționează aplicarea geografică teritorială și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b).

(4a)  Comisia monitorizează în permanență evoluțiile din țările terțe și organizațiile internaționale ce ar putea afecta îndeplinirea elementelor enumerate la alineatul (2) în cazul în care un act delegat a fost adoptat în temeiul alineatului (3).

(5)  Comisia poate este împuternicită să adopte acte delegate în conformitate cu articolul 86 pentru a decide că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură sau nu mai asigură un nivel de protecție adecvat în sensul alineatului (2) al prezentului articol, în special în cazurile în care legislația relevantă, atât cea generală, cât și cea specifică, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2), sau, în cazuri de extremă urgență pentru persoanele fizice în ceea ce privește dreptul la protecția datelor cu caracter personal, în conformitate cu procedura menționată la articolul 87 alineatul (3).

(6)  În cazul în care Comisia ia o decizie în temeiul alineatului (5), transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, fără a aduce atingere articolelor 42-44. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol.

(6a)  Anterior adoptării unui act delegat așa cum se menționează la alineatele (3) și (5), Comisia solicită Comitetului european pentru protecția datelor să emită un aviz privind caracterul adecvat al nivelului de protecție. În acest scop, Comisia pune la dispoziția Comitetului european pentru protecția datelor toată documentația necesară, inclusiv corespondența purtată cu autoritățile publice ale țării terțe, ale teritoriului respectiv sau ale sectorului de prelucrare din țara respectivă sau cu organizația internațională.

(7)  Comisia publică în Jurnalul Oficial al Uniunii Europene și pe site-ul său o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat.

(8)  Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE rămân în vigoare timp de cinci ani de la intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către Comisie înainte de sfârșitul acestei perioade. [AM 137]

Articolul 42

Transferurile în baza unor garanții adecvate

(1)  În cazul în care Comisia nu a luat o decizie în temeiul articolului 41 sau decide că o țară terță sau un teritoriu ori un sector de prelucrare din respectiva țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu articolul 41 alineatul (5), operatorul sau persoana împuternicită de către operator nu poate transfera date cu caracter personal într-o țară terță sau unei organizații internaționale numai dacă cu excepția cazului în care operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie.

(2)  Garanțiile corespunzătoare menționate la alineatul (1) sunt furnizate, în special, prin:

(a)  reguli corporatiste obligatorii în conformitate cu articolul 43; sau

(aa)  deținerea de către operator sau persoana împuternicită de operator a unui „sigiliu în domeniul protecției datelor” conform articolului 39 alineatul (1e) sau

(b)  clauze standard de protecție a datelor adoptate de Comisie. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2); sau

(c)  clauze standard de protecție a datelor adoptate de o autoritate de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57, în condițiile în care Comisia a declarat că sunt general valabile în conformitate cu articolul 62 alineatul (1) litera (b); sau

(d)  clauze contractuale între operator sau persoana împuternicită de către operator și destinatarul datelor, aprobate de către o autoritate de supraveghere în conformitate cu alineatul (4).

(3)  Transferul realizat în baza clauzelor standard de protecție a datelor, a „sigiliului în domeniul protecției datelor”sau a regulilor corporatiste obligatorii menționate la alineatul (2) literele (a), (aa) sau (c) nu necesită o altă autorizare suplimentară specifică.

(4)  Atunci când transferul se realizează în baza unor clauzele contractuale, astfel cum se menționează în prezentul articol la alineatul (2) litera (d), operatorul sau persoana împuternicită de către operator obține de la autoritatea de supraveghere autorizarea prealabilă pentru clauzele contractuale, în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57.

(5)  În cazul în care nu se furnizează garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie, operatorul sau persoana împuternicită de către operator obține autorizarea prealabilă pentru transfer sau seria de transferuri, sau pentru dispozițiile care vor fi incluse în acordurile administrative care constituie temeiul pentru un astfel de transfer. Autorizarea acordată de autoritatea de supraveghere este în conformitate cu articolul 34 alineatul (1). Dacă transferul are legătură cu activitățile de prelucrare care se referă la persoane vizate din alt stat membru sau din alte state membre, sau dacă afectează în mod semnificativ libera circulație a datelor cu caracter personal în cadrul Uniunii, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței prevăzut la articolul 57. Autorizațiile acordate de către autoritatea de supraveghere în temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile , până la data la timp de doi ani după intrarea în vigoare a prezentului regulament, cu excepția cazului în care sunt modificate, înlocuite sau abrogate de către respectiva autoritate de supraveghere înainte de sfârșitul acestei perioade. [AM 138]

Articolul 43

Transferurile în baza regulilor corporatiste obligatorii

(1)  În conformitate cu mecanismul pentru asigurarea coerenței prevăzut la articolul 58, autoritatea de supraveghere aprobă regulile corporatiste obligatorii, cu condiția ca acestea:

(a)  să aibă forță juridică obligatorie și să se aplice fiecărui membru al grupului de întreprinderi al operatorului sau al persoanei împuternicite de către operator și acelor subcontractanți externi care fac obiectul regulilor corporatiste obligatorii și să includă și pe salariații acestora;

(b)  să confere, în mod expres, drepturi opozabile persoanelor vizate;

(c)  să îndeplinească cerințele prevăzute la alineatul (2).

(1a)  În ceea ce privește datele de angajare, reprezentanții angajaților sunt informați cu privire la regulile corporatiste obligatorii și, în conformitate cu legislația și practicile Uniunii și ale statelor membre, sunt implicați în elaborarea acestora în conformitate cu articolul 43.

(2)  Regulile corporatiste obligatorii trebuie să precizeze cel puțin:

(a)  structura și datele de contact ale grupului de întreprinderi și membrii din componența sa și acei subcontractanți externi care intră în domeniul de aplicare al regulilor corporatiste obligatorii;

(b)  transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrării și scopurile prelucrării, categoriile de persoane vizate și identificarea țării terțe sau a țărilor terțe în cauză;

(c)  caracterul obligatoriu, atât pe plan intern, cât și extern;

(d)  principiile generale în materie de protecție a datelor, în special limitarea scopului, reducerea la minimum a cantității datelor, perioade limitate de reținere, calitatea datelor, protecția datelor încă din faza de concepție și de protecție implicită a datelor, temeiul juridic pentru prelucrarea datelor, prelucrarea datelor sensibile cu caracter personal; măsuri de asigurare a securității datelor, precum și cerințele pentru transferurile ulterioare către organizații care nu au obligații în temeiul politicilor;

(e)  drepturile persoanelor vizate și mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unei măsuri bazate pe crearea de profiluri în conformitate cu articolul 20, dreptul de a depune o plângere în fața autorității de supraveghere competente și în fața instanțelor competente ale statelor membre, în conformitate cu articolul 75, precum și dreptul de a obține despăgubiri și, după caz, compensații pentru încălcarea regulilor corporatiste obligatorii;

(f)  acceptarea de către sau de persoana împuternicită de către operator, operatorul cu sediul pe teritoriul unui stat membru, a răspunderii pentru orice încălcare a regulilor corporatiste obligatorii de către orice membru al grupului de întreprinderi care nu are sediul în Uniune; operatorul sau persoana împuternicită de către operator pot fi exonerați poate fi exonerat de răspundere, integral sau parțial, numai în condițiile în care dovedesc că membrul respectiv nu răspunde de evenimentul care a cauzat daune;

(g)  modul în care informațiile privind regulile corporatiste obligatorii, în special cu privire la dispozițiile menționate la literele (d), (e) și (f) de la prezentul alineat sunt furnizate persoanelor vizate, conform articolului 11;

(h)  sarcinile responsabilului cu protecția datelor, desemnat în conformitate cu articolul 35, inclusiv monitorizarea în cadrul grupului de întreprinderi a respectării regulilor corporatiste obligatorii, precum și monitorizarea formării și a gestionării plângerilor;

(i)  mecanismele din cadrul grupului de întreprinderi în vederea garantării conformității cu regulile corporatiste obligatorii;

(j)  mecanismele de comunicare și înregistrare a modificărilor aduse politicilor și de comunicare a acestor modificări autorității de supraveghere;

(k)  mecanismul de cooperare cu autoritatea de supraveghere menite să asigure respectarea regulilor de către oricare membru al grupului de întreprinderi, în special prin punerea la dispoziția autorității de supraveghere a rezultatelor verificărilor cu privire la măsurile menționate la punctul (i) de la prezentul alineat.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 cu scopul detalierii formatului, procedurii, criteriilor și cerințelor pentru regulile corporatiste obligatorii în sensul prezentului articol, în special în ceea ce privește criteriile pentru aprobarea lor, inclusiv transparența pentru persoanele vizate, aplicarea literelor (b), (d), (e) și (f) de la alineatul (2) la regulile corporatiste obligatorii la care au aderat persoanele împuternicite de către operator și la alte cerințe necesare pentru a garanta protecția datelor cu caracter personal ale persoanelor vizate în cauză.

(4)  Comisia poate preciza formatul și procedurile pentru schimbul de informații prin mijloace electronice între operatori, persoanele împuternicite de către operatori și autoritățile de supraveghere pentru regulile corporative cu forță juridică obligatorie în sensul prezentului articol. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare prevăzută la articolul 87 alineatul (2). [AM 139]

Articolul 43a

Transferurile sau divulgările de informații neautorizate de legislația Uniunii

(1)  Nicio sentință a unei instanțe sau a unui tribunal și nicio decizie a unei autorități administrative dintr-o țară terță potrivit căreia un operator sau o persoană împuternicită de către un operator trebuie să divulge date cu caracter personal nu va fi recunoscută și nu va fi executorie sub nicio formă, fără a aduce atingere unui tratat de asistență juridică reciprocă sau unui acord internațional în vigoare între țara terță solicitantă și Uniune sau un stat membru al acesteia.

(2)  În cazul în care o hotărâre a unei instanțe sau o decizie a unei autorități administrative a unei țări terțe impune unui operator sau persoanei împuternicite de acesta să comunice date cu caracter personal, operatorul, persoana împuternicită de acesta sau, după caz, reprezentantul operatorului notifică fără întârziere autoritatea de supraveghere cu privire la respectiva solicitare și trebuie să solicite autorizarea autorității de supraveghere anterior transferului.

(3)  Autoritatea de supraveghere evaluează conformitatea solicitării de divulgare cu prezentul regulament și, în special, dacă divulgarea este necesară și impusă de lege în conformitate cu articolul 44 alineatul (1) literele (d) și (e) și cu articolul 44 alineatul (5). În cazul în care sunt afectate persoane vizate dintr-un alt stat membru, autoritatea de supraveghere aplică mecanismul pentru asigurarea coerenței menționat la articolul 57.

(4)  Autoritatea de supraveghere informează autoritatea națională competentă cu privire la solicitare. Fără a aduce atingere dispozițiilor de la articolul 21, operatorul sau persoana împuternicită de către operator informează, de asemenea, persoanele vizate cu privire la solicitare și la autorizația acordată de autoritatea de supraveghere și, după caz, informează persoana vizată dacă datele sale cu caracter personal au fost transmise autorităților publice în cursul ultimelor 12 luni consecutive în conformitate cu articolul 14 alineatul (1) litera (ha). [AM 140]

Articolul 44

Derogări

(1)  În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 41, sau a unor garanții adecvate în conformitate cu articolul 42, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care:

(a)  persoana vizată și-a exprimat acordul cu privire la transferul propus, după ce a fost informată cu privire la riscurile acestor transferuri în lipsa unei decizii privind caracterul adecvat al nivelului de protecție și a garanțiilor corespunzătoare; sau

(b)  transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate; sau

(c)  transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică; sau

(d)  transferul este necesar din motive importante, de interes public; sau

(e)  transferul este necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță; sau

(f)  transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul; sau

(g)  transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al statului membru, are scopul de a furniza informații publicului și care poate fi consultat fie de public, în general, fie de orice persoană care poate face dovada interesului legitim, în măsura în care sunt îndeplinite condițiile cu privire la consultare prevăzute de dreptul Uniunii sau al statului membru în acel caz specific; sau

(h)  transferul este necesar în scopul intereselor legitime urmărite de operator sau de persoana împuternicită de către operator, nu poate fi considerat frecvent sau voluminos, iar operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente operațiunii de transfer de date sau seriei de operațiuni de transfer de date și în baza acestei evaluări a oferit garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal, în cazul în care acest lucru este necesar.

(2)  Transferul în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau, în cazul în care acestea vor fi destinatarii.

(3)  În cazul în care prelucrarea se realizează în baza alineatului (1) litera (h), operatorul sau persoana împuternicită de către operator trebuie să acorde atenție deosebită naturii datelor, scopului și duratei operațiunii sau operațiunilor propuse de prelucrare, situației din țara de origine, din țara terță și din țara de destinație finală și garanțiilor corespunzătoare oferite în ceea ce privește protecția datelor cu caracter personal, în cazul în care este necesar.

(4)  Literele (b) și (c) și (h) de la alineatul (1) nu se aplică în cazul activităților desfășurate de către autoritățile publice în exercitarea competențelor lor publice.

(5)  Interesul public prevăzut la alineatul (1) litera (d) trebuie să fie recunoscut în dreptul Uniunii sau în dreptul statului membru sub incidența căruia intră operatorul.

(6)  Operatorul sau persoana împuternicită de către operator consemnează evaluarea și garanțiile corespunzătoare oferite prevăzute la alineatul (1) litera (h) de la prezentul articol, în documentele prevăzute la articolul 28 și informează autoritatea de supraveghere cu privire la transfer.

(7)  Comisia este mandatată să adopte acte delegate Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu articolul 86 66 alineatul (1) litera (b) cu scopul detalierii „motivelor importante, de interes public”, în sensul alineatului (1) litera (d), precum și a criteriilor și cerințelor aplicabile garanțiilor corespunzătoare prevăzute la alineatul (1) litera (h) transferurilor de date în temeiul alineatului (1). [AM 141]

Articolul 45

Cooperarea internațională în domeniul protecției datelor cu caracter personal

(1)  În ceea ce privește țările terțe și organizațiile internaționale, Comisia și autoritățile de supraveghere iau măsurile corespunzătoare pentru:

(a)  elaborarea de mecanisme eficiente de cooperare internațională pentru a facilita asigurarea aplicării a asigura aplicarea legislației privind protecția datelor cu caracter personal; [AM 142]

(b)  acordarea de asistență internațională reciprocă în asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal, inclusiv prin notificare, transferul reclamațiilor, asistență în anchete și schimb de informații, sub rezerva unor garanții adecvate pentru protecția datelor cu caracter personal și a altor drepturi și libertăți fundamentale;

(c)  implicarea părților interesate relevante în discuțiile și activitățile care au ca scop lărgirea cooperării internaționale în vederea asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal;

(d)  promovarea schimbului, a documentației cu privire la legislația și practicile în materie de protecție a datelor cu caracter personal;

(da)  clarificarea și consultarea privind conflictele jurisdicționale cu țările terțe. [AM 143]

(2)  În sensul alineatului (1), Comisia ia măsurile necesare pentru a consolida relațiile cu țările terțe sau organizațiile internaționale, în special cu autoritățile lor de supraveghere, în cazul în care Comisia a decis că acestea asigură un nivel adecvat de protecție în sensul articolului 41 alineatul (3).

Articolul 45a

Raportul Comisiei

Comisia prezintă Parlamentului European și Consiliului la intervale regulate, cel târziu după patru ani de la data menționată la articolul 91 alineatul (1), un raport privind aplicarea articolelor 40-45. În acest sens, Comisia poate solicita informații de la statele membre și de la autoritățile de supraveghere, care sunt furnizate fără întârzieri nejustificate. Raportul se publică. [AM 144]

CAPITOLUL VI

AUTORITĂȚI DE SUPRAVEGHERE INDEPENDENTE

SECȚIUNEA 1

STATUT INDEPENDENT

Articolul 46

Autoritatea de supraveghere

(1)  Dispozițiile din fiecare stat membru prevăd că una sau mai multe autorități publice sunt responsabile de monitorizarea aplicării prezentului regulament și de contribuția la aplicarea uniformă a regulamentului în întreaga Uniune, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ale acestora și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii. În acest sens, autoritățile de supraveghere cooperează între ele și cu Comisia.

(2)  În cazul în care un stat membru instituie mai multe autorități de supraveghere, statul membru respectiv desemnează autoritatea de supraveghere care funcționează ca punct unic de contact pentru participarea efectivă a autorităților respective la Comitetul european pentru protecția datelor și instituie un mecanism de asigurare a respectării de către celelalte autorități a normelor privind mecanismul pentru asigurarea coerenței prevăzut la articolul 57.

(3)  Fiecare stat membru notifică Comisiei dispozițiile din dreptul său pe care le adoptă în temeiul prezentului capitol până cel târziu la data menționată la articolul 91 alineatul (2) și, fără întârziere, orice modificare ulterioară pe care o aduce la aceste dispoziții.

Articolul 47

Independență

(1)  Autoritatea de supraveghere beneficiază de independență și imparțialitate deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate, fără a aduce atingere dispozițiilor referitoare la cooperare și coerență, menționate la Capitolul VII din prezentul regulament. [AM 145]

(2)  În îndeplinirea îndatoririlor, membrii autorității de supraveghere nu solicită și nici nu acceptă niciun fel de instrucțiuni.

(3)  Membrii autorității de supraveghere nu întreprind acțiuni incompatibile cu îndatoririle lor, iar, pe durata mandatului, nu desfășoară activități incompatibile, remunerate sau nu.

(4)  După încheierea mandatului, membrii autorității de supraveghere trebuie să dea dovadă de integritate și discreție în ceea ce privește acceptarea unor funcții sau beneficii.

(5)  Fiecare stat membru se asigură că autoritatea de supraveghere beneficiază de resurse umane, tehnice și financiare adecvate, de sediul și infrastructura necesară pentru buna executare a sarcinilor și competențelor, inclusiv a celor care urmează să fie efectuate în contextul asistenței reciproce, al cooperării și participării la Comitetul european pentru protecția datelor.

(6)  Fiecare stat membru se asigură că autoritatea de supraveghere dispune de personal propriu, numit de șeful autorității de supraveghere și care răspunde în fața acestuia.

(7)  Statele membre se asigură că autoritatea de supraveghere face obiectul unui control financiar care nu aduce atingere independenței sale. Statele membre se asigură că autoritatea de supraveghere dispune de bugete anuale distincte. Bugetele se fac publice.

(7a)  Statele membre se asigură că autoritatea de supraveghere răspunde în fața parlamentului național în materie de control bugetar. [AM 146]

Articolul 48

Condiții generale aplicabile membrilor autorității de supraveghere

(1)  Statele membre prevăd dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți fie de parlament, fie de guvernul statului membru în cauză.

(2)  Membrii se aleg din rândul persoanelor care fac dovada independenței dincolo de orice îndoială, precum și a experienței și competențelor cerute pentru îndeplinirea îndatoririlor lor în special în domeniul protecției datelor cu caracter personal.

(3)  Funcțiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau destituirii conform dispozițiilor alineatului (5).

(4)  Un membru poate fi demis sau poate fi decăzut din dreptul la pensie sau la alte beneficii echivalente de către instanța națională competentă, în cazul în care membrul respectiv nu mai îndeplinește condițiile necesare pentru executarea funcțiilor sau este vinovat de comiterea unei abateri disciplinare grave.

(5)  În cazul expirării mandatului sau al demisiei membrului, acesta continuă să exercite îndatoririle până la numirea unui nou membru.

Articolul 49

Norme privind instituirea autorității de supraveghere

În limitele prezentului regulament, fiecare stat membru prevede, pe cale legislativă, următoarele:

(a)  instituirea și statutul autorității de supraveghere;

(b)  calificările, experiența și competențele necesare pentru exercitarea funcției de membru al autorității de supraveghere;

(c)  normele și procedurile pentru numirea membrilor autorității de supraveghere, precum și normele privind acțiunile sau ocupațiile incompatibile cu funcțiile membrilor;

(d)  durata mandatului membrilor autorității de supraveghere, care nu poate fi sub patru ani, cu excepția primului mandat după intrarea în vigoare a prezentului regulament, care poate fi pe o perioadă mai scurtă în cazul în care acest lucru este necesar pentru a proteja independența autorității de supraveghere printr-o procedură de numiri eșalonate;

(e)  posibilitatea de reînnoire a mandatului membrilor autorității de supraveghere;

(f)  regulile și condițiile comune care reglementează îndatoririle membrilor și ale personalului autorității de supraveghere;

(g)  normele și procedurile privind încetarea funcțiilor asumate de membrii autorității de supraveghere, inclusiv în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri disciplinare grave.

Articolul 50

Secretul profesional

În cursul mandatului și după încetarea mandatului și în conformitatea cu legislația și practicile naționale, membrii și personalul autorităților de supraveghere au obligația de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale, îndeplinindu-și îndatoririle în mod independent și transparent, în conformitate cu prezentul regulament. [AM 147]

SECȚIUNEA 2

ATRIBUȚII ȘI FUNCȚII

Articolul 51

Competență

(1)  Fiecare autoritate de supraveghere exercită, pe teritoriul statului membru de care aparține, are competența de a îndeplini îndatoririle și de a exercita funcțiile cu care este învestită în conformitate cu prezentul regulament, pe teritoriul propriului său stat membru, fără a aduce atingere articolelor 73 și 74. Prelucrarea datelor efectuată de o autoritate publică este supravegheată doar de autoritatea de supraveghere din statul membru respectiv. [AM 148]

(2)  Atunci când prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator, din Uniune, iar operatorul sau persoană împuternicită de către operator are unități pe teritoriul mai multor state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator are competența supravegherii activităților de prelucrare desfășurate de operator sau de persoana împuternicită de către operator în toate statele membre, fără a aduce atingere dispozițiilor capitolului VII din prezentul regulament. [AM 149]

(3)  Autoritatea de supraveghere nu are competența de a supraveghea operațiunile de prelucrare ale instanțelor care acționează în exercițiul funcției lor jurisdicționale.

Articolul 52

Atribuții

(1)  Autoritatea de supraveghere:

(a)  monitorizează și asigură aplicarea prezentului regulament;

(b)  primește reclamațiile depuse de orice persoană vizată sau de o asociație care reprezintă persoana vizată respectivă, în conformitate cu articolul 73, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai amănunțite sau coordonarea cu o altă autoritate de supraveghere; [AM 150]

(c)  partajează informațiile cu alte autorități de supraveghere, oferă asistență reciprocă și asigură consecvența aplicării și a asigurării aplicării prezentului regulament;

(d)  desfășoară anchete fie din proprie inițiativă, fie pe baza unei reclamații sau a informațiilor specifice și documentate primite prin care se invocă o prelucrare ilegală sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație la această autoritate de supraveghere; [AM 151]

(e)  monitorizează evoluțiile relevante, în măsura în care acestea au impact asupra protecției datelor cu caracter personal, în special evoluția tehnologiilor informațiilor și comunicațiilor și a practicilor comerciale;

(f)  este consultată de instituțiile și organele statului membru cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;

(g)  autorizează și este consultată cu privire la operațiunile de prelucrare prevăzute la articolul 34;

(h)  emite un aviz cu privire la proiectele de coduri de conduită, în conformitate cu articolul 38 alineatul (2);

(i)  aprobă regulile corporatiste obligatorii în conformitate cu articolul 43;

(j)  participă la activitățile Comitetului european pentru protecția datelor;

(ja)  certifică operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39. [AM 152]

(2)  Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la măsurile corespunzătoare de protecție a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special copiilor. [AM 153]

(2a)  Fiecare autoritate de supraveghere, în colaborare cu Comitetul european pentru protecția datelor, promovează acțiuni de sensibilizare a operatorilor și a persoanelor împuternicite de către operatori cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Aceasta include păstrarea unui registru al sancțiunilor și încălcărilor. Registrul ar trebui să consemneze într-un mod cât mai detaliat atât avertizările, cât și sancțiunile, precum și soluționarea încălcărilor. Fiecare autoritate de supraveghere furnizează microîntreprinderilor, întreprinderilor mici și mijlocii, operatorilor și persoanelor împuternicite de către operatori, la cerere, informații generale cu privire la responsabilitățile și obligațiile ce le revin în temeiul prezentului regulament. [AM 154]

(3)  La cerere, autoritatea de supraveghere oferă consiliere oricărei persoane vizate în exercitarea drepturilor în conformitate cu prezentul regulament și, dacă este cazul, cooperează cu autoritățile de supraveghere din alte state membre în acest scop.

(4)  Pentru reclamațiile prevăzute la alineatul (1) litera (b), autoritatea de supraveghere pune la dispoziție un formular de depunere a reclamației, care poate fi completat prin mijloace electronice, fără a exclude alte mijloace de comunicare.

(5)  Îndeplinirea funcțiilor autorității de supraveghere este gratuită pentru persoana vizată.

(6)  În cazul în care cererile sunt în mod evident excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă rezonabilă sau poate să nu efectueze acțiunea care face obiectul cererii persoanei vizate. Această taxă nu depășește costurile adoptării măsurii solicitate. Sarcina probei cu privire la caracterul evident excesiv al cererii revine autorității de supraveghere. [AM 155]

Articolul 53

Funcții

(1)  În conformitate cu prezentul regulament, fiecare autoritate de supraveghere este abilitată:

(a)  să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată, sau să impună operatorului să comunice persoanei vizate încălcarea securității datelor cu caracter personal;

(b)  să solicite operatorului sau persoanei împuternicite de către operator să respecte cererile persoanei vizate de exercitare a drepturilor prevăzute de prezentul regulament;

(c)  să solicite operatorului sau persoanei împuternicite de către operator și, după caz, reprezentantului să furnizeze orice informații relevante pentru îndeplinirea funcțiilor sale;

(d)  să asigure respectarea autorizațiilor prealabile și a consultărilor prealabile prevăzute la articolul 34;

(e)  să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator;

(f)  să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentului regulament, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date;

(g)  să impună interdicția temporară sau definitivă privind prelucrarea;

(h)  să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională;

(i)  să emită avize cu privire la orice aspect legat de protecția datelor cu caracter personal;

(ia)  să certifice operatorii și persoanele împuternicite de către operatori în conformitate cu articolul 39;

(j)  să informeze parlamentul național, guvernul sau alte instituții politice, precum și publicul cu privire la orice aspect legat de protecția datelor cu caracter personal;

(ja)  să stabilească mecanisme eficiente pentru a încuraja comunicarea confidențială a încălcărilor prezentului regulament, luând în considerare orientările formulate de Comitetul european pentru protecția datelor în conformitate cu articolul 66 alineatul (4b).

(2)  Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator, fără înștiințare prealabilă:

(a)  ccesul la toate datele cu caracter personal și la toate documentele și informațiile necesare pentru executarea atribuțiilor sale;

(b)  accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor, în cazul în care există motive întemeiate de a presupune că se efectuează o activitate care contravine prezentului regulament.

Puterile prevăzute la litera (b) se exercită în conformitate cu dreptul Uniunii și cu legislația statului membru.

(3)  Fiecare autoritate de supraveghere este abilitată să aducă în atenția autorităților judiciare cazurile de încălcare a prezentului regulament și să se implice în procedurile judiciare, în special în conformitate cu articolul 74 alineatul (4) și articolul 75 alineatul (2).

(4)  Fiecare autoritate de supraveghere poate sancționa contravențiile de natură administrativă, în special cele prevăzute la în conformitate cu articolul 79 alineatele (4), (5) și (6). Aceste competențe se exercită într-un mod eficient, proporțional și disuasiv. [AM 156]

Articolul 54

Raport de activitate

Fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale cel puțin o dată la doi ani. Raportul trebuie să fie este prezentat parlamentului național respectiv și se pune la dispoziția publicului, Comisiei și Comitetului european pentru protecția datelor. [AM 157]

Articolul 54a

Autoritatea principală

(1)  În cazul în care prelucrarea datelor cu caracter personal are loc în contextul activităților unei unități a unui operator sau a unei persoane împuternicite de către operator din Uniune, iar operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre, sau în cazul în care se prelucrează date cu caracter personal ale rezidenților din mai multe state membre, autoritatea de supraveghere a principalei unități a operatorului sau a persoanei împuternicite de către operator deține rolul de autoritate principală responsabilă de supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator în toate statele membre, în conformitate cu dispozițiile capitolului VII din prezentul Regulament.

(2)  Autoritatea principală de supraveghere ia măsuri corespunzătoare pentru supravegherea activităților de prelucrare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă doar după consultarea celorlalte autorități de supraveghere competente în sensul articolului 51 alineatul (1), străduindu-se să ajungă la un consens. În acest scop, ea prezintă, în special, toate informațiile relevante și consultă celelalte autorități înainte să adopte o măsură prevăzută a produce efecte juridice în ceea ce privește operatorul sau persoana împuternicită de către operator în sensul articolului 51 alineatul (1). Autoritatea principală ține cont în cea mai mare măsură de opiniile autorităților implicate. Autoritatea principală este unica autoritate împuternicită să hotărască cu privire la măsurile prevăzute a produce efecte juridice în ceea ce privește activitățile de procesare ale operatorului sau ale persoanei împuternicite de către operator de care este responsabilă.

(3)  Comitetul european pentru protecția datelor, la cererea autorității de supraveghere competente, emite un aviz cu privire la identificarea autorității principale responsabile de operator sau de persoana împuternicită de către operator, în cazul în care:

(a)  nu reiese în mod clar din situația de fapt unde este situată unitatea principală a operatorului sau a persoanei împuternicite de către operator; sau

(b)  autoritățile competente nu sunt de acord cu privire la identitatea autorității de supraveghere care deține rolul de autoritate principală; sau

(c)  operatorul nu deține unități pe teritoriul Uniunii, iar rezidenți din diferite state membre sunt afectați de operațiunile de prelucrare care fac obiectul prezentului regulament.

(3a)  în cazul în care operatorul exercită, de asemenea, activități în calitate de persoană împuternicită a unui operator, autoritatea de supraveghere a unității principale a operatorului deține rolul de autoritate principală pentru supravegherea activităților de prelucrare.

(4)  Comitetul european pentru protecția datelor poate hotărî cu privire la identificarea autorității principale. [AM 158]

CAPITOLUL VII

Cooperare și coerență

Secțiunea 1

Cooperare

Articolul 55

Asistență reciprocă

(1)  Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență reciprocă pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri de autorizare și consultare prealabile, inspecții și investigații, precum și comunicarea rapidă a informațiilor privind deschiderea dosarelor și evoluția ulterioară a acestora în cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau atunci când persoanele vizate în mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare. Autoritatea principală definită la articolul 54a asigură coordonarea cu autoritățile de supraveghere implicate și deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator. [AM 159]

(2)  Fiecare autoritate de supraveghere ia toate măsurile corespunzătoare necesare pentru a răspunde solicitării din partea altei autorități de supraveghere, fără întârziere și cel târziu în termen de o lună de la data primirii cererii. Aceste măsuri pot include, în special, transmiterea informațiilor relevante privind cursul unei anchete sau măsuri de aplicare a legii pentru a pune capăt sau a interzice operațiunile de prelucrare care încalcă dispozițiile prezentului regulament.

(3)  Solicitarea de asistență cuprinde toate informațiile necesare, inclusiv scopul solicitării și motivele care stau la baza acesteia. Informațiile schimbate sunt utilizate numai în scopul pentru care au fost solicitate.

(4)  O autoritate de supraveghere căreia i se adresează o solicitare de asistență nu poate refuza să îi dea curs, cu excepția cazului în care:

(a)  nu are competența de a răspunde solicitării; sau

(b)  a da curs solicitării ar contraveni dispozițiilor prezentului regulament.

(5)  Autoritatea de supraveghere căreia i s-a adresat solicitarea informează autoritatea de supraveghere care a transmis solicitarea cu privire la rezultate sau, după caz, la progresele înregistrate ori măsurile întreprinse pentru a da curs solicitării respective.

(6)  Autoritățile de supraveghere furnizează informațiile solicitate de către alte autorități de supraveghere prin mijloace electronice și în cel mai scurt timp, utilizând un formular standard.

(7)  Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă de la autoritatea de supraveghere solicitantă. [AM 160]

(8)  În cazul în care o autoritate de supraveghere nu acționează în termen de o lună de la solicitarea din partea altei autorități de supraveghere, aceasta din urmă are competența de a lua o măsură provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 51 alineatul (1), și sesizează Comitetul european pentru protecția datelor în conformitate cu procedura menționată la articolul 57. Autoritatea de supraveghere solicitantă poate adopta măsuri provizorii în temeiul articolului 53 pe teritoriul propriului său stat membru, în cazul în care, din cauza nefinalizării asistenței, nu se pot adopta încă măsuri definitive. [AM 161]

(9)  Autoritatea de supraveghere precizează perioada de valabilitate a acestei măsuri provizorii. Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei în conformitate cu procedura menționată la articolul 57. [AM 162]

(10)  Comisia Comitetul european pentru protecția datelor poate specifica forma și procedurile pentru asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de informații prin mijloace electronice între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la alineatul (6). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 163]

Articolul 56

Operațiuni comune ale autorităților de supraveghere

(1)  Pentru a intensifica cooperarea și asistența reciprocă, autoritățile de supraveghere întreprind misiuni comune de anchetă, măsuri comune de aplicare a legii și alte operațiuni comune, în care sunt implicați membri desemnați sau personal din partea autorităților de supraveghere ale altor state membre.

(2)  În cazul în care operatorul sau persoana împuternicită de către operator deține unități în mai multe state membre sau dacă persoanele vizate în din mai multe state membre sunt susceptibile de a fi afectate de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la misiunile comune de anchetă sau la operațiunile comune, după caz. Autoritatea de supraveghere competentă invită Autoritatea principală definită la articolul 54a implică autoritățile de supraveghere din fiecare dintre aceste state membre să ia parte la în misiunile comune de anchetă sau operațiunile comune respective și răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni. Autoritatea principală deține rolul de ghișeu unic pentru operator sau persoana împuternicită de către operator. [AM 164]

(3)  În calitate de autoritate de supraveghere gazdă, în conformitate cu propria legislație națională și cu acordul autorității de supraveghere care și-a detașat personalul, fiecare autoritate de supraveghere poate acorda competențe de executare, inclusiv încredința misiuni de anchetă membrilor sau personalului autorității de supraveghere din statul membru de origine, implicați în operațiuni comune sau, în măsura în care legislația autorității de supraveghere din statul membru de primire permite acest lucru, poate permite membrilor sau personalului autorității de supraveghere din statul membru de origine să își exercite competențele de executare în conformitate cu legislația autorității de supraveghere din statul membru de origine. Astfel de competențe de executare pot fi exercitate doar sub coordonarea și, de regulă, în prezența membrilor sau personalului autorității de supraveghere din statul membru de primire. Membrii sau personalul autorității de supraveghere din statul membru de origine sunt supuși legislației naționale a autorității de supraveghere din statul membru de primire. Aceasta își asumă răspunderea pentru acțiunile personalului.

(4)  Autoritățile de supraveghere definesc aspectele practice ale acțiunilor specifice de cooperare.

(5)  În cazul în care o autoritate de supraveghere nu se conformează, în termen de o lună, obligației prevăzute la alineatul (2), celelalte autorități de supraveghere au competența de a adopta o măsură provizorie pe teritoriul statului membru respectiv, în conformitate cu articolul 51 alineatul (1).

(6)  Autoritatea de supraveghere precizează perioada de valabilitate a măsurii provizorii menționate la alineatul (5). Această perioadă nu depășește trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei și prezintă situația spre analiză în cadrul mecanismului menționat la articolul 57.

Secțiunea 2

Coerență

Articolul 57

Mecanismul pentru asigurarea coerenței

Pentru scopurile stabilite la articolul 46 alineatul (1), autoritățile de supraveghere cooperează între ele și cu Comisia prin mecanismul pentru asigurarea coerenței astfel cum se prevede în privind atât chestiunile cu caracter general cât și cazurile specifice în conformitate cu dispozițiile din prezenta secțiune. [AM 165]

Articolul 58

Avizul Comitetului european pentru protecția datelor Coerența privind chestiunile de aplicare generală

(1)  Înainte de a adopta o măsură menționată la alineatul (2), o autoritate de supraveghere comunică proiectul de măsură Comitetului european pentru protecția datelor și Comisiei.

(2)  Obligația prevăzută la alineatul (1) se aplică unei măsuri menite să producă efecte juridice și care:

(a)  se referă la activități de prelucrare legate de furnizarea de bunuri sau servicii persoanelor vizate în mai multe state membre, sau de monitorizarea comportamentului acestora; sau

(b)  pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii; sau

(c)  vizează adoptarea unei liste de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34 alineatul (5); sau

(d)  vizează determinarea clauzelor standard în materie de protecție a datelor menționate la articolul 42 alineatul (2) litera (c); sau

(e)  vizează autorizarea clauzelor contractuale menționate la articolul 42 alineatul (2) litera (d); sau

(f)  vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 43.

(3)  Orice autoritate de supraveghere sau Comitetul european pentru protecția datelor poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței, în special în cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură menționat la alineatul (2) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56.

(4)  Pentru a asigura aplicarea corectă și coerentă a prezentului regulament, Comisia poate solicita ca orice chestiune de aplicare generală să fie abordată în cadrul mecanismului pentru asigurarea coerenței.

(5)  Autoritățile de supraveghere și Comisia comunică electronic, fără întârzieri nejustificate, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, utilizând un formular standard.

(6)  Președintele Comitetului european pentru protecția datelor informează fără întârziere întârzieri nejustificate, pe cale electronică, membrii Comitetului european pentru protecția datelor și Comisia cu privire la orice informație relevantă care i-a fost comunicată, utilizând un formular standard. Președintele Secretariatul Comitetului european pentru protecția datelor furnizează traduceri ale informațiilor relevante, dacă este necesar.

(6a)  Comitetul european pentru protecția datelor adoptă un aviz cu privire la chestiunile care îi sunt prezentate în temeiul alineatului (2).

(7)  În cazul în care Comitetul european pentru protecția datelor decide acest lucru prin majoritate simplă a membrilor săi sau în cazul în care orice autoritate de supraveghere sau Comisia solicită acest lucru, Comitetul european pentru protecția datelor emite poate hotărî prin majoritate simplă dacă adoptă un aviz cu privire la orice chestiune în termen de o săptămână de la data la care informațiile relevante au fost furnizate în conformitate cu alineatul (5). Avizul este adoptat în termen de o lună cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. Președintele Comitetului european pentru protecția datelor informează, fără întârziere nejustificată, autoritatea de supraveghere menționată, după caz, la alineatele (1) și (3), Comisia și autoritatea de supraveghere competentă în conformitate cu articolul 51 cu privire la aviz și îl publică. prezentată în temeiul alineatelor (3) și (4), ținând seama:

(a)  dacă chestiunea prezintă elemente noi, luând în considerare evoluțiile de drept sau de fapt, în special în domeniul tehnologiei informației și în lumina evoluțiilor din societatea informațională, precum și

(b)  dacă Comitetul european pentru protecția datelor a emis deja un aviz cu privire la aceeași chestiune.

(8)  Autoritatea de supraveghere menționată la alineatul (1) și autoritatea de supraveghere competentă în conformitate cu articolul 51 țin seama de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la avizul președintelui Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. Comitetul european pentru protecția datelor adoptă avize în conformitate cu alineatul (6) litera (a) și alineatul (7) cu o majoritate simplă a membrilor săi. Aceste avize sunt făcute publice. [AM 166]

Articolul 58a

Coerența în cazurile specifice

(1)  Înainte de a adopta o măsură prevăzută a produce efecte juridice în sensul articolului 54a, autoritatea principală oferă toate informațiile pertinente și prezintă proiectul de măsură tuturor celorlalte autorități competente. Autoritatea principală nu adoptă măsura dacă o autoritate competentă a indicat, în termen de trei săptămâni, că are obiecții semnificative cu privire la măsura respectivă.

(2)  În cazul în care o autoritate competentă a indicat că are obiecții semnificative cu privire la proiectul de măsură al autorității principale, sau în cazul în care autoritatea principală nu prezintă un proiect de măsură menționat la alineatul (1) sau nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 55 sau privind operațiunile comune în conformitate cu articolul 56, Comitetul european pentru protecția datelor examinează această chestiune.

(3)  Autoritatea principală și/sau alte autorități competente interesate și Comisia comunică pe cale electronică, fără întârzieri nejustificate, Comitetului european pentru protecția datelor, utilizând un formular standard, orice informație relevantă, inclusiv, după caz, o sinteză a faptelor, proiectul de măsură, precum și motivele care fac necesară adoptarea unei astfel de măsuri, obiecțiile ridicate împotriva acesteia și opiniile celorlalte autorități de supraveghere vizate.

(4)  Comitetul european pentru protecția datelor examinează această chestiune, luând în considerare impactul proiectelor de măsuri propuse de autoritatea principală cu privire la drepturile și libertățile fundamentale ale persoanelor vizate, și hotărăște prin majoritatea simplă a membrilor săi dacă emite un aviz cu privire la respectiva chestiune în termen de două săptămâni de la primirea informațiilor relevante în temeiul alineatului (3).

(5)  În cazul în care Comitetul european pentru protecția datelor hotărăște să emită un aviz, acest lucru se efectuează în termen de șase săptămâni, iar avizul este făcut public.

(6)  Autoritatea de supraveghere ține seama în cea mai mare măsură de avizul Comitetului european pentru protecția datelor și comunică pe cale electronică președintelui Comitetului european pentru protecția datelor și Comisiei, în termen de două săptămâni din momentul în care a fost informată cu privire la aviz de către președintele Comitetului european pentru protecția datelor, dacă își păstrează sau își modifică proiectul de măsură și, dacă este cazul, transmite proiectul de măsură modificat, utilizând un formular standard. În cazul în care autoritatea principală intenționează să nu urmeze avizul Comitetului european pentru protecția datelor, aceasta prezintă o explicație motivată.

(7)  În cazul în care Comitetul european pentru protecția datelor prezintă încă obiecții în legătură cu măsura autorității de supraveghere menționată la alineatul (5), acesta poate adopta, în termen de o lună, cu o majoritate de două treimi o măsură obligatorie pentru autoritatea de supraveghere. [AM 167]

Articolul 59

Avizul Comisiei

(1)  În termen de zece săptămâni din momentul în care o chestiune a fost ridicată în conformitate cu articolul 58, sau cel târziu în termen de șase săptămâni în cazul articolului 61, Comisia poate adopta, pentru a asigura aplicarea corectă și coerentă a prezentului regulament, un aviz cu privire la chestiunile ridicate în temeiul articolelor 58 sau 61.

(2)  Atunci când Comisia a adoptat un aviz în conformitate cu alineatul (1), autoritatea de supraveghere în cauză acordă atenție maximă avizului Comisiei și informează Comisia și Comitetul european pentru protecția datelor dacă intenționează să își mențină sau să modifice proiectul de măsură.

(3)  În timpul perioadei menționate la alineatul (1), autoritatea de supraveghere nu adoptă proiectul de măsură.

(4)  În cazul în care autoritatea de supraveghere în cauză intenționează să nu se conformeze avizului Comisiei, acesta informează Comisia și Comitetul european pentru protecția datelor respectând termenul menționat la alineatul (1) și furnizează o motivare. În acest caz, proiectul de măsură nu este adoptat timp de o lună suplimentară. [AM 168]

Articolul 60

Suspendarea unui proiect de măsură

(1)  În termen de o lună de la comunicarea menționată la articolul 59 alineatul (4) și în cazul în care Comisia are îndoieli serioase că proiectul de măsură ar garanta aplicarea corectă a prezentului regulament sau, dimpotrivă, că ar avea ca rezultat aplicarea incoerentă a regulamentului, Comisia, ținând cont de avizul emis de Comitetul european pentru protecția datelor în temeiul articolului 58 alineatul (7) sau al articolului 61 alineatul (2), poate adopta o decizie motivată care să oblige autoritatea de supraveghere să suspende adoptarea proiectului de măsură, în cazul în care se consideră că acest lucru este necesar pentru:

(a)  a concilia pozițiile divergente ale autorității de supraveghere și Comitetului european pentru protecția datelor, în cazul în care acest lucru pare încă posibil; sau

(b)  a adopta o măsură în temeiul articolului 62 alineatul (1) litera (a).

(2)  Comisia precizează durata suspendării, care nu depășește 12 luni.

(3)  În timpul perioadei menționate la alineatul (2), autoritatea de supraveghere nu poate adopta proiectul de măsură. [AM 169]

Articolul 60a

Notificarea Parlamentului European și a Consiliului

Pe baza unui raport al președintelui Comitetului european pentru protecția datelor, Comisia informează Parlamentul și Consiliul la intervale regulate, cel puțin o dată la șase luni, cu privire la chestiunile tratate în cadrul mecanismului pentru asigurarea coerenței și prezintă concluziile Comisiei și ale Comitetului pentru protecția datelor în vederea asigurării coerenței implementării și a aplicării prezentului regulament. [AM 170]

Articolul 61

Procedura de urgență

(1)  În circumstanțe excepționale, atunci când o autoritate de supraveghere consideră că există o necesitate urgentă de a acționa pentru a asigura protecția intereselor persoanelor vizate, în special când există pericolul ca exercitarea dreptului persoanei vizate ar putea fi să poată fi considerabil împiedicată prin modificarea situației existente, pentru a evita inconveniente importante sau din alte motive, prin derogare de la procedura menționată la articolul 58a, aceasta poate adopta de îndată măsuri provizorii cu o perioadă de valabilitate determinată. Autoritatea de supraveghere comunică fără întârziere aceste măsuri, motivate în mod corespunzător, Comitetului european pentru protecția datelor și Comisiei. [AM 171]

(2)  În cazul în care o autoritate de supraveghere a adoptat o măsură în temeiul alineatului (1) și consideră că trebuie adoptate de urgență măsuri definitive, aceasta poate solicita un aviz de urgență din partea Comitetului european pentru protecția datelor, indicând motivele pentru solicitarea unui astfel de aviz, inclusiv pentru caracterul urgent al măsurilor definitive.

(3)  Orice autoritate de supraveghere poate solicita un aviz de urgență în cazul în care autoritatea de supraveghere competentă nu a luat o măsură adecvată într-o situație în care există o necesitate urgentă de a acționa pentru a proteja interesele persoanelor vizate, indicând motivele pentru solicitarea unui astfel de aviz, inclusiv pentru necesitatea urgentă de a acționa.

(4)  Prin derogare de la articolul 58 alineatul (7), Un aviz de urgență menționat la alineatele (2) și (3) din prezentul articol este adoptat în termen de două săptămâni cu majoritate simplă a membrilor Comitetului european pentru protecția datelor. [AM 172]

Articolul 62

Acte de punere în aplicare

(1)  Comisia poate adopta acte de punere în aplicare cu domeniu general de aplicare, după solicitarea avizului Comitetului european pentru protecția datelor, pentru:

(a)  a decide privind aplicarea corectă a prezentului regulament, în conformitate cu obiectivele și cerințele acestuia în ceea ce privește aspectele comunicate de către autoritățile de supraveghere în temeiul articolului 58 sau 61, privind o chestiune în legătură cu care a fost adoptată o decizie motivată în temeiul articolului 60 alineatul (1), sau privind o chestiune în legătură cu care o autoritate de supraveghere nu prezintă un proiect de măsură și respectiva autoritate de supraveghere a indicat că nu intenționează să urmeze avizul Comisiei adoptat în temeiul articolului 59;

(b)  a decide, în termenul menționat la articolul 59 alineatul (1), referitor la aplicabilitatea generală a proiectului de clauze standard în materie de protecție a datelor menționate la articolul 58 42 alineatul (2) litera (d);

(c)  a defini forma și procedurile pentru aplicarea mecanismului pentru asigurarea coerenței menționat în prezenta secțiune;

(d)  a defini modalitățile de realizare a schimbului electronic de informații între autoritățile de supraveghere și între autoritățile de supraveghere și Comitetul european pentru protecția datelor, în special formularul standard menționat la articolul 58 alineatele (5), (6) și (8).

Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2).

(2)  Din motive imperative de urgență pe deplin justificate legate de interesul persoanelor vizate în cazurile menționate la alineatul (1) litera (a), Comisia adoptă acte de punere în aplicare imediat aplicabile, în conformitate cu procedura menționată la articolul 87 alineatul (3). Aceste acte rămân în vigoare pentru o perioadă de cel mult 12 luni.

(3)  Absența sau adoptarea unei măsuri în temeiul prezentei secțiuni nu aduce atingere altor măsuri adoptate de Comisie în temeiul tratatelor. [AM 173]

Articolul 63

Executare

(1)  În sensul prezentului regulament, o măsură executorie a autorității de supraveghere ale unui stat membru este executată în toate statele membre implicate.

(2)  În cazul în care o autoritate de supraveghere nu prezintă un proiect de măsură pentru a fi examinat în cadrul mecanismului pentru asigurarea coerenței, încălcând articolul 58 alineatele (1)-(5) și (2) sau adoptă o măsură în pofida faptului că s-au indicat obiecții semnificative în temeiul articolului 58a alineatul (1), măsura autorității de supraveghere nu este valabilă din punct de vedere juridic și nici executorie. [AM 174]

Secțiunea 3

Comitetul european pentru protecția datelor

Articolul 64

Comitetul european pentru protecția datelor

(1)  Se instituie un Comitet european pentru protecția datelor.

(2)  Comitetul european pentru protecția datelor este alcătuit din șeful unei autorități de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor.

(3)  În cazul în care într-un stat membru mai multe autorități de supraveghere sunt responsabile de monitorizarea punerii în aplicare a dispozițiilor prevăzute de prezentul regulament, acestea desemnează șeful uneia dintre aceste autorități de supraveghere ca reprezentant comun.

(4)  Comisia are dreptul de a participa la activitățile și reuniunile Comitetului european pentru protecția datelor și desemnează un reprezentant. Președintele Comitetului european pentru protecția datelor informează fără întârziere Comisia cu privire la toate activitățile Comitetului european pentru protecția datelor.

Articolul 65

Independență

(1)  Comitetul european pentru protecția datelor acționează independent în exercitarea sarcinilor sale în conformitate cu articolele 66 și 67.

(2)  Fără a aduce atingere solicitărilor din partea Comisiei menționate la articolul 66 alineatul (1) litera (b) și la articolul 66 alineatul (2), în îndeplinirea sarcinilor sale, Comitetul european pentru protecția datelor nu solicită și nu acceptă instrucțiuni de la nicio parte externă.

Articolul 66

Sarcinile Comitetului european pentru protecția datelor

(1)  Comitetul european pentru protecția datelor asigură aplicarea uniformă a prezentului regulament. În acest sens, din proprie inițiativă sau la solicitarea Parlamentului European, a Consiliului sau a Comisiei, Comitetul european pentru protecția datelor are, în special, următoarele sarcini:

(a)  să ofere Comisiei instituțiilor europene consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;

(b)  să examineze, din proprie inițiativă sau la solicitarea unuia dintre membrii săi sau la cerereaParlamentului European, a Consiliului sau a Comisiei, orice chestiune referitoare la punerea în aplicare a prezentului regulament și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a prezentului regulament, inclusiv orice chestiune referitoare la utilizarea competențelor de executare;

(c)  să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea;

(d)  să emită avize privind proiectele de decizii ale autorităților de supraveghere în conformitate cu mecanismul pentru asigurarea coerenței menționat la articolul 57;

(da)  să emită un aviz cu privire la autoritatea care ar trebui să fie autoritatea principală în temeiul articolului 54a alineatul (3);

(e)  să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere, inclusiv coordonarea operațiunilor comune și a altor activități comune în cazul în care decide astfel la cererea uneia sau mai multor autorități de supraveghere;

(f)  să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale;

(g)  să promoveze schimbul de cunoștințe și de documente privind legislația și practicile în materie de protecție a datelor cu autoritățile de supraveghere a protecției datelor la nivel mondial;

(ga)  să prezinte un aviz Comisiei la pregătirea actelor delegate și de punere în aplicare în temeiul prezentului regulament;

(gb)  să emită un aviz privind codurile de conduită elaborate la nivelul Uniunii în temeiul articolului 38 alineatul (4);

(gc)  să emită un aviz privind criteriile și cerințele aplicabile mecanismelor de certificare în domeniul protecției datelor în temeiul articolului 39 alineatul (2).

(gd)  să păstreze un registru electronic public privind certificatele valabile și nevalabile în temeiul articolului 39 alineatul (1) litera h;

(ge)  să ofere asistență autorităților naționale de supraveghere, la cererea acestora;

(gf)  să elaboreze și să publice o listă de operațiuni de prelucrare care fac obiectul unei consultări prealabile în temeiul articolului 34;

(gg)  să păstreze un registru de sancțiuni impuse de către autoritățile de supraveghere competente operatorilor sau persoanelor împuternicite de către operatori;

(2)  În situațiile în care Parlamentul European, Consiliul sau Comisia consultă Comitetul european pentru protecția datelor, aceasta poate aceștia pot stabili un termen în care Comitetul european pentru protecția datelor trebuie să furnizeze avizul său, ținând cont de caracterul urgent al chestiunii.

(3)  Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Parlamentului European, Consiliului și Comisiei, precum și comitetului menționat la articolul 87 și le publică.

(4)  Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor.

(4a)  Dacă este cazul, Comitetul european pentru protecția datelor consultă părțile interesate și le oferă posibilitatea de a face observații într-un termen rezonabil. Fără a aduce atingere dispozițiilor articolului 72, Comitetul european pentru protecția datelor publică rezultatele procedurii de consultare.

(4b)  Comitetul european pentru protecția datelor are sarcina de a elabora orientări, recomandări și bune practici în conformitate cu alineatul (1) litera (b) în vederea stabilirii de proceduri comune privind primirea și cercetarea informațiilor care conțin acuzații de prelucrare ilegală, precum și a protejării confidențialității și a surselor de informații primite. [AM 175]

Articolul 67

Rapoarte

(1)  Comitetul european pentru protecția datelor prezintă Parlamentului European, Consiliului și Comisiei periodic și în timp util rezultatele activităților sale. Acesta întocmește un raport anual cel puțin o dată la doi ani privind situația referitoare la protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal în Uniune și în țările terțe.

Raportul include analiza aplicării practice a orientărilor, recomandărilor și bunelor practici menționate la articolul 66 alineatul (1) litera (c). [AM 176]

(2)  Raportul este publicat și transmis Parlamentului European, Consiliului și Comisiei.

Articolul 68

Procedură

(1)  Comitetul european pentru protecția datelor adoptă decizii prin majoritate simplă a membrilor săi, cu excepția cazului când se prevede altfel în regulamentul său de procedură. [AM 177]

(2)  Comitetul european pentru protecția datelor își adoptă propriul regulament de procedură și își organizează propriile mecanisme de funcționare. În special, prevede dispoziții privind continuarea exercitării funcțiilor atunci când mandatul unui membru se încheie sau un membru demisionează, privind crearea de subgrupuri pentru aspecte și sectoare specifice și privind procedurile sale în ceea ce privește mecanismul pentru asigurarea coerenței menționat la articolul 57.

Articolul 69

Președintele

(1)  Comitetul european pentru protecția datelor alege un președinte și cel puțin doi vicepreședinți din rândul membrilor săi. Unul dintre vicepreședinți este Autoritatea Europeană pentru Protecția Datelor, cu excepția cazului în care aceasta a fost aleasă președinte. [AM 178]

(2)  Mandatul președintelui și al vicepreședinților este de cinci ani și poate fi prelungit.

(2a)  Funcția de președinte este o funcție cu normă întreagă. [AM 179]

Articolul 70

Sarcinile președintelui

(1)  Președintele are următoarele sarcini:

(a)  să convoace reuniunile Comitetului european pentru protecția datelor și să stabilească ordinea de zi;

(b)  să asigure îndeplinirea la timp a sarcinilor Comitetului european pentru protecția datelor, în special în ceea ce privește mecanismul pentru asigurarea coerenței menționat la articolul 57.

(2)  Comitetul european pentru protecția datelor definește în regulamentul său de procedură repartizarea sarcinilor care revin președintelui și vicepreședinților.

Articolul 71

Secretariat

(1)  Comitetul european pentru protecția datelor are un secretariat. Autoritatea Europeană pentru Protecția Datelor asigură secretariatul.

(2)  Secretariatul oferă, sub conducerea președintelui, sprijin analitic, juridic, administrativ și logistic Comitetului european pentru protecția datelor. [AM 180]

(3)  Secretariatul este responsabil în special de următoarele:

(a)  gestionarea cotidiană a Comitetului european pentru protecția datelor;

(b)  comunicarea dintre membrii Comitetului european pentru protecția datelor, președintele acestuia și Comisie și comunicarea cu alte instituții și cu cetățenii;

(c)  utilizarea mijloacelor electronice pentru comunicarea internă și externă;

(d)  traducerea informațiilor relevante;

(e)  pregătirea și monitorizarea acțiunilor ulterioare reuniunilor Comitetului european pentru protecția datelor;

(f)  pregătirea, redactarea și publicarea avizelor și a altor texte adoptate de Comitetul european pentru protecția datelor.

Articolul 72

Confidențialitate

(1)  Discuțiile din cadrul Comitetului european pentru protecția datelor sunt pot fi confidențiale, dacă este necesar, cu excepția cazului când se prevede altfel în regulamentul său de procedură. Ordinile de zi ale reuniunilor Comitetului european pentru protecția datelor sunt publicate. [AM 181]

(2)  Documentele prezentate membrilor Comitetului european pentru protecția datelor, experților și reprezentanților părților terțe sunt confidențiale, cu excepția cazului în care accesul la aceste documente este acordat în conformitate cu Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului(18) sau Comitetul european pentru protecția datelor le face publice într-un alt mod.

(3)  Membrii Comitetului european pentru protecția datelor, experții și reprezentanții părților terțe respectă obligațiile de confidențialitate prevăzute la prezentul articol. Președintele se asigură că experții și reprezentanții părților terțe au cunoștință de cerințele de confidențialitate care le sunt impuse.

CAPITOLUL VIII

Căi de atac, răspundere și sancțiuni

Articolul 73

Dreptul de a depune o plângere la o autoritate de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare și mecanismului pentru asigurarea coerenței, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă prezentul regulament.

(2)  Orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora care acționează în interes public și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal.

(3)  Independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal prezentului regulament. [AM 182]

Articolul 74

Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere referitoare la persoana respectivă.

(2)  Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 52 alineatul (1) litera (b).

(3)  Acțiunile introduse împotriva unei autorități de supraveghere sunt aduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

(4)  Fără a aduce atingere mecanismului pentru asigurarea coerenței, o persoană vizată la care se referă o decizie a unei autorități de supraveghere dintr-un alt stat membru decât cel în care persoana vizată își are reședința obișnuită poate solicita autorității de supraveghere din statul membru în care își are reședința obișnuită să introducă o acțiune în numele său împotriva autorității de supraveghere competente din celalalt stat membru.

(5)  Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol. [AM 183]

Articolul 75

Dreptul la o cale de atac judiciară împotriva unui operator sau unei persoane împuternicite de operator

(1)  Fără a aduce atingere vreunei căi de atac administrative disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere menționat la articolul 73, orice persoană fizică are dreptul la exercitarea unei căi de atac judiciare, în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal efectuate încălcând prezentul regulament.

(2)  Acțiunile introduse împotriva unui operator sau unei persoane împuternicite de operator sunt prezentate în fața instanțelor din statul membru unde operatorul sau persoana împuternicită de operator are un sediu. Alternativ, o astfel de acțiune poate fi intentată în fața instanțelor din statul membru în care persoana vizată își are reședința obișnuită, cu excepția cazului în care operatorul este o autoritate publică a Uniunii sau a unui stat membru care acționează în exercitarea competențelor sale publice. [AM 184]

(3)  În cazul în care o acțiune care se referă la aceeași măsură, decizie sau practică este în curs în cadrul mecanismului pentru asigurarea coerenței menționat la articolul 58, o instanță poate suspenda acțiunile care i-au fost înaintate, cu excepția cazurilor în care caracterul urgent al chestiunii privind protecția drepturilor persoanei vizate nu îi permite să aștepte rezultatul acțiunii în cadrul mecanismului pentru asigurarea coerenței.

(4)  Statele membre execută hotărârile definitive ale instanțelor menționate în prezentul articol.

Articolul 76

Norme comune aplicabile acțiunilor în instanță

(1)  Orice organism, organizație sau asociație menționată la articolul 73 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 74, și 75 în numele uneia și 77 dacă este împuternicit de una sau mai multor multe persoane vizate. [AM 185]

(2)  Fiecare autoritate de supraveghere are dreptul a participa la proceduri judiciare și de a sesiza o instanță, în scopul de a asigura aplicarea dispozițiilor prezentului regulament sau de a asigura coerența protecției datelor cu caracter personal în cadrul Uniunii.

(3)  În cazul în care o instanță competentă a unui stat membru are motive întemeiate să creadă că în alt stat membru se desfășoară acțiuni paralele, aceasta contactează instanța competentă din celălalt stat membru pentru a-i confirma existența unor astfel de acțiuni paralele.

(4)  În cazul în care astfel de acțiuni paralele în alt stat membru se referă la aceeași măsură, decizie sau practică, instanța poate suspenda acțiunea.

(5)  Statele membre se asigură că acțiunile în justiție disponibile în dreptul intern permit adoptarea rapidă de măsuri, inclusiv măsuri provizorii, menite să ducă la încetarea oricărei încălcări presupuse și să prevină orice altă atingere adusă intereselor respective.

Articolul 77

Dreptul la despăgubiri și răspundere

(1)  Orice persoană care a suferit prejudicii, inclusiv de natură nefinanciară, ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile prezentului regulament are dreptul să obțină solicite despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. [AM 186]

(2)  În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta dintre operatorii sau persoanele împuternicite respective sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului, cu excepția cazului în care au încheiat un acord scris specific de stabilire a responsabilităților în temeiul articolului 24. [AM 187]

(3)  Operatorul sau persoana împuternicită de operator poate fi total sau parțial exonerată de această răspundere, în cazul în care operatorul sau persoana împuternicită de acesta dovedește că nu este responsabilă pentru fapta care a provocat prejudiciul.

Articolul 78

Sancțiuni

(1)  Statele membre definesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare, inclusiv în cazul în care operatorul nu a respectat obligația de a desemna un reprezentant. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive.

(2)  În cazul în care operatorul a desemnat un reprezentant, sancțiunile sunt aplicate reprezentantului, fără a aduce atingere sancțiunilor care ar putea fi inițiate împotriva operatorului.

(3)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le adoptă în temeiul alineatului (1), până cel târziu la data menționată la articolul 91 alineatul (2) și, fără întârziere, orice modificare ulterioară care le afectează.

Articolul 79

Sancțiuni administrative

(1)  Fiecare autoritate de supraveghere este abilitată să impună sancțiuni administrative în conformitate cu prezentul articol. Autoritățile de supraveghere cooperează între ele în conformitate cu articolele 46 și 57 pentru a garanta un nivel armonizat al sancțiunilor în cadrul Uniunii.

(2)  În fiecare caz individual, sancțiunea administrativă trebuie să fie eficace, proporțională și disuasivă. Valoarea amenzii administrative este fixată în funcție de natura, gravitatea și durata încălcării, de faptul că încălcarea a fost comisă intenționat sau din neglijență, de gradul de responsabilitate a persoanei fizice sau juridice și de încălcările comise anterior de către această persoană, de măsurile și procedurile tehnice și organizatorice puse în aplicare în temeiul articolului 23 și de gradul de cooperare cu autoritatea de supraveghere în vederea remedierii încălcării.

(2a)  Autoritatea de supraveghere impune oricărei persoane care nu respectă obligațiile prevăzute în prezentul regulament cel puțin una dintre următoarele sancțiuni:

(a)  un avertisment scris în cazul primei încălcări neintenționate;

(b)  audituri regulate și periodice privind protecția datelor;

(c)  o amendă de până la 100 000 000 EUR sau de până la 5% din cifra de afaceri realizată la nivel mondial în cazul unei întreprinderi, optându-se pentru valoarea cea mai mare.

(2b)  În cazul în care operatorul sau persoana împuternicită de către operator deține un „sigiliul european privind protecția datelor” valabil conform articolului 39, se impune o amendă în temeiul alineatului (2a) litera (c) numai în caz de neconformitate intenționată sau din neglijență.

(2c)  Sancțiunea administrativă ține cont de următorii factori:

(a)  natura, gravitatea și durata neconformității,

(b)  faptul că încălcarea a fost comisă intenționat sau din neglijență,

(c)  gradul de responsabilitate a persoanei fizice sau juridice și încălcările comise anterior de către această persoană;

(d)  natura repetitivă a încălcării,

(e)  gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării,

(f)  categoriile specifice de date cu caracter personal afectate de încălcare,

(g)  amploarea prejudiciilor, inclusiv a prejudiciilor de natură nefinanciară, suferite de persoanele vizate,

(h)  acțiunile întreprinse de operator sau de persoana împuternicită de către operator pentru a reduce prejudiciul suferit de persoanele vizate;

(i)  orice beneficii financiare plănuite sau realizate, sau pierderile evitate, în mod direct sau indirect din cauza încălcării,

(j)  amploarea măsurilor și procedurilor tehnice și organizatorice puse în aplicare în conformitate cu:

(i)  articolul 23 - Protecția datelor începând cu momentul conceperii și protecția implicită a datelor;

(ii)  articolul 30 – Securitatea prelucrării;

(iii)  articolul 33 – Evaluarea impactului privind protecția datelor;

(iv)  articolul 33a – Analiza conformității privind protecția datelor;

(v)  articolul 35 - Desemnarea responsabilului cu protecția datelor;

(k)  refuzul de a coopera sau împiedicarea inspecțiilor, a auditurilor și a controalelor efectuate de autoritatea de supraveghere în temeiul articolului 53;

(l)  orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului.

(3)  În cazul primei încălcări neintenționate a dispozițiilor prezentului regulament, se poate transmite o avertizare în scris, fără impunerea vreunei sancțiuni, atunci când:

(a)  o persoană fizică prelucrează date cu caracter personal fără vreun interes comercial; sau

(b)  o întreprindere sau o organizație cu mai puțin de 250 de angajați prelucrează date cu caracter personal doar ca o activitate auxiliară activităților sale principale.

(4)  Autoritatea de supraveghere impune o amendă de până la 250 000 EUR sau, în cazul unei întreprinderi, de până la 0,5 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

(a)  nu prevede mecanisme care să permită persoanelor vizate să formuleze solicitări sau nu răspunde prompt sau nu în forma adecvată persoanelor vizate, în temeiul articolului 12 alineatele (1) și (2);

(b)  percepe o taxă pentru informații sau pentru răspunsurile la solicitările persoanelor vizate, încălcând articolul 12 alineatul (4).

(5)  Autoritatea de supraveghere impune o amendă de până la 500 000 EUR sau, în cazul unei întreprinderi, de până la 1 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

(a)  nu furnizează persoanei vizate informațiile sau furnizează informații incomplete sau nu furnizează informațiile într-un mod suficient de transparent, în conformitate cu articolul 11, articolul 12 alineatul (3) și articolul 14;

(b)  nu oferă acces persoanei vizate sau nu rectifică datele cu caracter personal în temeiul articolelor 15 și 16 sau nu comunică unui destinatar informațiile relevante, în temeiul articolului 13;

(c)  nu respectă „dreptul de a fi uitat” ori dreptul la ștergere sau nu instituie mecanisme pentru a asigura că termenele sunt respectate sau nu ia toate măsurile necesare pentru a informa părțile terțe că o persoană vizată solicită ștergerea tuturor linkurilor către datele sale cu caracter personal, sau a tuturor copiilor sau a reproducerilor acestora, în temeiul articolului 17;

(d)  nu furnizează o copie a datelor cu caracter personal în format electronic sau împiedică persoana vizată să transmită datele cu caracter personal către o altă aplicație, încălcând articolul 18;

(e)  nu definește sau nu definește suficient responsabilitățile respective cu operatorii asociați în temeiul articolului 24;

(f)  nu păstrează sau nu păstrează suficient documentația în temeiul articolului 28, articolului 31 alineatul (4) și al articolului 44 alineatul (3);

(g)  nu respectă, în cazurile în care nu sunt implicate categorii speciale de date, în temeiul articolelor 80, 82 și 83, normele privind libertatea de exprimare sau normele privind prelucrarea în contextul ocupării unui loc de muncă sau condițiile pentru prelucrarea datelor în scopuri de cercetare istorică, statistică și științifică.

(6)  Autoritatea de supraveghere impune o amendă de până la 1 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra sa de afaceri anuală mondială, oricărei entități care, intenționat sau din neglijență:

(a)  prelucrează datele cu caracter personal fără niciun temei juridic sau fără un temei juridic suficient pentru prelucrare sau nu respectă condițiile privind consimțământul, în temeiul articolelor 6, 7 și 8;

(b)  prelucrează categorii speciale de date, încălcând articolele 9 și 81;

(c)  nu respectă o opoziție sau nu se conformează cerinței în temeiul articolului 19;

(d)  nu respectă condițiile legate de măsurile bazate pe crearea de profiluri în temeiul articolului 20;

(e)  nu adoptă norme interne sau nu pune în aplicare măsuri corespunzătoare pentru a asigura și a demonstra conformitatea în temeiul articolelor 22, 23 și 30;

(f)  nu desemnează un reprezentant în temeiul articolului 25;

(g)  prelucrează date cu caracter personal sau dă instrucțiuni de prelucrare a datelor cu caracter personal încălcând obligațiile privind prelucrarea în numele unui operator în temeiul articolelor 26 și 27;

(h)  nu semnalează sau nu notifică o încălcare a securității datelor cu caracter personal sau nu notifică la timp ori complet autorității de supraveghere sau persoanei vizate încălcarea securității datelor, în temeiul articolelor 31 și 32;

(i)  nu efectuează o evaluare a impactului privind protecția datelor sau prelucrează date cu caracter personal fără autorizare prealabilă sau consultarea prealabilă a autorității de supraveghere în temeiul articolelor 33 și 34;

(j)  nu desemnează un responsabil cu protecția datelor sau nu asigură condițiile pentru îndeplinirea sarcinilor în temeiul articolelor 35, 36 și 37;

(k)  utilizează abuziv sigiliile și mărcile din domeniul protecției datelor, în sensul articolului 39;

(l)  efectuează sau dă instrucțiuni pentru transferarea de date către o țară terță sau o organizație internațională care nu este autorizată printr-o decizie privind caracterul adecvat sau prin garanții adecvate sau printr-o derogare în temeiul articolelor 40-44;

(m)  nu respectă un ordin sau o interdicție temporară sau definitivă privind prelucrarea sau suspendarea fluxurilor de date emisă de autoritatea de supraveghere, în temeiul articolului 53 alineatul (1);

(n)  nu respectă obligațiile de a oferi asistență sau de a răspunde sau de a furniza informațiile relevante autorității de supraveghere sau de a da acesteia acces la clădirile sale, în temeiul articolului 28 alineatul (3), al articolului 29, al articolului 34 alineatul (6) și al articolului 53 alineatul (2);

(o)  nu respectă normele pentru garantarea secretului profesional, în temeiul articolului 84.

(7)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul actualizării valorilor absolute ale amenzilor administrative menționate la alineatele (4), (5) și (6) alineatul (2a), ținând seama de criteriile și factorii menționate menționați la alineatul alineatele (2) și (2c). [AM 188]

CAPITOLUL IX

DISPOZIȚII REFERITOARE LA SITUAȚII SPECIFICE DE PRELUCRARE A DATELOR

Articolul 80

Prelucrarea datelor cu caracter personal și libertatea de exprimare

(1)  Statele membre prevăd exonerări și derogări de la dispozițiile privind principiile generale de la capitolul II, privind drepturile persoanei vizate de la capitolul III, privind operatorul și persoana împuternicită de către operator de la capitolul IV, privind transferul datelor cu caracter personal către țări terțe și organizații internaționale de la capitolul V, privind autoritățile de supraveghere independente de la capitolul VI, și privind cooperarea și coerența de la capitolul VII, pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, și situațiile specifice de prelucrare a datelor din prezentul capitol ori de câte ori este necesar pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și normele care reglementează libertatea de exprimare în conformitate cu Carta. [AM 189]

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează.

Articolul 80a

Accesul la documente

(1)  Datele cu caracter personal din documentele deținute de o autoritate publică sau de un organism public pot fi divulgate de către această autoritate sau acest organism în conformitate cu legislația Uniunii sau a statului membru privind accesul public la documentele oficiale, care stabilește un echilibru între dreptul la protecția datelor cu caracter personal și principiul accesului public la documente oficiale.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 190]

Articolul 81

Prelucrarea datelor cu caracter personal privind sănătatea

(1)  În limitele prevăzute de prezentul regulament și în conformitate cu dispozițiile prezentului regulament, în special cu articolul 9 alineatul (2), litera (h), prelucrarea datelor cu caracter personal privind sănătatea trebuie să se efectueze în baza legislației Uniunii sau a legislației statului membru care prevăd măsuri corespunzătoare, coerente și specifice pentru garantarea intereselor legitime și a drepturilor fundamentale ale persoanei vizate, și care în măsura în care acestea sunt necesare și proporționale, iar efectele lor pot fi prevăzute de către persoanele vizate:

(a)  în scopuri legate de medicina preventivă sau a muncii, stabilirea diagnosticului, administrarea unor îngrijiri medicale sau a unui tratament sau de gestionarea serviciilor medicale, precum și în cazul în care datele respective sunt prelucrate de un cadru medical supus obligației de a respecta secretul profesional sau de o altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește confidențialitatea în temeiul legislației statului membru ori al normelor stabilite de autoritățile naționale competente; sau

(b)  din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță, inter alia pentru medicamente sau aparatură medicală sau când prelucrarea acestor date este efectuată de o persoană care face obiectul obligației de confidențialitate; sau

(c)  din alte motive de interes public în domenii precum protecția socială, în special în scopul asigurării calității și eficienței din punctul de vedere al costurilor a procedurilor utilizate pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate și furnizarea de servicii de sănătate. Prelucrarea datelor cu caracter personal privind sănătatea din motive de interes general nu ar trebui să ducă la prelucrarea datelor cu caracter personal în alte scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului Uniunii sau al unui stat membru.

(1a)  În cazul în care scopurile menționate la alineatul (1) literele (a)-(c) pot fi realizate fără a utiliza date cu caracter personal, astfel de date nu sunt utilizate în aceste scopuri, cu excepția cazului când există consimțământul persoanei vizate sau în temeiul dreptului unui stat membru.

(1b)  În cazul în care este necesar consimțământul persoanei vizate pentru prelucrarea datelor medicale exclusiv în scopul cercetării științifice privind sănătatea publică, consimțământul poate fi acordat pentru una sau mai multe cercetări specifice și similare. Totuși, persoana vizată își poate retrage consimțământul în orice moment.

(1c)  Pentru acordarea consimțământului de a participa în activități de cercetare științifică în cadrul trialurilor clinice, se aplică dispozițiile relevante ale Directivei 2001/20/CE a Parlamentului European și a Consiliului(19).

(2)  Prelucrarea datelor cu caracter personal privind sănătatea, care este necesară în scopuri de cercetare istorică, statistică sau științifică, cum ar fi registrele de pacienți instituite pentru îmbunătățirea stabilirii diagnosticului și diferențierea între tipuri similare de boli, precum și pentru pregătirea de studii pentru terapii, este permisă doar cu consimțământul persoanei vizate și face obiectul condițiilor și măsurilor de garantare prevăzute la articolul 83.

(2a)  Legislația statelor membre poate prevedea excepții la cerința consimțământului în caz de cercetare, menționată la alineatul (2), în ceea ce privește cercetarea care servește unui interes public ridicat, dacă cercetarea respectivă nu poate fi efectuată altfel. Datele în cauză sunt anonimizate sau, dacă acest lucru nu este posibil din motive legate de cercetare, pseudonimizate, în conformitate cu cele mai înalte standarde tehnice, și se iau toate măsurile necesare pentru a preveni reidentificarea nejustificată a persoanelor vizate. Totuși, în orice moment, persoana vizată are dreptul de a se opune în conformitate cu articolul 19.

(3)  După solicitarea avizului Comitetului european pentru protecția datelor, Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 86 în scopul precizării în continuare a altor motive de a preciza mai mult noțiunea de interes public în domeniul sănătății publice, astfel cum se menționează la alineatul (1) litera (b), precum și a unor criterii și cerințe referitoare la garanții în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1) de interes public ridicat în domeniul cercetării astfel cum se menționează la alineatul (2a).

(3a)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 191]

Articolul 82

Standarde minime pentru prelucrarea în contextul ocupării unui loc de muncă

(1)  În limitele prezentului regulament În conformitate cu prevederile prezentului regulament și ținând cont de principiul proporționalității, statele membre pot adopta pe cale legislativă prin dispoziții legislative norme specifice care reglementează prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă, în special în scopul, dar nu numai, recrutării și al cererilor de angajare în cadrul grupului de întreprinderi, al îndeplinirii prevederilor contractului de muncă, inclusiv descărcarea de obligațiile stabilite prin lege sau și prin acorduri colective, în conformitate cu legislația și practica națională, al gestionării, planificării și organizării muncii, al asigurării sănătății și securității la locul de muncă, precum și în scopul exercitării și beneficierii, în mod individual sau colectiv, de drepturile și beneficiile legate de ocuparea unui loc de muncă, precum și pentru încetarea raporturilor de muncă. Statele membre pot permite acordurilor colective să precizeze în detaliu dispozițiile stabilite în prezentul articol.

(1a)  Scopul prelucrării unor astfel de date trebuie să fie legat de motivul pentru care au fost colectate și să se realizeze strict în contextul ocupării unui loc de muncă. Crearea de profiluri sau utilizarea pentru scopuri auxiliare nu este permisă.

(1b)  Consimțământul unui angajat nu reprezintă un temei juridic pentru prelucrarea datelor de către angajator atunci când consimțământul nu a fost acordat în mod liber.

(1c)  Fără a aduce atingere celorlalte prevederi ale prezentului regulament, dispozițiile legislative naționale menționate la alineatul (1) includ cel puțin următoarele standarde minime:

(a)  prelucrarea datelor unui angajat fără înștiințarea acestuia nu este permisă. Fără a aduce atingere primei teze, statele membre pot permite o astfel de practică prin lege, stabilind termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă;

(b)  este interzisă supravegherea audio și/sau video deschisă prin mijloace electronice a părților întreprinderii inaccesibile publicului, care sunt utilizate de angajați în primul rând pentru activități private, mai ales toaletele, vestiarele, încăperile pentru odihnă și dormitoarele. Supravegherea ascunsă este în orice caz interzisă;

(c)  dacă întreprinderile sau autoritățile colectează sau prelucrează date cu caracter personal în cadrul examinărilor medicale și/sau al testelor de aptitudini, acestea trebuie să explice înainte candidatului sau angajatului în ce scop sunt utilizate datele respective și să se asigure că ulterior îi vor fi comunicate împreună cu rezultatele și, la cerere, vor fi explicate. Colectarea datelor pentru teste și analize genetice este în principiu interzisă;

(d)  acordurile colective pot reglementa dacă și în ce măsură utilizarea telefonului, a e-mailului, a internetului și a altor servicii de telecomunicații este permisă și în scopuri private. În cazul în care nu există reglementare printr-un contract colectiv, angajatorul ajunge la un acord direct cu angajatul. Dacă utilizarea privată este permisă, se admite prelucrarea datelor privind traficul, în special pentru a garanta securitatea datelor, pentru a asigura buna funcționare a rețelelor și serviciilor de telecomunicații și în vederea facturării.

Fără a aduce atingere celei de a treia teze, statele membre pot permite o astfel de practică prin lege, cu garantarea unor termene potrivite de ștergere a datelor, dacă există indicii reale ce trebuie documentate potrivit cărora angajatul a comis o infracțiune sau o altă încălcare gravă a obligațiilor sale în cadrul raportului de muncă, dacă colectarea datelor este necesară în vederea soluționării cazului, iar natura și amploarea colectării sunt necesare și corespund scopului urmărit. Sfera privată și intimă a angajatului trebuie respectată în permanență. Investigația este realizată de autoritatea competentă;

(e)  datele cu caracter personal ale angajaților, și în special datele sensibile, cum ar fi orientarea politică, apartenența și activitățile sindicale nu pot fi în niciun caz utilizate pentru a înscrie angajații pe așa-numite „liste negre”, a efectua verificări asupra lor sau a-i împiedica să-și găsească un loc de muncă în viitor. Sunt interzise prelucrarea, utilizarea în contextul ocupării unui loc de muncă, redactarea și transmiterea de liste negre cu angajați sau alte forme de discriminare. Statele membre efectuează controale și adoptă sancțiuni adecvate în conformitate cu articolul 79 alineatul (6) pentru a asigura aplicarea efectivă a acestei dispoziții.

(1d)  Transmiterea și prelucrarea datelor cu caracter personal ale angajaților între întreprinderi distincte din punct de vedere juridic în cadrul unui grup de întreprinderi și profesioniștii care asigură consiliere juridică și fiscală este permisă, în măsura în care este relevantă pentru desfășurarea activității întreprinderii și pentru realizarea demersurilor și procedurilor administrative specifice și nu contravine intereselor și drepturilor fundamentale demne de a fi protejate ale persoanei vizate. Dacă datele angajaților sunt transmise într-o țară terță și/sau către o organizație internațională, se aplică capitolul V.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului alineatelor (1) și (1b), până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară care le afectează.

(3)  După solicitarea unui aviz emis de Comitetul european pentru protecția datelor, Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul garanțiilor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile menționate la alineatul (1). [AM 192]

Articolul 82a

Prelucrarea în contextul securității sociale

(1)  Statele membre pot, în conformitate cu dispozițiile prezentului regulament, adopta norme legislative specifice care să precizeze condițiile pentru prelucrarea datelor cu caracter personal de către instituțiile și departamentele lor publice în contextul securității sociale dacă prelucrarea se realizează în interes public.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile pe care le adoptă în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 193]

Articolul 83

Prelucrarea în scopuri de cercetare istorică, statistică și științifică

(1)  În limitele În conformitate cu dispozițiile prezentului regulament, datele cu caracter personal pot fi prelucrate în scopuri de cercetare istorică, statistică sau științifică numai dacă:

(a)  aceste scopuri nu pot fi îndeplinite prin prelucrarea unor date care nu permit sau nu mai permit identificarea persoanelor vizate;

(b)  datele care permit atribuirea de informații unei persoane vizate identificate sau identificabile sunt păstrate separat de alte informații atât timp cât aceste scopuri pot fi îndeplinite în acest mod în conformitate cu cele mai înalte standarde tehnice și sunt luate toate măsurile necesare pentru prevenirea reidentificarea nejustificată a persoanelor vizate.

(2)  Organismele care desfășoară activități de cercetare istorică, statistică sau științifică pot publica sau face publice în alt mod date cu caracter personal numai dacă:

(a)  persoana vizată și-a dat consimțământul, sub rezerva condițiilor prevăzute la articolul 7;

(b)  publicarea datelor cu caracter personal este necesară pentru a prezenta rezultatele cercetării sau pentru a facilita cercetarea, în măsura în care interesele sau drepturile ori libertățile fundamentale ale persoanei vizate nu prevalează asupra acestor interese sau

(c)  persoana vizată a făcut publice datele respective.

(3)  Comisia este mandatată să adopte acte delegate în conformitate cu articolul 86 în scopul detalierii criteriilor și cerințelor aplicabile în cazul prelucrării datelor cu caracter personal în scopurile menționate la alineatele (1) și (2), precum și a tuturor limitărilor necesare privind drepturile la informare și la acces ale persoanei vizate și care detaliază condițiile și garanțiile pentru drepturile persoanelor vizate în aceste circumstanțe. [AM 194]

Articolul 83a

Prelucrarea datelor cu caracter personal de către serviciile de arhivă

(1)  Odată ce prelucrarea inițială pentru care au fost colectate a fost finalizată, datele cu caracter personal pot fi prelucrate de serviciile de arhivă care au ca sarcină principală sau obligatorie de a colecta, păstra, comunica, exploata și disemina arhivele în interesul public, în special pentru justificarea drepturilor persoanelor sau în scopuri istorice, statistice sau științifice. Aceste sarcini sunt îndeplinite în conformitate cu normele stabilite de statele membre privind accesul, comunicarea și diseminarea documentelor administrative sau de arhivă și în conformitate cu normele stabilite în prezentul regulament, în special în ceea ce privește consimțământul și dreptul la opoziție.

(2)  Fiecare stat membru informează Comisia cu privire la dispozițiile din propria legislație pe care le-a adoptat în temeiul alineatului (1) până la data menționată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, cu privire la orice modificare ulterioară care le afectează. [AM 195]

Articolul 84

Obligații privind păstrarea confidențialității

(1)  În limitele În conformitate cu dispozițiile prezentului regulament, statele membre pot adopta norme specifice pentru a stabili competențele se asigură că există norme specifice de stabilire a competențelor de investigare ale autorităților de supraveghere, prevăzute la articolul 53 alineatul (2) în legătură cu operatori sau cu persoane împuternicite de operatori care trebuie să respecte, în temeiul dreptului intern sau al normelor stabilite de autoritățile naționale competente, obligația de a păstra secretul profesional sau alte obligații echivalente de confidențialitate, în cazul în care acest lucru este necesar și proporțional pentru a stabili un echilibru între dreptul la protecția datelor cu caracter personal și obligația păstrării confidențialității. Aceste norme se aplică doar în ceea ce privește datele cu caracter personal pe care operatorul sau persoana împuternicită de operator le-a primit sau le-a obținut în contextul unei activități care intră sub incidența acestei obligații de păstrare a confidențialității. [AM 196]

(2)  Fiecare stat membru notifică Comisiei normele adoptate în temeiul alineatului (1), până la data precizată la articolul 91 alineatul (2) cel târziu, precum și, fără întârziere, orice modificare ulterioară care le afectează.

Articolul 85

Normele existente în domeniul protecției datelor pentru biserici și asociații religioase

(1)  În cazul în care, într-un stat membru, bisericile și asociațiile sau comunitățile religioase aplică, la data intrării în vigoare a prezentului regulament, un set cuprinzător de norme adecvate de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, aceste norme pot continua să se aplice, cu condiția ca acestea să fie ajustate, pentru a fi conforme cu dispozițiile prezentului regulament.

(2)  Bisericile și asociațiile religioase care aplică un set cuprinzător de norme adecvate în conformitate cu alineatul (1) asigură instituirea unei autorități de supraveghere independente, în conformitate cu capitolul VI din prezentul regulament obțin un aviz de conformitate în temeiul articolului 38. [AM 197]

Articolul 85a

Respectarea drepturilor fundamentale

Prezentul regulament nu aduce atingere obligației de a respecta drepturile fundamentale și principiile juridice fundamentale consfințite de articolul 6 din TUE. [AM 198]

Articolul 85b

Formulare-tip

(1)  Ținând seama de particularitățile și nevoile specifice pentru diferitele sectoare și situații de prelucrare a datelor, Comisia poate stabili formulare-tip pentru:

(a)  metodele specifice de obținere a consimțământului verificabil menționat la articolul 8 alineatul (1),

(b)  comunicarea menționată la articolul 12 alineatul (2), inclusiv în format electronic,

(c)  furnizarea informațiilor prevăzute la articolul 14 alineatele (1)-(3),

(d)  solicitarea și acordarea accesului la informațiile menționate la articolul 15 alineatul (1), inclusiv pentru comunicarea datelor cu caracter personal către persoana vizată,

(e)  documentația menționată la articolul 28 alineatul (1),

(f)  notificarea autorității de supraveghere în cazul încălcării în temeiul articolului 31 și documentația menționată la articolul 31 alineatul (4),

(g)  consultările prealabile menționate la articolul 34 și pentru informarea autorităților de supraveghere, în conformitate cu articolul 34 alineatul (6).

(2)  Astfel, Comisia adoptă măsuri corespunzătoare pentru microîntreprinderi și pentru întreprinderi mici și mijlocii.

(3)  Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 87 alineatul (2). [AM 199]

CAPITOLUL X

ACTE DELEGATE ȘI ACTE DE PUNERE ÎN APLICARE

Articolul 86

Exercitarea delegării de competențe

(1)  Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute de prezentul articol.

(2)  Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3) Se conferă Comisiei competența de a adopta actele delegate menționate la articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6) (7), articolul 81 alineatul (3), și articolul 82 alineatul (3) și articolul 83 alineatul (3), îi este conferită Comisiei pentru o perioadă de timp nedeterminată, de la data intrării în vigoare a prezentului regulament. [AM 200]

(3)  Delegarea de competențe menționată la articolul 6 alineatul (5), articolul 8 alineatul (3), articolul 9 alineatul (3), articolul 12 alineatul (5), articolul 14 alineatul (7), articolul 15 alineatul (3), articolul 13a alineatul (5), articolul 17 alineatul (9), articolul 20 alineatul (6), articolul 22 alineatul (4), articolul 23 alineatul (3), articolul 26 alineatul (5), articolul 28 alineatul (5), articolul 30 alineatul (3), articolul 31 alineatul (5), articolul 32 alineatul (5), articolul 33 alineatul (6), articolul 34 alineatul (8), articolul 35 alineatul (11), articolul 37 alineatul (2), articolul 38 alineatul (4), articolul 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolul 43 alineatul (3), articolul 44 alineatul (7), articolul 79 alineatul (6) (7), articolul 81 alineatul (3), și articolul 82 alineatul (3) poate fi revocată în orice moment de către Parlamentul European sau de către Consiliu. O decizie de revocare pune capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare. [AM 201]

(4)  De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(5)  Un act delegat adoptat în temeiul articolului 6 alineatul (5), articolului 8 alineatul (3), articolului 9 alineatul (3), articolului 12 alineatul (5), articolului 14 alineatul (7), articolului 15 alineatul (3), în conformitate cu articolul 13a alineatul (5), articolului 17 alineatul (9), articolului 20 alineatul (6), articolului 22 alineatul (4), articolului 23 alineatul (3), articolului 26 alineatul (5), articolului 28 alineatul (5), articolului 30 alineatul (3), articolului 31 alineatul (5), articolului 32 alineatul (5), articolului 33 alineatul (6), articolului 34 alineatul (8), articolului 35 alineatul (11), articolului 37 alineatul (2), articolul 38 alineatul (4), articolului 39 alineatul (2), articolul 41 alineatul (3), articolul 41 alineatul (5), articolului 43 alineatul (3), articolului 44 alineatul (7), articolului 79 alineatul (6) (7), articolului 81 alineatul (3), articolului 82 alineatul (3) și articolului 83 alineatul (3), intră în vigoare numai în cazul în care nu a fost exprimată nici o obiecție din partea Parlamentului European sau a Consiliului, în termen de două luni de la notificarea acestui act Parlamentului European și Consiliului sau în cazul în care, înainte de expirarea acestei perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea obiecții. Perioada se prelungește cu două șase luni, la inițiativa Parlamentului European sau a Consiliului. [AM 202]

Articolul 87

Procedura comitetului

(1)  Comisia este asistată de un comitet. Acesta este un comitet în sensul Regulamentului (UE) nr. 182/2011.

(2)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(3)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din același regulament. [AM 203]

CAPITOLUL XI

DISPOZIȚII FINALE

Articolul 88

Abrogarea Directivei 95/46/CE

(1)  Directiva 95/46/CE se abrogă.

(2)  Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpretează ca trimiteri la Comitetul european pentru protecția datelor instituit prin prezentul regulament.

Articolul 89

Relația cu Directiva 2002/58/CE și modificarea acesteia

(1)  Prezentul regulament nu impune obligații suplimentare pentru persoanele fizice sau juridice în ceea ce privește prelucrarea datelor cu caracter personal în legătură cu furnizarea de servicii de comunicații electronice destinate publicului în rețelele de comunicații publice din Uniune cu privire la aspectele pentru care acestea fac obiectul unor obligații specifice cu același obiectiv precum cel prevăzut în Directiva 2002/58/CE.

(2)  Articolul 1 alineatul (2) și articolele 4 și 15 din Directiva 2002/58/CE se elimină. [AM 204]

(2a)   Comisia prezintă, fără întârziere și cel târziu până la data menționată la articolul 91 alineatul (2), o propunere de revizuire a cadrului juridic aplicabil prelucrării datelor cu caracter personal și protejării sferei private în comunicările electronice, în scopul de a alinia legislația la prezentul regulament și de a asigura norme juridice coerente și uniforme referitoare la dreptul fundamental la protecția datelor cu caracter personal în Uniune. [AM 205]

Articolul 89a

Relația cu Directiva 45/2001/CE și modificarea acesteia

(1)  Dispozițiile prezentului regulament se aplică prelucrării datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii, cu privire la aspectele pentru care acestea nu fac obiectul unor dispoziții suplimentare stabilite în Regulamentul (CE) nr. 45/2001.

(2)  Comisia prezintă, fără întârziere și cel târziu până la data menționată la articolul 91 alineatul (2), o propunere de revizuire a cadrului juridic aplicabil prelucrării datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii. [AM 206]

Articolul 90

Evaluarea

Comisia transmite Parlamentului European și Consiliului, la intervale regulate, rapoarte privind evaluarea și revizuirea prezentului regulament. Primul raport se transmite în termen de cel mult patru ani de la data intrării în vigoare a prezentului regulament. Ulterior, următoarele rapoarte se transmit o dată la patru ani. Comisia transmite, dacă este necesar, propuneri corespunzătoare în vederea modificării prezentului regulament, precum și alinierea altor instrumente juridice, în special ținând seama de realizările din domeniul tehnologiei informațiilor și având în vedere progresele societății informaționale. Rapoartele se publică.

Articolul 91

Intrarea în vigoare și aplicarea

(1)  Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2)  Se aplică începând cu ...(20).

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptată la ...,

Pentru Parlamentul European Pentru Consiliu

Președintele Președintele

Anexă - Prezentarea detaliilor menționate la articolul 13a

1)  Având în vedere proporțiile menționate la punctul 6, detaliile se furnizează după cum urmează:

20140312-P7_TA(2014)0212_RO-p0000001.png

2)  Următoarele cuvinte din liniile din a doua coloană a tabelului de la punctul 1 cu titlul „INFORMAȚII ESENȚIALE” se marchează cu caractere aldine:

a)  cuvântul „colectate” din prima linie din a doua coloană;

b)  cuvântul „păstrate” din a doua linie din a doua coloană;

c)  cuvântul „prelucrate” din a treia linie din a doua coloană;

d)  cuvântul „diseminate” din a patra linie din a doua coloană;

e)  cuvintele „vândute sau închiriate” din a cincea linie din a doua coloană;

f)  cuvântul „necriptată” din a șasea linie din a doua coloană.

3)  Având în vedere proporțiile menționate la punctul 6, liniile din a treia coloană din tabelul de la punctul 1 cu titlul „ÎNDEPLINIT” se completează, în conformitate cu condițiile stabilite la punctul 4, cu una din următoarele două forme grafice:

a)

20140312-P7_TA(2014)0212_RO-p0000002.png

b)

20140312-P7_TA(2014)0212_RO-p0000003.png

4)  

a)  Dacă nu se colectează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, prima linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

b)  Dacă se colectează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, prima linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

c)  Dacă nu se păstrează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, a doua linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

d)  Dacă se păstrează date cu caracter personal dincolo de pragul minim necesar pentru fiecare scop specific al prelucrării, a doua linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

e)  Dacă datele cu caracter personal nu se prelucrează în alte scopuri decât în scopurile pentru care au fost colectate, a treia linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

f)  Dacă datele cu caracter personal se prelucrează în alte scopuri decât în scopurile pentru care au fost colectate, a treia linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

g)  Dacă datele cu caracter personal nu sunt diseminate unor părți terțe comerciale, a patra linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

h)  Dacă datele cu caracter personal sunt diseminate unor părți terțe comerciale, a patra linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

i)  Dacă datele cu caracter personal nu sunt vândute sau închiriate, a cincea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

j)  Dacă datele cu caracter personal sunt vândute sau închiriate, a cincea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

k)  Dacă datele cu caracter personal nu sunt păstrate într-o formă necriptată, a șasea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3a.

l)  Dacă datele cu caracter personal sunt păstrate într-o formă necriptată, a șasea linie din coloana a treia din tabelul de la punctul 1 conține forma grafică menționată la punctul 3b.

5)  Culorile de referință ale formelor grafice de la punctul 1 în Pantone sunt negru Pantone nr. 7547 și roșu Pantone nr. 485. Culoarea de referință a formei grafice la punctul 3a în Pantone este verde Pantone nr. 370. Culoarea de referință a formei grafice la punctul 3b în Pantone este roșu Pantone nr. 485.

6)  Se respectă proporțiile indicate în următorul desen gradat, chiar dacă tabelul este redus sau mărit:

20140312-P7_TA(2014)0212_RO-p0000004.png

[AM 207]

(1)JO C 229, 31,7,2012, p. 90.
(2)JO C 192, 30,6,2012, p. 7.
(3)Poziția Parlamentului European din 12 martie 2014.
(4)Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).
(5)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).
(6) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p.1).
(7) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic) (JO L 178, 17.7.2000, p. 1).
(8) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(9) Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă (JO L 354, 31.12.2008, p. 70)
(10) Directiva 2009/38/CE a Parlamentului European și a Consiliului din 6 mai 2009 privind instituirea unui comitet european de întreprindere sau a unei proceduri de informare și consultare a lucrătorilor în întreprinderile și grupurile de întreprinderi de dimensiune comunitară (JO L 122, 16.5.2009, p. 28).
(11)Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie, JO L 55, 28.2.2011, p. 13.
(12) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).
(13)JO L 176, 10.7.1999, p. 36.
(14)JO L 53, 27.2.2008, p. 52.
(15)JO L 160, 18.6.2011, p. 21.
(16) Directiva 2004/18/CE a Parlamentului European și a Consiliului din 31 martie 2004 privind coordonarea procedurilor de atribuire a contractelor de achiziții publice de lucrări, de bunuri și de servicii (JO L 134, 30.4.2004, p. 114).
(17) Directiva 2004/17/CE a Parlamentului European și a Consiliului din 31 martie 2004 de coordonare a procedurilor de atribuire a contractelor publice din sectoarele apei, energiei, transporturilor și serviciilor poștale (JO L 134, 30.4.2004, p. 1).
(18) Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (JO L 145, 31.5.2001, p. 43).
(19)Directiva 2001/20/CE a Parlamentului European și a Consiliului din 4 aprilie 2001 de apropiere a actelor cu putere de lege și a actelor administrative ale statelor membre privind aplicarea bunelor practici clinice în cazul efectuării de studii clinice pentru evaluarea produselor medicamentoase de uz uman (JO L 121, 1.5.2001, p. 34)."
(20) Doi ani de la data intrării în vigoare a prezentului regulament.

Aviz juridic - Politica de confidențialitate