Index 
 Înapoi 
 Înainte 
 Text integral 
Procedură : 2012/0010(COD)
Stadiile documentului în şedinţă
Stadii ale documentului : A7-0403/2013

Texte depuse :

A7-0403/2013

Dezbateri :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Voturi :

PV 12/03/2014 - 8.12
Explicaţii privind voturile

Texte adoptate :

P7_TA(2014)0219

Texte adoptate
PDF 802kWORD 510k
Miercuri, 12 martie 2014 - Strasbourg
Prelucrarea datelor cu caracter personal în scopul prevenirii infracțiunilor ***I
P7_TA(2014)0219A7-0403/2013
Rezoluţie
 Text consolidat

Rezoluţia legislativă a Parlamentului European din 12 martie 2014 referitor la propunerea de directivă a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Procedura legislativă ordinară: prima lectură)

Parlamentul European,

–  având în vedere propunerea Comisiei înaintată Parlamentului și Consiliului (COM(2012)0010),

–  având în vedere articolul 294 alineatul (2) și articolul 16 alineatul (2) litera (a) din Tratatul privind funcționarea Uniunii Europene, în temeiul cărora propunerea a fost prezentată de către Comisie (C7-0024/2012),

–  având în vedere articolul 294 alineatul (3) din Tratatul privind funcționarea Uniunii Europene,

–  având în vedere avizele motivate prezentate de către Bundesrat-ul german și Parlamentul Suediei în cadrul Protocolului nr. 2 privind aplicarea principiilor subsidiarității și proporționalității, în care se susține că proiectul de act legislativ nu respectă principiul subsidiarității,

–  având în vedere avizul Autorității Europene pentru Protecția Datelor din 7 martie 2012(1),

–  având în vedere avizul Agenției pentru Drepturi Fundamentale a Uniunii Europene din 1 octombrie 2012,

–  având în vedere articolul 55 din Regulamentul său de procedură,

–  având în vedere raportul Comisiei pentru libertăți civile, justiție și afaceri interne și avizul Comisiei pentru afaceri juridice (A7-0403/2013),

1.  adoptă poziția în primă lectură prezentată în continuare;

2.  solicită Comisiei să îl sesizeze din nou în cazul în care intenționează să modifice în mod substanțial propunerea sau să o înlocuiască cu un alt text;

3.  încredințează Președintelui sarcina de a transmite Consiliului și Comisiei, precum și parlamentelor naționale poziția Parlamentului.

(1) JO C 192, 30.6.2012, p. 7.


Poziția Parlamentului European adoptată în primă lectură la 12 martie 2014 în vederea adoptării Directivei 2014/…/UE a Parlamentului European și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și la libera circulație a acestor date
P7_TC1-COD(2012)0010

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16 alineatul (2),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

după consultarea Autorității Europene pentru Protecția Datelor(1),

hotărând în conformitate cu procedura legislativă ordinară(2),

întrucât:

(1)  Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („Carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene prevăd că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Articolul 8 alineatul (2) din Cartă prevede că astfel de date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau a unui alt motiv legitim prevăzut de lege. [AM 1]

(2)  Prelucrarea datelor cu caracter personal este în serviciul cetățeanului; principiile și normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal. Aceasta ar trebui să contribuie la realizarea unui spațiu de libertate, securitate și justiție.

(3)  Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea colectării și a schimbului și de date a crescut spectaculos. Tehnologia permite autorităților competente să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor.

(4)  Această evoluție necesită facilitarea liberei circulații a datelor, atunci când este necesar și proporționat, între autoritățile competente în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal. Aceste evoluții impun construirea unui cadru solid și mai coerent în materie de protecție a datelor în Uniune, însoțit de o aplicare riguroasă a normelor. [AM 2]

(5)  Directiva 95/46/CE a Parlamentului European și a Consiliului(3) se aplică tuturor activităților de prelucrare a datelor cu caracter personal în statele membre, atât în sectorul public, cât și în cel privat. Cu toate acestea, directiva menționată nu se aplică prelucrării datelor cu caracter personal „puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar”, cum ar fi activitățile în domeniul cooperării judiciare în materie penală și al cooperării polițienești.

(6)  Decizia-cadru 2008/977/JAI a Consiliului(4) se aplică în domeniul cooperării judiciare în materie penală și al cooperării polițienești. Domeniul de aplicare a prezentei decizii-cadru este limitat la prelucrarea datelor cu caracter personal transmise sau puse la dispoziție între statele membre.

(7)  Asigurarea unui nivel omogen și ridicat de protecție a datelor cu caracter personal ale persoanelor fizice și facilitarea schimbului de date cu caracter personal între autoritățile competente ale statelor membre sunt esențiale pentru a se garanta eficacitatea cooperării judiciare în materie penală și a cooperării polițienești. În acest scop, nivelul de protecție a drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor trebuie să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează date cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele în materie de protecție a datelor cu caracter personal în statele membre. [AM 3]

(8)  Articolul 16 alineatul (2) din Tratatul privind funcționarea Uniunii Europene prevede că Parlamentul European și Consiliul ar trebui să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum și normele privind libera circulație a datelor lor cu caracter personal. [AM 4]

(9)  Pe această bază, Regulamentul (UE) nr. .../2014 al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) stabilește normele generale pentru protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și garantarea liberei circulații a acestor date în cadrul Uniunii.

(10)  În Declarația 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată la actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, Conferința a recunoscut că normele specifice privind protecția datelor cu caracter personal și libera circulație a acestor date în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 din Tratatul privind funcționarea Uniunii Europene s-ar putea dovedi necesare, având în vedere natura specifică a acestor domenii.

(11)  Prin urmare, o directivă distinctă specifică ar trebui să fie adaptată naturii specifice a acestor domenii și să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor. [AM 5]

(12)  În vederea asigurării aceluiași nivel de protecție pentru persoanele fizice prin drepturi garantate din punct de vedere juridic în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică schimbul de date cu caracter personal între autoritățile competente, directiva ar trebui să prevadă norme armonizate pentru protecția și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești.

(13)  Prezenta directivă permite luarea în considerare a principiului accesului publicului la documentele oficiale, în aplicarea dispozițiilor prevăzute de aceasta.

(14)  Protecția conferită de prezenta directivă ar trebui să vizeze persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal.

(15)  Protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnicile utilizate, în caz contrar, creându-se un risc serios de eludare. Protecția persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automate, precum și prelucrării manuale, în cazul în care datele sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice, nu ar trebui să intre în domeniul de aplicare a prezentei directive. Aceasta nu ar trebui să se aplice prelucrării datelor cu caracter personal în cadrul unei activități care nu intră în domeniul de aplicare a dreptului Uniunii, în special privind securitatea națională, nici prelucrării datelor efectuate de către instituțiile, organismele, oficiile și agențiile Uniunii, cum ar fi Europol sau Eurojust. Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului(5) și instrumentele juridice specifice aplicabile agențiilor, organismelor sau birourilor Uniunii ar trebui aduse la conformitate cu prezenta directivă și aplicate în conformitate cu aceasta. [AM 6]

(16)  Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se stabili dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării sau individualizării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă. Prezenta directivă nu ar trebui să se aplice datelor anonime, prin acestea înțelegându-se orice date care nu pot fi legate, direct sau indirect, izolate sau în combinație cu date asociate, de o persoană fizică. Având în vedere importanța evoluțiilor aflate în desfășurare în societatea informațională, a tehnicilor folosite pentru a capta, transmite, manipula, înregistra, stoca sau comunica date de localizare referitoare la persoane fizice, care pot fi utilizate în diferite scopuri, inclusiv supravegherea sau crearea de profiluri, prezenta directivă ar trebui să se poată aplica procesării care implică astfel de date personale. [AM 7]

(16a)  Orice prelucrare a datelor cu caracter personal trebuie să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor cu caracter personal. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la minimul necesar scopurilor în care sunt prelucrate. Aceasta presupune îndeosebi limitarea datelor colectate și a perioadei în care sunt stocate datele la minimul necesar. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui luate toate măsurile rezonabile pentru a se asigura rectificarea sau ștergerea datelor cu caracter personal care sunt inexacte. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. [AM 8]

(17)  Datele cu caracter personal referitoare la sănătate ar trebui să includă, în special, toate datele având legătură cu starea de sănătate a persoanei vizate; informații privind înscrierea persoanei pentru acordarea de servicii medicale; informații privind plățile pentru asistență medicală efectuate de persoana fizică sau privind eligibilitatea acesteia pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri medicale; orice informații privind persoana fizică respectivă colectate în cadrul furnizării de servicii de sănătate pentru aceasta; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv eșantioane de material biologic; identificarea unei persoane ca furnizor de asistență medicală pentru persoana fizică respectivă sau orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate, indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

(18)  Orice prelucrare a datelor cu caracter personal trebuie să fie echitabilă și legală în raport cu persoanele vizate. În special, scopul specific pentru care sunt prelucrate datele ar trebui să fie explicit. [AM 9]

(19)  Pentru prevenirea, cercetarea și urmărirea penală a infracțiunilor, autoritățile competente trebuie să păstreze și să prelucreze datele cu caracter personal colectate în contextul prevenirii, identificării, investigării sau urmăririi penale a anumitor infracțiuni penale dincolo de acest context pentru a înțelege mai bine fenomenele și tendințele infracționale, pentru a culege informații despre rețelele de crimă organizată și pentru a face legături între diferitele infracțiuni constatate. [AM 10]

(20)  Datele cu caracter personal nu ar trebui prelucrate în scopuri considerate incompatibile cu scopul în care au fost colectate. Datele cu caracter personal ar trebui să fie adecvate, relevante și neexcesive în ceea ce privește scopurile în care sunt prelucrate datele cu caracter personal. Ar trebui luate toate măsurile rezonabile pentru a se asigura rectificarea sau ștergerea datelor cu caracter personal care sunt inexacte. [AM 11]

(20a)  Simplul fapt că două scopuri se referă la prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau la executarea pedepselor nu înseamnă neapărat că acestea sunt compatibile. Cu toate acestea, există cazuri în care prelucrarea ulterioară de date în scopuri incompatibile ar trebui permisă dacă este necesară pentru respectarea unei obligații legale care incumbă operatorului, în vederea protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane sau în vederea prevenirii unei amenințări imediate și grave la adresa securității publice. Prin urmare, statele membre ar trebui să fie în măsură să adopte o legislație națională care să prevadă asemenea derogări în măsura în care este strict necesar. Legile naționale respective ar trebui să conțină garanții adecvate. [AM 12]

(21)  Principiul exactității datelor ar trebui aplicat luând în considerare natura și scopul prelucrării în cauză. În special în cadrul procedurilor judiciare, declarațiile care conțin date cu caracter personal se bazează pe o percepție subiectivă a persoanelor fizice și nu sunt întotdeauna verificabile. În consecință, acest principiu nu ar trebui să se aplice exactității unei declarații, ci doar faptului că o anumită declarație a fost făcută.

(22)  În interpretarea și aplicarea principiilor generale referitoare la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, ar trebui să se țină seama de specificul sectorului, inclusiv de obiectivele specifice urmărite. [AM 13]

(23)  Prelucrarea datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești presupune prelucrarea datelor cu caracter personal referitoare la diferite categorii de persoane. Prin urmare, ar trebui să se facă o distincție cât mai clară între datele cu caracter personal ale diferitelor categorii de persoane vizate, cum ar fi suspecții, persoanele condamnate pentru comiterea unei infracțiuni, victimele și părțile terțe, cum ar fi martorii, persoanele care dețin informații sau contacte relevante și complicii suspecților și ai infractorilor condamnați. Statele membre ar trebui să prevadă norme specifice referitoare la consecințele acestei clasificări pe categorii, luând în considerare diferitele scopuri în care sunt colectate datele și asigurând garanții specifice în ceea ce privește persoanele care nu sunt suspectate de a fi comis o infracțiune penală sau nu au fost condamnate pentru săvârșirea acesteia. [AM 14]

(24)  Pe cât posibil, datele cu caracter personal ar trebui diferențiate în funcție de gradul de exactitate și fiabilitate. Ar trebui să se facă diferența între fapte și evaluări cu caracter personal, pentru a garanta atât protecția persoanelor fizice, cât și calitatea și fiabilitatea informațiilor prelucrate de autoritățile competente.

(25)  Pentru a fi legală, prelucrarea datelor cu caracter personal ar trebui să fie permisă numai când aceasta este necesară pentru respectarea unei obligații legale care incumbă operatorului, pentru îndeplinirea unei sarcini de interes public de către o autoritate competentă în temeiul legii sau în scopul protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane, sau în scopul prevenirii unei amenințări imediate și grave la adresa securității publice dreptului Uniunii sau dreptului statelor membre, care ar trebui să cuprindă dispoziții explicite și detaliate legate cel puțin de obiectivele, datele personale, mijloacele și scopurile specifice, să desemneze operatorul de date sau să permită desemnarea acestuia, procedurile ce urmează a fi respectate, utilizarea și limitările domeniului de aplicare ale oricărei prerogative conferite de autoritățile competente în legătură cu activitățile de procesare. [AM 15]

(25a)  Datele cu caracter personal nu ar trebui prelucrate în scopuri considerate incompatibile cu scopul în care au fost colectate. Prelucrarea suplimentară de către autoritățile competente pentru un scop care intră în domeniul de aplicare al prezentei directive dar care nu este compatibil cu scopul inițial ar trebui să fie autorizată numai în situații specifice în care o asemenea prelucrare este necesară pentru conformitatea cu o obligație legală, pe baza legislației Uniunii sau a statului membru, care se aplică operatorului sau pentru a proteja interesele vitale ale persoanei vizate sau al altei persoane sau pentru prevenirea unei amenințări imediate grave la adresa siguranței publice. Faptul că datele sunt prelucrate în scopul aplicării legii nu implică în mod necesar că acest scop este compatibil cu scopul inițial. Conceptul utilizării compatibile trebuie interpretat restrictiv. [AM 16]

(25b)  Prelucrarea datelor cu caracter personal în condițiile încălcării dispozițiilor naționale adoptate în conformitate cu prezenta directivă ar trebui oprită. [AM 17]

(26)  Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, inclusiv datele genetice, necesită o protecție specifică. Astfel de date nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este în mod expres permisă de o lege necesară pentru executarea unei sarcini efectuate în interes public, pe baza legislației Uniunii sau a statului membru care prevede măsuri corespunzătoare pentru protejarea drepturilor fundamentale și a intereselor legitime ale persoanei vizate; sau prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane; sau prelucrarea se referă la date care sunt făcute publice în mod manifest de persoana vizată. Datele sensibile cu caracter personal ar trebui prelucrate numai dacă acestea completează alte date cu caracter personal deja prelucrate în scopul aplicării legii. Orice derogare de la interdicția de prelucrare a datelor sensibile ar trebui interpretată în mod restrictiv și nu ar trebui să conducă la procesarea frecventă, masivă sau structurală a datelor sensibile cu caracter personal. [AM 18]

(26a)  Prelucrarea datelor genetice ar trebui permisă dacă există o legătură genetică în cursul unei anchete penale sau al unei proceduri judiciare. Datele genetice ar trebui stocate atât timp cât este strict necesar în scopul unor astfel de anchete și proceduri, statele membre având posibilitatea de a stoca timp mai îndelungat în conformitate cu condițiile stabilite de prezenta directivă. [AM 19]

(27)  Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează exclusiv pe prelucrarea, parțial sau total, pe crearea de profiluri prin mijloace de prelucrare automată dacă aceasta aduce prejudicii în plan a datelor. O astfel de procesare, care produce un efect juridic pentru persoana respectivă sau care o afectează în mod semnificativ ar trebui interzisă, cu excepția cazului în care respectiva măsură este permisă de lege și sub rezerva unor măsuri adecvate de protejare a intereselor legitime ale persoanei vizate, inclusiv a dreptului de a i se oferi informații consistente cu privire la logica utilizată în crearea de profiluri. Asemenea prelucrare nu ar trebui nicidecum să cuprindă, să genereze sau să opereze discriminări bazate pe categorii speciale de date. [AM 20]

(28)  Pentru ca persoanele vizate să își poată exercita drepturile, toate informațiile care le sunt adresate trebuie să fie ușor accesibile și ușor de înțeles, limbajul folosit fiind simplu și clar. Aceste informații ar trebui adaptate nevoilor persoanelor vizate, în special atunci când informațiile se adresează în mod specific unui copil. [AM 21]

(29)  Ar trebui prevăzute modalități pentru a facilita exercitarea, de către persoana vizată, a drepturilor pe care i le conferă prezenta directivă, printre care se numără în special mecanismele prin care poate solicita, în mod gratuit, accesul la date, rectificarea și ștergerea acestora. Operatorul ar trebui să fie obligat să răspundă cererilor persoanei vizate fără întârzieri nejustificate întârziere, în termen de o lună de la primirea cererii. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul ar trebui să prevadă, de asemenea, modalități de introducere a cererilor pe cale electronică. [AM 22]

(30)  Conform principiului prelucrării echitabile și transparente, persoanele vizate ar trebui să fie informate, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, la temeiul juridic, la durata stocării datelor, la existența dreptului de acces, de rectificare sau ștergere a datelor și la dreptul de a înainta o plângere. Mai mult, persoana vizată ar trebui informată în legătură cu crearea de profiluri în ceea ce o privește și cu scopul urmărit prin crearea profilului. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. [AM 23]

(31)  Informațiile în legătură cu prelucrarea datelor cu caracter personal ar trebui oferite persoanei vizate în momentul colectării acestor date, sau, în cazul în care datele nu sunt obținute de la persoana vizată, în momentul în care sunt înregistrate sau într-o perioadă de timp rezonabilă după colectare, având în vedere circumstanțele specifice ale prelucrării datelor.

(32)  Orice persoană ar trebui să aibă drept de acces la datele colectate care o privesc și ar trebui să își exercite acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, temeiul juridic, pentru ce perioadă, care este identitatea destinatarilor datelor, inclusiv în țările terțe, informații inteligibile cu privire la logica procesărilor automate și consecințele semnificative preconizate, dacă este cazul, dreptul de a depune o plângere la autoritatea de supraveghere și datele de contact ale acesteia. Persoanele vizate ar trebui să aibă dreptul de a primi o copie a datelor lor cu caracter personal care sunt prelucrate. [AM 24]

(33)  Statele membre ar trebui să aibă posibilitatea de a adopta măsuri legislative în vederea amânării, sau restricționării parțiale sau totale a informării persoanelor vizate sau a accesului la datele lor cu caracter personal în măsura în care o astfel de restricționare parțială sau totală constituie o măsură necesară și proporțională într-o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei vizate, pentru a se evita obstrucționarea cercetărilor, a anchetelor sau a procedurilor oficiale sau judiciare, pentru a nu se afecta măsurile de prevenire, identificare, investigare sau urmărire penală a infracțiunilor sau executarea pedepselor, pentru a se proteja securitatea publică sau securitatea națională ori pentru a se proteja persoana vizată sau drepturile și libertățile altor persoane. Operatorul ar trebui să evalueze pe baza examinării concrete și individuale a fiecărui caz dacă ar trebui aplicată o restricționare parțială sau totală a dreptului de acces. [AM 25]

(34)  Orice refuz sau restricționare a accesului ar trebui prezentat în scris persoanei vizate, precizându-se motivele de fapt și de drept pe care se bazează decizia.

(34a)  Orice restrângere a drepturilor persoanelor vizate trebuie să fie în conformitate cu Carta, după cum a fost clarificat în jurisprudența Curții de Justiție a Uniunii Europene și a Curții Europene a Drepturilor Omului și, îndeosebi, să respecte esența drepturilor și libertăților. [AM 26]

(35)  În cazul în care statele membre au adoptat măsuri legislative care limitează total sau parțial dreptul de acces, persoana vizată ar trebui să aibă dreptul de a solicita autorității naționale de supraveghere competente să verifice legalitatea prelucrării datelor. Persoana vizată trebuie să fie informată cu privire la acest drept. Atunci când dreptul de acces este exercitat de către autoritatea de supraveghere în numele persoanei vizate, autoritatea de supraveghere ar trebui cel puțin să informeze persoana vizată că toate verificările necesare au avut loc și să îi comunice dacă prelucrarea respectivă este legală sau nu. Autoritatea de supraveghere ar trebui, de asemenea, să informeze persoana vizată în legătură cu dreptul de a introduce o cale de atac în instanță. [AM 27]

(36)  Orice persoană ar trebui să aibă dreptul de a obține rectificarea datelor cu caracter personal inexacte sau procesate ilegal care o privesc și dreptul de eliminare a datelor în cazul în care prelucrarea datelor respective nu este în conformitate cu principiile de bază dispozițiile prevăzute în prezenta directivă. Rectificarea, completarea sau ștergerea ar trebui să fie comunicate destinatarilor divulgării datelor și părților terțe de la care provin datele inexacte. Operatorii ar trebui, de asemenea, să nu comunice mai departe aceste date. În cazul în care datele cu caracter personal sunt prelucrate în cadrul unei anchete și a unor proceduri judiciare, rectificarea, dreptul la informare, dreptul de acces, dreptul de ștergere și de restricționare a prelucrării pot fi exercitate în conformitate cu normele naționale privind procedurile judiciare. [AM 28]

(37)  Ar trebui prevăzută responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu normele adoptate în conformitate cu prezenta directivă. [AM 29]

(38)  Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare pentru a se asigura îndeplinirea cerințelor din prezenta directivă. Pentru a asigura respectarea dispozițiilor adoptate în conformitate cu prezenta directivă, controlorul ar trebui să adopte politici și să pună în aplicare măsuri adecvate, care respectă, în special, principiile de protecție a datelor începând cu momentul conceperii și protecție implicită a datelor.

(39)  Protecția drepturilor și a libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanelor împuternicite de către operator necesită o atribuire clară a responsabilităților în temeiul prezentei directive, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. Persoana vizată ar trebui să aibă dreptul de a-și exercita drepturile ce decurg din prezenta directivă în raport și în opoziție cu fiecare dintre operatorii comuni. [AM 30]

(40)  Activitățile de prelucrare ar trebui să fie înregistrate de către operator sau de către persoana împuternicită de către operator, în scopul de a monitoriza conformitatea cu prezenta directivă. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația disponibilă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare.

(40a)  Orice operațiune de prelucrare de date cu caracter personal se ia în evidență pentru verificarea legalității prelucrării datelor, pentru monitorizare proprie și pentru asigurarea integrității și a securității corespunzătoare a datelor. Această înregistrare ar trebui să fie pusă la dispoziția autorității de supraveghere la cerere în scopul monitorizării conformității cu normele prevăzute în prezenta directivă. [AM 31]

(40b)  Operatorul sau persoanele împuternicite de operator ar trebui să realizeze o evaluare a impactului privind protecția datelor în cazurile în care operațiunile de prelucrare pot prezenta, prin natura, domeniul de aplicare sau scopurile lor, riscuri specifice la adresa drepturilor și libertăților persoanelor vizate, evaluare care ar trebui să includă în special măsurile, garanțiile și mecanismele preconizate în vederea asigurării protecției datelor cu caracter personal și a conformității cu prezenta directivă. Evaluările de impact ar trebui să vizeze sistemele și procesele relevante aferente prelucrării datelor cu caracter personal, nu cazuri individuale. [AM 32]

(41)  Pentru a garanta protecția eficientă a drepturilor și libertăților persoanelor vizate prin intermediul unor acțiuni preventive, operatorul sau persoana împuternicită de către operator ar trebui să se consulte cu autoritatea de supraveghere în anumite cazuri înainte de prelucrare. În plus, în cazul în care o evaluare de impact asupra protecției datelor relevă că operațiunile de prelucrare pot prezenta riscuri specifice asupra drepturilor și libertăților persoanelor vizate, autoritatea de supraveghere ar trebui să fie în poziția de a preveni, înainte de începerea operațiunilor, o prelucrare riscantă care nu este în conformitate cu prezenta directivă și să facă propuneri pentru a remedia o asemenea situație. Această consultare poate, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare. [AM 33]

(41a)  În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentei directive, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. La stabilirea standardelor tehnice și a măsurilor organizatorice pentru asigurarea securității procesării, trebuie promovată neutralitatea tehnologică. [AM 34]

(42)  Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate produce efecte negative cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale, inclusiv asupra reputației persoanei fizice vizate fraudarea identității. Prin urmare, de îndată ce un operator află că a avut loc o astfel de încălcare, aceasta ar trebui să notifice respectiva încălcare autorității naționale competente. Persoanele fizice ale căror date cu caracter personal sau a căror viață privată ar putea fi afectate negativ de încălcare ar trebui să fie înștiințate fără întârziere, pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației în legătură cu prelucrarea datelor cu caracter personal. Notificarea ar trebui să includă informații privind măsurile luate de către furnizor pentru a soluționa încălcarea securității, precum și recomandări pentru abonatul sau individul afectat. Notificarea persoanei vizate ar trebui făcută în cel mai scurt timp posibil și în cooperare strânsă cu autoritatea de supraveghere și cu respectarea îndrumărilor acesteia. [AM 35]

(43)  La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea utilizării incorecte. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților competente în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare.

(44)  Operatorul sau persoana împuternicită de către operator ar trebui să desemneze o persoană care să ajute operatorul sau persoana împuternicită de către operator să monitorizeze și să demonstreze respectarea dispozițiilor adoptate în temeiul prezentei directive. Un responsabil cu protecția datelor poate fi numit în comun de mai multe entități ale autorității competente. În cazul în care mai multe autorități competente acționează sub supravegherea unei autorități centrale, cel puțin această autoritate centrală ar trebui să desemneze un astfel de responsabil cu protecția datelor. Responsabilii cu protecția datelor trebuie să fie în măsură să își îndeplinească îndatoririle și sarcinile în mod independent și eficient, îndeosebi prin stabilirea unor norme prin care să se evite conflictul de interese cu alte sarcini efectuate de responsabilii cu protecția datelor. [AM 36]

(45)  Statele membre ar trebui să asigure că transferul către o țară terță nu are loc decât în cazul în care acesta acest transfer specific este necesar pentru prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor sau pentru executarea pedepselor, iar autoritatea de control din țara terță sau dintr-o organizație internațională competentă este o autoritate publică competentă în sensul prezentei directive. Un transfer poate avea loc în cazul în care Comisia decide că țara terță sau organizația internațională în cauză asigură un nivel adecvat de protecție sau că oferă garanții corespunzătoare sau în cazul în care au fost oferite garanții corespunzătoare prin intermediul unui instrument obligatoriu din punct de vedere juridic. Datele transferate către autoritățile publice competente din țările terțe nu ar trebui să fie prelucrate ulterior în alte scopuri decât cele pentru care au fost transferate. [AM 37]

(45a)  Transferurile ulterioare de la autoritățile competente în țările terțe sau organizațiile internaționale către care s-au mai transferat date cu caracter personal ar trebui să fie permise doar în situația în care transferul ulterior este necesar pentru același scop specific precum în cazul transferului inițial și dacă al doilea destinatar este tot o autoritate publică competentă. Nu ar trebui să fie permise transferuri ulterioare în scopuri generale de aplicare a legii. Autoritatea competentă care a realizat transferul inițial ar trebui să fi autorizat transferul ulterior. [AM 38]

(46)  Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu ori un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară.

(47)  În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special protecția drepturilor omului, Comisia ar trebui să ia în considerare modul în care aceasta respectă statul de drept, accesul la justiție, precum și normele și standardele internaționale în materie de drepturi ale omului.

(48)  Comisia ar trebui, de asemenea, să poată recunoaște că o țară terță, un teritoriu sau un sector de prelucrare a datelor dintr-o țară terță ori o organizație internațională nu oferă un nivel corespunzător de protecție a datelor. În acest caz, transferul de date cu caracter personal către țări terțe ar trebui interzis, cu excepția cazurilor în care acesta se bazează pe un acord internațional, garanții corespunzătoare sau o derogare. Ar trebui să se prevadă proceduri de consultare între Comisie și astfel de țări terțe sau organizații internaționale. Cu toate acestea, o astfel de decizie a Comisiei nu trebuie să aducă atingere posibilității de a efectua transferuri pe baza unor garanții adecvate prin intermediul unui instrument obligatoriu din punct de vedere juridic sau a unei derogări prevăzute în prezenta directivă. [AM 39]

(49)  Transferurile care nu se bazează pe o decizie privind caracterul adecvat al nivelului de protecție ar trebui să fie permise numai în cazul în care au fost prezentate garanții corespunzătoare într-un instrument obligatoriu din punct de vedere juridic, care asigură protecția datelor cu caracter personal în cazul în care operatorul sau persoana împuternicită de către operator a evaluat toate condițiile legate de operațiunea de transfer de date sau de setul de operațiuni de transfer de date și, pe baza acestei evaluări, consideră că există garanții adecvate în ceea ce privește protecția datelor cu caracter personal. În cazul în care nu există motive pentru autorizarea transferului, ar trebui să se permită derogări, dacă este necesar, în vederea protejării intereselor vitale ale persoanei în cauză sau ale unei alte persoane, sau în vederea protejării intereselor legitime ale persoanei vizate, în cazul în care legislația statului membru care transferă datele cu caracter personal prevede acest lucru, sau în cazul în care acestea sunt indispensabile pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe, sau în cazuri specifice, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor sau, în anumite cazuri, pentru constatarea, exercitarea sau apărarea unui drept în instanță. [AM 40]

(49a)  În cazul în care nu există motive pentru autorizarea transferului, ar trebui să se permită derogări, dacă este necesar, în vederea protejării intereselor vitale ale persoanei în cauză sau ale unei alte persoane, sau în vederea protejării intereselor legitime ale persoanei vizate, în cazul în care legislația statului membru care transferă datele cu caracter personal prevede acest lucru, sau în cazul în care acestea sunt indispensabile pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe, sau în cazuri specifice, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor sau, în anumite cazuri, pentru constatarea, exercitarea sau apărarea unui drept în instanță. Aceste derogări ar trebui interpretate restrictiv și nu ar trebui să permită transferul frecvent, masiv și structural de date cu caracter personal și nu ar trebui să permită transferul en gros de date care ar trebui să se limiteze la datele strict necesare. În plus, decizia de transfer ar trebui luată de o persoană autorizată în mod corespunzător și acest transfer trebuie documentat și pus la dispoziția autorității de supraveghere la cerere pentru a monitoriza legalitatea transferului. [AM 41]

(50)  Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a datelor, pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a acestor date. În același timp, autoritățile de supraveghere pot constata că se află în imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile desfășurate în afara frontierelor lor. Eforturile lor de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere ori de caracterul eterogen al regimurilor juridice. Prin urmare, este necesar să se promoveze o cooperare mai strânsă între autoritățile de supraveghere a protecției datelor pentru a putea face schimb de informații cu omologii lor străini.

(51)  Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Autoritățile de supraveghere ar trebui să monitorizeze aplicarea dispozițiilor prevăzute de prezenta directivă și să contribuie la aplicarea consecventă a acesteia în întreaga Uniune, în scopul asigurării protecției persoanele fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. În acest sens, autoritățile de supraveghere ar trebui să coopereze între ele și cu Comisia. [AM 42]

(52)  Statele membre pot încredința unei autorități de supraveghere deja existente din statele membre, în conformitate cu Regulamentul (UE) nr. .../2014, responsabilitatea pentru sarcinile care urmează să fie îndeplinite de către autoritățile naționale de supraveghere care urmează a fi înființate în temeiul prezentei directive.

(53)  Statele membre ar trebui să aibă posibilitatea de a institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, de localuri și de infrastructura necesară, inclusiv capacități, experiență și aptitudini tehnice, pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. [AM 43]

(54)  Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite prin lege în fiecare stat membru și ar trebui, în special, să prevadă condiția ca acești membri să fie numiți de parlamentul sau de guvernul statului membru, cu consultarea parlamentului, și să includă dispoziții privind calificarea personală și funcția membrilor respectivi. [AM 44]

(55)  Cu toate că prezenta directivă se aplică, de asemenea, activităților instanțelor naționale, prelucrarea datelor cu caracter personal nu ar trebui să fie de competența autorităților de supraveghere atunci când instanțele își exercită atribuțiile judiciare, în scopul asigurării independenței judecătorilor în îndeplinirea sarcinilor lor judiciare. Cu toate acestea, derogarea ar trebui să se limiteze la activități pur judiciare în cadrul acțiunilor în instanță și să nu se aplice altor activități în care judecătorii ar putea fi implicați, în conformitate cu legislația națională.

(56)  Pentru a se asigura consecvența monitorizării și a aplicării prezentei directive în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă aceleași atribuții și competențe efective în fiecare stat membru, inclusiv competențe efective de investigare, prerogative de accesare a datelor cu caracter personal și toate informațiile necesare pentru îndeplinirea fiecărei funcții de supraveghere, prerogative care să permită accesul la oricare din sediile operatorului de date sau al persoanei împuternicite de operatorul de date, inclusiv la echipamentele de procesare a datelor, și de intervenție obligatorie conform legii, de decizie și sancționare, în special în cazul plângerilor înaintate de persoane fizice, precum și de acționare în justiție. [AM 45]

(57)  Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată doar dacă se dovedește necesară în respectivul caz și trebuie să poată face obiectul căilor de atac judiciare. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate.

(58)  Autoritățile de supraveghere ar trebui să își acorde reciproc asistență în îndeplinirea atribuțiilor care le revin, pentru a se asigura coerența aplicării și a asigurării aplicării dispozițiilor adoptate în temeiul prezentei directive. Fiecare autoritate de supraveghere ar trebui să fie disponibilă pentru a participa la operațiuni comune. Autoritatea de supraveghere căreia i s-a adresat solicitarea ar trebui să aibă obligația de a răspunde cererii într-un anumit termen. [AM 46]

(59)  Comitetul european pentru protecția datelor, instituit prin Regulamentul (UE) …/2012 2014, ar trebui să contribuie la aplicarea coerentă a prezentei directive în întreaga Uniune, inclusiv prin oferirea de consultanță Comisiei și instituțiilor Uniunii prin promovarea cooperării autorităților de supraveghere în întreaga Uniune și să dea un aviz Comisiei cu prilejul elaborării actelor delegate și de punere în aplicare bazate pe prezenta directivă. [AM 47]

(60)  Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la exercitarea unei căi de atac, în cazul în care consideră că drepturile pe care i le conferă prezenta directivă sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate.

(61)  Orice organism, organizație sau asociație care are drept obiectiv asigurarea protecției drepturilor și a intereselor persoanelor vizate în ceea ce privește protecția datelor acestora și este acționează în interes public, constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul să depună o plângere, să își exercite dreptul la o cale de atac în numele persoanelor vizate, dacă au primit mandat corespunzător din partea acestora, sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal. [AM 48]

(62)  Orice persoană fizică sau juridică ar trebui să aibă dreptul la exercitarea unei căi de atac împotriva deciziilor unei autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei autorități de supraveghere ar trebui să fie înaintate instanțelor statului membru în care se află autoritatea de supraveghere.

(63)  Statele membre ar trebui să se asigure că acțiunile în justiție, pentru a fi eficiente, permit adoptarea rapidă de măsuri în scopul remedierii sau al prevenirii încălcării prezentei directive.

(64)  Orice daună, inclusiv daunele nepecuniare, pe care o persoană o poate suferi ca urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau de persoana împuternicită de către operator, care pot fi exonerați de răspundere dacă dovedesc că nu sunt răspunzători pentru prejudiciu, în special în cazul în care aceștia dovedesc că s-a produs din culpa persoanei vizate sau este rezultatul unui caz de forță majoră. [AM 49]

(65)  Ar trebui impuse sancțiuni oricărei persoane fizice sau juridice, de drept privat sau public, care nu respectă prezenta directivă. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor.

(65a)  Transmiterea de date cu caracter personal către alte autorități sau entități private din cadrul Uniunii este interzisă, exceptând situația în care transmiterea este în conformitate cu legea și destinatarul își are sediul într-un stat membru și nu există interese legitime specifice ale persoanei vizate care să împiedice transmiterea, precum și dacă transmiterea este necesară într-un caz specific pentru operatorul care transmite datele, fie pentru îndeplinirea unei sarcini care îi revine prin lege, fie pentru prevenirea unui pericol imediat și grav la adresa siguranței publice sau prevenirea unei încălcări grave a drepturilor unor persoane fizice. Operatorul trebuie să informeze destinatarul de scopul prelucrării și autoritatea de supraveghere în legătură cu transmiterea. Destinatarul ar trebui, de asemenea, să fie informat în legătură cu restricțiile privind prelucrarea și să asigure respectarea acestora. [AM 50]

(66)  Pentru a se realiza obiectivele prezentei directive, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta liberul schimb de date cu caracter personal de către autoritățile competente pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. Ar trebui adoptate în special acte delegate în ceea ce privește notificarea autorității de supraveghere în cazul încălcării care să precizeze mai exact criteriile și condițiile pentru operațiunile de reprocesare care necesită o evaluare de impact în privința protecției datelor; criteriile și cerințele pentru încălcarea securității datelor și referitoare la un nivel adecvat de protecție permis de o țară terță ori de un teritoriu sau sector de procesare din acea țară terță, ori de o organizație internațională. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți, în special cu Autoritatea Europeană pentru Protecția Datelor. Comisia, atunci când pregătește și elaborează acte delegate, ar trebui să asigure o transmitere simultană, în timp util și adecvată a documentelor relevante către Parlamentul European și către Consiliu. [AM 51]

(67)  Pentru a se asigura condiții uniforme de punere în aplicare a prezentei directive în ceea ce privește documentația deținută de operatori și de persoanele împuternicite de către operatori, securitatea prelucrării, în special în ceea ce privește standardele de criptare, notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal și nivelul adecvat de protecție oferit de o țară terță, un teritoriu sau un sector de prelucrare în țara terță respectivă sau de o organizație internațională, ar trebui să i se confere Comisiei competențe de executare. Aceste competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și a principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie(6). [AM 52]

(68)  Procedura de examinare ar trebui să fie utilizată pentru adoptarea de măsuri în ceea ce privește documentația deținută de operatori și de persoane împuternicite de către operatori, securitatea prelucrării, și notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal și nivelul adecvat de protecție oferit de o țară terță, un teritoriu sau un sector de prelucrare în țara terță respectivă sau de o organizație internațională, ținând seama de faptul că actele respective au un caracter general. [AM 53]

(69)  Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgență, în cazuri justificate în mod corespunzător referitoare la o țară terță, un teritoriu sau un sector de prelucrare din țara terță respectivă sau o organizație internațională care nu asigură un nivel de protecție adecvat. [AM 54]

(70)  Întrucât obiectivele prezentei directive, și anume protejarea drepturilor și a libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor lor cu caracter personal și asigurarea liberului schimb de date cu caracter personal de către autoritățile competente în cadrul Uniunii, nu pot fi realizate în mod satisfăcător de către statele membre și, prin urmare, dar, din cauza dimensiunilor sau a efectelor acțiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum se prevede la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este enunțat în respectivul articol, prezenta directivă nu depășește ceea ce este necesar pentru atingerea acestui obiectiv obiectivelor în cauză. Statele membre pot prevedea standarde mai înalte decât cele stabilite în prezenta directivă. [AM 55]

(71)  Decizia-cadru 2008/977/JAI a Consiliului ar trebui abrogată prin prezenta directivă.

(72)  Dispoziții specifice cu privire la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor în actele Uniunii adoptate înainte de data adoptării prezentei directive, care reglementează prelucrarea datelor cu caracter personal între statele membre și accesul autorităților desemnate de statele membre la sistemele informatizate instituite în temeiul tratatelor, ar trebui să rămână neschimbate. Cum articolul 8 din Cartă și articolul 16 din TFUE precizează că dreptul fundamental la protecția datelor cu caracter personal trebuie asigurat în mod consecvent și uniform în întreaga Uniune, în termen de doi ani de la intrarea în vigoare a prezentei directive. Comisia ar trebui să evalueze situația în ceea ce privește relația dintre prezenta directivă și actele adoptate înainte de data adoptării prezentei directive care reglementează prelucrarea datelor cu caracter personal între statele membre și accesul autorităților desemnate de statele membre la sistemele informatizate instituite în conformitate cu tratatele, pentru a evalua necesitatea alinierii acestor dispoziții specifice cu prezenta directivă și ar trebui să prezinte propuneri adecvate în vederea asigurării unor norme de drept consecvente și uniforme legate de prelucrarea datelor cu caracter personal de către autoritățile competente sau de accesul autorităților desemnate ale statelor membre la sistemele de informare înființate în temeiul tratatelor, precum și de prelucrarea datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii în scopul prevenirii, identificării, investigării sau urmăririi infracțiunilor de natură penală sau al executării pedepselor de natură penală care intră în domeniul de aplicare al prezentei directive. [AM 56]

(73)  În vederea asigurării unei protecții globale și coerente a datelor cu caracter personal în cadrul Uniunii, ar trebui modificate acordurile internaționale încheiate de Uniune sau de statele membre înainte de intrarea în vigoare a prezentei directive în vederea armonizării cu prezenta directivă. [AM 57]

(74)  Prezenta directivă se aplică fără a aduce atingere normelor privind combaterea abuzului sexual, a exploatării sexuale a copiilor și a pornografiei infantile, astfel cum se prevede în Directiva 2011/93/UE a Parlamentului European și a Consiliului(7).

(75)  În conformitate cu articolul 6a din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei în ceea ce privește spațiul de libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Regatul Unit și Irlanda nu sunt obligate să aplice normele stabilite în prezenta directivă întrucât Regatul Unit și Irlanda nu sunt obligate să aplice normele care reglementează formele de cooperare judiciară în materie penală sau de cooperare polițienească, care necesită respectarea dispozițiilor stabilite pe baza articolului 16 din Tratatul privind funcționarea Uniunii Europene.

(76)  În conformitate cu articolele 2 și 2a din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Danemarca nu este obligată de prezenta directivă și nici nu face obiectul aplicării acesteia. Având în vedere faptul că prezenta directivă reprezintă o completare a acquis-ului Schengen, în temeiul titlului V partea a treia din Tratatul privind funcționarea Uniunii Europene, Danemarca, în conformitate cu articolul 4 din protocolul menționat, decide, în termen de șase luni de la adoptarea prezentei directive, dacă o va transpune în legislația sa națională. [AM 58]

(77)  În ceea ce privește Islanda și Norvegia, prezenta directivă constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în conformitate cu acordul încheiat de Consiliul Uniunii Europene și de Republica Islanda și Regatul Norvegiei privind asocierea acestor două state la implementarea, aplicarea și dezvoltarea acquis-ului Schengen(8).

(78)  În ceea ce privește Elveția, prezenta directivă constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în conformitate cu Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(9).

(79)  În ceea ce privește Liechtenstein, prezenta directivă reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, astfel cum se prevede în Protocolul dintre Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen(10).

(80)  Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Cartă, astfel cum sunt consacrate în tratat, în special dreptul la respectarea vieții private și de familie, dreptul la protecția datelor cu caracter personal, dreptul la o cale de atac eficientă și la un proces echitabil. Limitările aduse acestor drepturi sunt în conformitate cu articolul 52 alineatul (1) din cartă întrucât sunt necesare pentru atingerea obiectivelor de interes general recunoscute de Uniune sau pentru a proteja drepturile și libertățile celorlalți.

(81)  În conformitate cu declarația politică comună din 28 septembrie 2011 a statelor membre și a Comisiei privind documentele explicative(11), statele membre s-au angajat să atașeze la notificarea măsurilor de transpunere, în cazuri justificate, unul sau mai multe documente care explică relația dintre elementele unei directive și părțile corespunzătoare ale instrumentelor naționale de transpunere. În ceea ce privește această directivă, legiuitorul consideră că transmiterea unor astfel de documente este justificată.

(82)  Prezenta directivă nu ar trebui să împiedice statele membre să pună în aplicare exercitarea drepturilor persoanelor vizate cu privire la informare, acces, rectificare, ștergere și limitarea prelucrării datelor lor cu caracter personal în cadrul procedurilor penale, precum și eventualele limitări ale acestor drepturi în normele naționale privind procedura penală,

ADOPTĂ PREZENTA DIRECTIVĂ:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și obiective

(1)  Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau, urmăririi penale a infracțiunilor și executării pedepselor, precum și normele aferente liberei circulații a unor astfel de date cu caracter personal.

(2)  În conformitate cu prezenta directivă, statele membre:

(a)  protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal și a vieții private ale acestora; precum și

(b)  se asigură că schimbul de date cu caracter personal de către autoritățile competente în cadrul Uniunii nu este limitat sau interzis din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

(2a)  Prezenta directivă nu împiedică statele membre să ofere garanții mai mari decât cele stabilite în prezenta directivă. [AM 59]

Articolul 2

Domeniu de aplicare

(1)  Prezenta directivă se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopurile prevăzute la articolul 1 alineatul (1).

(2)  Prezenta directivă se aplică prelucrării datelor cu caracter personal, realizate integral sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care urmează să facă parte dintr-un sistem de evidență a datelor.

(3)  Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

(a)  în cadrul unei activități care nu intră în sfera dreptului Uniunii, în ceea ce privește, mai ales, securitatea națională;

(b)  de către instituțiile, organele, oficiile și agențiile Uniunii. [AM 60]

Articolul 3

Definiții

În sensul prezentei directive:

1.  „persoană vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la identificatori online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective;

2.  „date cu caracter personal” înseamnă orice informație privind referitoare la o persoană fizică identificată sau identificabilă (o persoană vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator unic, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale, sociale sau de gen;

2a.  „date protejate printr-un pseudonim” înseamnă date cu caracter personal care nu pot fi atribuite unei persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze că nu va avea loc o astfel de atribuire;

3.  „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

3a.   „crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea anumitor aspecte personale legate de o persoană fizică sau efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice respective la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia;

4.  „restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;

5.  „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

6.  „operator” înseamnă autoritatea publică competentă care, singură sau împreună cu alte autorități, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru;

7.  „persoana împuternicită de către operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

8.  „destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal;

9.  „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, distrugerea în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod;

10.  „date genetice” înseamnă toate datele, indiferent de tipul acestora, referitoare la caracteristicile unei persoane, care sunt moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală;

11.  „date biometrice” înseamnă orice date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice;

12.  „date privind sănătatea” înseamnă orice informații date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective;

13.  „minor” înseamnă orice persoană cu vârsta sub 18 ani;

14.  „autorități competente” înseamnă orice autoritate publică abilitată în vederea prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor;

15.  „autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 39. [AM 61]

CAPITOLUL II

PRINCIPII

Articolul 4

Principii legate de prelucrarea datelor cu caracter personal

Statele membre prevăd dispoziții potrivit cărora datele cu caracter personal trebuie:

(a)  prelucrate în mod corect și în conformitate cu dispozițiile legale, în mod corect, transparent și verificabil față de persoana vizată;

(b)  colectate în scopuri determinate, explicite și legitime și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

(c)  să fie adecvate, relevante și neexcesive limitate la minimul necesar în ceea ce privește scopurile în care sunt prelucrate; aceste date sunt prelucrate dacă și în măsura în care scopurile nu au putut fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal;

(d)  să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;

(e)  să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal;

(f)  prelucrate sub responsabilitatea și răspunderea operatorului, care asigură și demonstrează respectarea dispozițiilor adoptate în conformitate cu prezenta directivă;

(fa)  prelucrate în așa fel încât să se permită în mod eficient persoanei vizate să își exercite drepturile menționate la articolele 10-17;

(fb)  să fie procesate astfel încât să fie protejate împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;

(fc)  să fie prelucrate doar de personalul autorizat corespunzător al autorităților competente care au nevoie de acesta pentru îndeplinirea sarcinilor respective. [AM 62]

Articolul 4a

Acces la datele procesate inițial pentru alte scopuri decât cele menționate la articolul 1 alineatul (1)

(1)  Statele membre adoptă măsuri pentru ca autoritățile competente să poată avea acces la datele cu caracter personal prelucrate inițial în alte scopuri decât cele menționate la articolul 1 alineatul (1) numai dacă sunt autorizate în mod specific în conformitate cu legislația Uniunii sau a statelor membre care trebuie să îndeplinească criteriile prevăzute la articolul 7 alineatul (1a) și să specifice că:

(a)  accesul este permis doar personalului autorizat în acest sens al autorităților competente în exercitarea sarcinilor lor atunci când, într-un caz specific, există motive rezonabile pentru a crede că prelucrarea datelor cu caracter personal va contribui în mod substanțial la prevenirea, identificarea, investigarea sau urmărirea infracțiunilor sau la executarea pedepselor de natură penală;

(b)  cererea de acordare a accesului trebuie făcută în scris și să menționeze temeiul juridic al cererii;

(c)  cererea scrisă trebuie să fie documentată; și

(d)  sunt implementate garanții adecvate pentru a asigura protecția drepturilor și libertăților fundamentale în ceea ce privește prelucrarea datelor cu caracter personal. Aceste garanții nu aduc atingere condițiilor specifice de accesare a datelor cu caracter personal și sunt complementare acestora, ca, de exemplu, autorizarea judecătorească în conformitate cu legislația statelor membre.

(2)  Datele cu caracter personal deținute de persoane private sau de alte autorități publice sunt accesate numai în scopul de a investiga sau urmări infracțiuni penale, în conformitate cu cerințele de necesitate și proporționalitate urmând a fi definite de dreptul Uniunii sau a statului membru, în deplină conformitate cu articolul 7a. [AM 63]

Articolul 4b

Limite temporale pentru stocare și reexaminare

(1)  Statele membre iau măsuri vizând ștergerea de către autoritățile competente a datelor prelucrate în conformitate cu prezenta directivă în cazul în care acestea nu mai sunt necesare pentru scopurile în care au fost prelucrate.

(2)  Statele membre dau dispoziții pentru ca autoritățile competente să instaleze mecanisme care să asigure stabilirea de unor termene, în conformitate cu articolul 4, pentru ștergerea datelor cu caracter personal și pentru o reexaminare periodică a necesității stocării datelor, inclusiv prin fixarea unor perioade de stocare diferite pentru diferite categorii de date cu caracter personal. Se adoptă măsuri procedurale pentru a asigura respectarea acestor termene și intervale pentru reexaminarea periodică. [AM 64]

Articolul 5

Distincția între diferitele Diferite categorii de persoane vizate

(1)  Statele membre prevăd dispoziții potrivit cărora, în măsura posibilului, operatorul face distincție clară între iau măsuri pentru ca, în scopurile prevăzute la articolul 1 alineatul (1), autoritățile competente să poată prelucra datele cu caracter personal ale diferitelor categorii de persoane vizate, precum ale diferitelor categorii de persoane vizate prezentate mai jos, iar operatorul face o distincție clară între acestea:

(a)  persoane în privința cărora există motive serioase rezonabile să se creadă că au săvârșit sau că urmează să săvârșească o infracțiune;

(b)  persoane condamnate pentru comiterea unei infracțiuni o infracțiune;

(c)  victime ale unei infracțiuni sau persoane în privința cărora, în baza anumitor fapte, există motive să se creadă că persoanele respective ar putea fi victimele unei infracțiuni; și

(d)  părți terțe la infracțiune, ca de exemplu persoane care ar putea fi chemate să depună mărturie în cadrul anchetelor legate de infracțiuni sau în cadrul procedurilor penale ulterioare sau persoane care pot oferi informații cu privire la infracțiuni sau persoane care sunt în legătură sau asociate cu persoanele menționate la literele (a) și (b).și

(e)  persoane care nu se încadrează în niciuna dintre categoriile menționate mai sus.

(2)  Datele cu caracter personal privind alte persoane vizate decât cele menționate la alineatul (1) pot fi prelucrate doar:

(a)  în măsura în care acest lucru este necesar pentru investigarea sau urmărirea penală a unei infracțiuni specifice în vederea evaluării relevanței datelor referitor la una dintre categoriile indicate la alineatul (1); sau

(b)  în cazurile în care prelucrarea este indispensabilă în scopuri specifice de prevenire sau în scopuri de analiză a infracțiunilor, dacă și în măsura în care acest scop este legitim, bine definit și specific, iar prelucrarea este strict limitată la evaluarea relevanței datelor pentru una dintre categoriile indicate la alineatul (1). Aceasta se revizuiește cel puțin o dată la șase luni. Orice utilizare ulterioară este interzisă.

(3)  Statele membre prevăd măsuri pentru aplicarea de limitări și garanții suplimentare, în conformitate cu dispozițiile legale ale statelor membre, în ceea ce privește prelucrarea ulterioară a datelor cu caracter personal referitoare la persoanele vizate menționate la alineatul (1) literele (c) și (d). [AM 65]

Articolul 6

Grade diferite de precizie și de fiabilitate a datelor cu caracter personal

(1)  Statele membre prevăd măsuri care să asigure acuratețea și fiabilitatea datelorse asigură că, pe cât posibil, se face distincție între diferitele categorii de date cu caracter personal care fac obiectul prelucrării în funcție de gradul de precizie și de fiabilitate.

(2)  Statele membre se asigură că, pe cât posibil, se face distincție între datele cu caracter personal bazate pe fapte și datele cu caracter personal bazate pe evaluări personale, în conformitate cu gradul lor de exactitate și fiabilitate.

(2a)  Statele membre se asigură că nu se transmit sau se pun la dispoziție date cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale. În acest scop, autoritățile competente evaluează calitatea datelor cu caracter personal înainte de a fi transferate sau puse la dispoziție. În măsura în care acest lucru este posibil, la fiecare transfer de date, se adaugă informațiile disponibile care permit statului membru destinatar să evalueze gradul de exactitate, de exhaustivitate, de actualitate și de fiabilitate a datelor. În absența unei solicitări din partea unei autorități competente, datele cu caracter personal nu sunt transferate, în special datele deținute inițial de entități private.

(2b)  În cazul în care se constată transferul unor date inexacte sau transferul unor date în mod ilegal, acest lucru trebuie comunicat de îndată destinatarului. Destinatarul are obligația de a corecta sau șterge datele imediat în temeiul alineatului (1) și al articolului 15, respectiv al articolului 16. [AM 66]

Articolul 7

Legalitatea prelucrării

(1)  Statele membre prevăd dispoziții potrivit cărora prelucrarea datelor cu caracter personal este conformă dispozițiilor legale doar în cazul în care și în măsura în care prelucrarea se bazează pe dreptul Uniunii sau al statelor membre pentru scopurile stabilite la articolul 1 alienatul (1) și este necesară:

(a)  pentru executarea unei sarcini de către o autoritate competentă, conform legislației, în scopurile prevăzute la articolul 1 alineatul (1); sau

(b)  pentru respectarea unei obligații legale care revine operatorului; sau

(c)  pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane; sau

(d)  pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice.

(1a)  Legislația Uniunii sau a statelor membre care reglementează prelucrarea datelor cu caracter personal în cadrul domeniului de aplicare al prezentei directive conține dispoziții explicite și detaliate care specifică cel puțin:

(a)  scopurile prelucrării;

(b)  datele cu caracter personal de procesat;

(c)  scopurile specifice și mijloacele de prelucrare;

(d)  numirea operatorului sau criterii specifice pentru numirea acestuia;

(e)  categorii de personal autorizat în acest scop al autorităților competente pentru prelucrarea datelor cu caracter personal;

(f)  procedura de urmat pentru procesul de prelucrare;

(g)  utilizarea posibilă a datelor cu caracter personal obținute;

(h)  limitări ale domeniului de aplicare al oricăror prerogative conferite autorităților competente în raport cu activitățile de prelucrare; [AM 67]

Articolul 7a

Prelucrarea ulterioară în scopuri incompatibile

(1)  Statele membre prevăd dispoziții conform cărora datele cu caracter personal nu pot fi prelucrate ulterior în alt scop stabilit la articolul 1 alineatul (1) și care nu este compatibil cu scopurile în care datele au fost colectate inițial decât dacă și în măsura în care:

(a)  prelucrarea este strict necesară și proporțională într-o societate democratică și impusă de dreptul Uniunii sau al statelor membre pentru un scop legitim, bine definit și specific;

(b)  prelucrarea este strict limitată la o perioadă care nu depășește timpul necesar pentru operațiunea specifică de prelucrare a datelor;

(c)  orice altă utilizare ulterioară în alte scopuri este interzisă.

Înainte de orice prelucrare, statul membru consultă autoritatea națională de supraveghere competentă și efectuează o evaluare a impactului asupra protecției datelor.

(2)  În plus față de cerințele prevăzute la articolul 7 alineatul (1a), legislația Uniunii sau a statelor membre care autorizează prelucrarea ulterioară, menționată la alineatul (1), cuprinde dispoziții explicite și detaliate cel puțin cu privire la:

(a)  scopurile și mijloacele specifice ale respectivei prelucrări;

(b)  faptul că accesul este permis doar pentru personalul autorizat în acest sens al autorităților competente în exercitarea sarcinilor lor atunci când, într-un caz specific, există motive rezonabile pentru a crede că prelucrarea datelor cu caracter personal va contribui în mod substanțial la prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau la executarea pedepselor de natură penală; precum și

(c)  stabilirea unor garanții adecvate, cu scopul de a asigura protecția drepturilor și libertăților fundamentale în ceea ce privește prelucrarea datelor cu caracter personal.

Statele membre pot solicita ca accesul la datele cu caracter personal să facă obiectul unor condiții suplimentare, cum ar fi autorizarea judiciară, în conformitate cu legislația lor națională.

(3)  Statele membre, pot, de asemenea, permite prelucrarea ulterioară a datelor personale în scopuri istorice, statistice sau științifice, cu condiția instituirii unor garanții adecvate, cum ar fi anonimizarea datelor. [AM 68]

Articolul 8

Prelucrarea categoriilor speciale de date cu caracter personal

(1)  Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie rasa sau originea etnică, opiniile politice, religia sau convingerile filozofice, orientarea sexuală sau identitatea de gen, apartenența la un și activitățile de sindicat, a precum și prelucrarea datelor genetice sau biometrice și a datelor privind sănătatea sau viața sexuală.

(2)  Alineatul (1) nu se aplică atunci când:

(a)  prelucrarea este permisă printr-o lege care oferă garanții adecvate este strict necesară și proporționată pentru îndeplinirea unei sarcini efectuate de autoritățile competente, în scopurile menționate la articolul 1 alineatul (1), pe baza dreptului Uniunii sau al statelor membre, care prevede măsuri specifice și corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate, inclusiv o autorizare specifică din partea unei autorități judiciare, dacă legislația națională impune acest lucru; sau

(b)  prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane; sau

(c)  prelucrarea se referă la date care sunt făcute publice în mod manifest de persoana vizată, cu condiția ca acestea să fie relevante și de strictă necesitate pentru scopul urmărit în cazul respectiv. [AM 69]

Articolul 8a

Prelucrarea datelor genetice în scopul unei anchete penale sau al unei proceduri judiciare

(1)  Statele membre garantează că datele genetice nu pot fi utilizate decât pentru stabilirea unei legături genetice în contextul elementelor de probă, prevenind o amenințare la adresa siguranței publice sau comiterea unei infracțiuni specifice. Datele genetice nu pot fi utilizate pentru a determina alte caracteristici ce pot fi legate genetic.

(2)  Statele membre prevăd dispoziții conform cărora datele sau informațiile genetice rezultate în urma analizei lor nu pot fi păstrate decât atât timp cât este necesar pentru scopurile în care datele sunt prelucrate și atunci când persoana în cauză a fost condamnată pentru infracțiuni grave împotriva vieții, integrității sau securității persoanelor, cu condiția unor perioade de stocare stricte ce urmează a fi determinate de legislația statelor membre.

(3)  Statele membre garantează că datele sau informațiile genetice rezultate în urma analizei lor nu sunt stocate pentru perioade mai lungi decât atunci când datele genetice nu pot fi atribuite unei persoane, în special în cazul în care acestea sunt găsite la locul infracțiunii. [AM 70]

Articolul 9

Măsuri bazate pe crearea de profiluri și pe prelucrarea automată

(1)  Statele membre prevăd dispoziții potrivit cărora sunt interzise măsurile care au efect juridic negativ pentru persoana vizată sau care afectează în mod semnificativ persoana vizată și care se bazează exclusiv parțial sau total pe prelucrarea automată a datelor cu caracter personal care au ca scop evaluarea anumitor aspecte personale privind persoana vizată, cu excepția cazului în care acest lucru este permis de un act legislativ care prevede, de asemenea, măsuri de protejare a intereselor legitime ale persoanei vizate.

(2)  Prelucrarea automată a datelor cu caracter personal, menite să evalueze anumite aspecte personale privind persoana vizată nu se bazează exclusiv pe categoriile speciale de date cu caracter personal prevăzute la articolul 8.

(2a)  Prelucrarea automată a datelor cu caracter personal, menite să individualizeze o persoană vizată în lipsa unei suspiciuni inițiale potrivit căreia persoana vizată este posibil să fi comis sau să comită o infracțiune este permisă de lege doar în cazul și în măsura în care acest lucru este strict necesar pentru investigarea unei infracțiuni grave sau pentru prevenirea unui pericol iminent și clar, stabilit pe indicații factuale, la adresa siguranței publice, existenței statului sau vieții unor persoane.

(2b)  În toate cazurile, se interzice crearea de profiluri care are drept efect (cu sau fără intenție) discriminarea împotriva persoanelor fizice pe baza originii rasiale sau etnice, a opiniilor politice, a religiei sau a convingerilor, a apartenenței sindicale sau a orientării sexuale ori de gen, sau care are drept rezultat (cu sau fără intenție) măsuri ce au astfel de efecte. [AM 71]

Articolul 9a

Principii generale referitoare la drepturile persoanei vizate

(1)  Statele membre se asigură că baza protecției datelor este clară, cu drepturi neambigui pentru persoana vizată care sunt respectate de către operator. Dispozițiile prezentei directive au scopul de a întări, clarifica, garanta și, după caz, codifica aceste drepturi.

(2)  Statele membre iau măsurile necesare pentru ca aceste drepturi să includă, între altele, oferirea unor informații clare și ușor de înțeles cu privire la procesarea datelor personale ale persoanei vizate, dreptul de acces, rectificare și ștergere a datelor respective, dreptul de a depune o reclamație la autoritatea competentă de protecție a datelor și de a introduce acțiuni în justiție, precum și dreptul la compensări și despăgubiri în urma unei operațiuni de prelucrare care nu respectă legea. Aceste drepturi se exercită în general gratuit. Operatorul răspunde solicitărilor persoanei vizate într-un termen rezonabil. [AM 72]

CAPITOLUL III

DREPTURILE PERSOANEI VIZATE

Articolul 10

Modalități de exercitare a drepturilor persoanei vizate

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul ia toate măsurile rezonabile pentru a aplica aplică politici concise, transparente, clare și ușor accesibile în ceea ce privește prelucrarea datelor cu caracter personal și exercitarea drepturilor persoanelor vizate.

(2)  Statele membre prevăd dispoziții potrivit cărora operatorul pune la dispoziția persoanei vizate orice informație și orice comunicare referitoare la prelucrarea datelor cu caracter personal, într-o formă inteligibilă, folosind un limbaj simplu și clar, în special atunci când informațiile respective sunt adresate în mod specific unui copil.

(3)  Statele membre prevăd dispoziții potrivit cărora operatorul ia toate măsurile rezonabile pentru stabilirea procedurilor stabilește procedurile de furnizare a informațiilor prevăzute la articolul 11 și de exercitare a drepturilor persoanelor vizate prevăzute la articolele 12 - 17. În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul prevede modalitățile de introducere a cererilor pe cale electronică.

(4)  Statele membre prevăd dispoziții potrivit cărora operatorul informează persoana vizată cu privire la modul în care a dat curs cererii, fără întârzieri nejustificate, și în orice caz în termen de o lună de la primirea cererii. Informațiile sunt furnizate în scris. Atunci când persoana vizată efectuează cererea în format electronic, informațiile sunt furnizate în același format.

(5)  Statele membre prevăd dispoziții potrivit cărora informațiile și orice acțiune întreprinsă de către operator în urma unei cereri prevăzute la alineatele (3) și (4) nu se taxează. În cazul în care cererile sunt ofensatoare în mod vădit excesive, în special din cauza caracterului lor repetitiv sau al mărimii ori volumului cererii, operatorul poate percepe o taxă rezonabilă, ținând cont de costurile administrative, pentru furnizarea informațiilor sau pentru luarea măsurilor solicitate sau operatorul poate să nu întreprindă acțiunea cerută. În acest caz, sarcina probei în ceea ce privește caracterul vădit excesiv al cererii revine operatorului.

(5a)  Statele membre pot prevedea posibilitatea persoanei vizate de a-și exercita acest drept în mod direct împotriva operatorului sau prin intermediul autorității naționale de supraveghere competente. În cazul în care autoritatea de supraveghere a acționat la cererea persoanei vizate, autoritatea de supraveghere informează persoana vizată cu privire la verificările efectuate. [AM 73]

Articolul 11

Informații pentru persoana vizată

(1)  În cazul în care se colectează date cu caracter personal referitoare la o persoană vizată, statele membre se asigură că operatorul ia toate măsurile necesare pentru a furniza furnizează persoanei vizate cel puțin următoarele informații:

(a)  identitatea și datele de contact ale operatorului și ale responsabilului cu protecția datelor;

(b)  temeiul juridic și scopurile în care sunt prelucrate datele cu caracter personal;

(c)  perioada de stocare a datelor cu caracter personal;

(d)  existența dreptului de a solicita operatorului accesul și rectificarea, ștergerea sau limitarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

(e)  dreptul de a depune o plângere la autoritatea de supraveghere prevăzută la articolul 39 și datele de contact ale acestei autorități;

(f)  destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv în țări terțe sau organizații internaționale și entitatea autorizată să acceseze datele în temeiul legilor țării terțe respective sau al normelor unei organizații internaționale, existența sau inexistența unei decizii din partea Comisiei privind caracterul adecvat al protecției sau, în cazul transferurilor menționate la articolele 35 și 36, modalitățile de a obține o copie a garanțiilor corespunzătoare utilizate pentru transfer;

(fa)  în cazul în care operatorul procesează date cu caracter personal astfel cum este descris la articolul 9 alineatul (1), informațiile cu privire la existența prelucrării pentru o măsură de tipul celor menționate la articolul 9 alineatul (1) și efectele preconizate ale unei astfel de prelucrări asupra persoanei vizate, precum și informații cu privire la logica folosită în stabilirea profilelor și dreptul de a obține o evaluare umană;

(fb)  informații cu privire la măsurile de securitate luate pentru a proteja datele cu caracter personal;

(g)  orice alte informații suplimentare, în măsura în care astfel de informații suplimentare sunt necesare pentru garantarea prelucrării echitabile în ceea ce privește persoana vizată, având în vedere circumstanțele specifice în care sunt prelucrate datele cu caracter personal.

(2)  În cazul în care datele cu caracter personal sunt colectate de la persoana vizată, operatorul transmite persoanei vizate, în plus față de informațiile menționate la alineatul (1), informații cu privire la caracterul obligatoriu sau opțional al furnizării datelor cu caracter personal, precum și la eventualele consecințe ale refuzului de a furniza aceste date.

(3)  Operatorul furnizează informațiile prevăzute la alineatul (1):

(a)  în momentul obținerii datelor cu caracter personal de la persoana vizată; sau

(b)  în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul în care sunt înregistrate sau într-o perioadă de timp rezonabilă după colectare, având în vedere circumstanțele specifice ale prelucrării datelor.

(4)  Statele membre pot adopta măsuri legislative de amânare, sau restricționare sau omitere a dispoziției privind informațiile pentru persoana vizată, într-un caz concret, în măsura în care și atât timp cât o astfel de restricționare parțială sau totală constituie o măsură necesară și proporțională într-o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei vizate:

(a)  pentru evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)  pentru a nu prejudicia prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)  pentru protejarea siguranței publice;

(d)  pentru protejarea securității naționale;

(e)  pentru protejarea drepturilor și libertăților celorlalți.

(5)  Statele membre prevăd dispoziții conform cărora operatorul evaluează, în fiecare caz specific, prin intermediul unei examinări concrete și individuale, aplicabilitatea unei restricționări parțiale sau totale în cazul unuia dintre motivele menționate la alineatul (4). Statele membre pot, de asemenea, stabili prin lege categoriile de prelucrare a datelor care se pot încadra, integral sau parțial, la excepțiile de la alineatul (4) literele (a), (b), (c) și (d). [AM 74]

Articolul 12

Dreptul de acces al persoanei vizate

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține de la operator confirmarea cu privire la prelucrarea datelor sale cu caracter personal. În cazul în care aceste date cu caracter personal sunt prelucrate, operatorul furnizează următoarele informații, dacă nu au fost deja furnizate:

(-a)  comunicarea datelor cu caracter personal care fac obiectul prelucrării și a oricărei informații disponibile cu privire la originea datelor și, după caz, informații inteligibile referitoare la logica utilizată în orice prelucrare automată;

(-aa)  semnificația și consecințele avute în vedere ale acestei prelucrări, cel puțin în cazul măsurilor menționate la articolul 9;

(a)  scopurile prelucrării, precum și temeiurile juridice ale prelucrării;

(b)  categoriile de date cu caracter personal vizate;

(c)  destinatarii sau categoriile de destinatari cărora le-au fost dezvăluite datele cu caracter personal, în special destinatarii din țări terțe;

(d)  perioada de stocare a datelor cu caracter personal;

(e)  existența dreptului de a solicita de la operator rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

(f)  dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere.

(g)  comunicarea datelor cu caracter personal care fac obiectul prelucrării și a oricărei informații disponibile cu privire la originea datelor.

(2)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține de la operator o copie a datelor cu caracter personal care fac obiectul prelucrării. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic, cu excepția cazului în care persoana vizată solicită un alt format. [AM 75]

Articolul 13

Limitarea dreptului de acces

(1)  Statele membre pot adopta măsuri legislative care limitează, integral sau parțial, în funcție de cazul concret, dreptul de acces al persoanei vizate în măsura și pentru perioada în care o astfel de limitare, parțială sau totală, constituie o măsură strict necesară și proporțională într-o societate democratică, ținându-se seama de drepturile fundamentale și interesele legitime ale persoanei în cauză:

(a)  pentru evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)  pentru a nu prejudicia prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)  pentru protejarea siguranței publice;

(d)  pentru protejarea securității naționale;

(e)  pentru protejarea drepturilor și libertăților celorlalți.

(2)  Statele membre prevăd dispoziții conform cărora operatorul evaluează, în fiecare caz specific, prin intermediul unei examinări concrete și individuale, aplicabilitatea unei restricționări parțiale sau totale în cazul unuia dintre motivele menționate la alineatul (1). Statele membre pot, de asemenea, stabili prin lege categoriile de prelucrare a datelor care se pot încadra, integral sau parțial, la excepțiile de la alineatul (1) literele (a)-(d).

(3)  În cazurile prevăzute la alineatele (1) și (2), statele membre prevăd dispoziții potrivit cărora operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la refuzarea sau limitarea accesului, cu privire la motivele argumentate ale refuzului și cu privire la posibilitățile de a depune o plângere la autoritatea de supraveghere și de a introduce o cale de atac în justiție. Informațiile cu privire la motivele de fapt și de drept care stau la baza deciziei pot fi omise în cazul în care furnizarea acestor informații ar contraveni unuia dintre obiectivele de la alineatul (1).

(4)  Statele membre se asigură că operatorul justifică evaluarea menționată la alineatul (2), precum și motivele pentru omiterea restricționarea comunicării motivelor de fapt sau de drept care stau la baza deciziei. Aceste informații se pun la dispoziția autorităților naționale de supraveghere. [AM 76]

Articolul 14

Modalitățile de exercitare a dreptului de acces

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a solicita, în orice moment, și în special în cazurile menționate la articolul 13 articolele 12 și 13, verificarea legalității prelucrării datelor de către autoritatea de supraveghere.

(2)  Statul membru Statele membre prevede dispoziții potrivit cărora operatorul informează persoana vizată cu privire la dreptul de a solicita intervenția autorității de supraveghere în temeiul alineatului (1).

(3)  Atunci când este exercitat dreptul menționat la alineatul (1), autoritatea de supraveghere informează persoana vizată, cel puțin că au fost realizate toate verificările necesare de către autoritatea de supraveghere, precum și cu privire la rezultatul legalității prelucrării respective. Autoritatea de supraveghere informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac.

(3a)  Statele membre pot prevedea posibilitatea persoanei vizate de a-și exercita acest drept în mod direct împotriva operatorului sau prin intermediul autorității naționale de supraveghere competente.

(3b)  Statele membre se asigură că operatorul dispune de un termen rezonabil pentru a răspunde solicitărilor persoanelor vizate cu privire la exercitarea drepturilor lor de acces. [AM 77]

Articolul 15

Dreptul la rectificare și completare

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține de la operator rectificarea sau completarea datelor cu caracter personal inexacte sau incomplete care o privesc. Persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete,, în special prin furnizarea unei declarații corective sau completive suplimentare.

(2)  Statele membre prevăd dispoziții potrivit cărora operatorul informează în scris persoana vizată, oferind o justificare corespunzătoare, cu privire la orice refuz de rectificare sau completare, cu privire la motivele refuzului și cu privire la posibilitățile de a depune o plângere la autoritatea de supraveghere și de a introduce o cale de atac în justiție.

(2a)  Statele membre prevăd ca operatorul să comunice orice rectificare efectuată fiecărui destinatar căruia i-au fost dezvăluite datele, cu excepția cazului în care o astfel de acțiune se dovedește a fi imposibilă sau presupune un efort disproporțional.

(2b)  Statele membre prevăd obligația operatorului de a comunica rectificarea datelor personale inexacte părții terțe de la care provin datele inexacte.

(2c)  Statele membre prevăd posibilitatea persoanei vizate de a-și exercita acest drept și prin intermediul autorității naționale de supraveghere competente. [AM 78]

Articolul 16

Dreptul de a șterge

(1)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal referitoare la aceasta, în cazul în care prelucrarea nu este în conformitate cu dispozițiile adoptate în temeiul articolului 4 literele (a) – (e) și al articolelor 7 și 8 articolelor 4, 6, 7 și 8 din prezenta directivă.

(2)  Operatorul efectuează ștergerea fără întârziere. Operatorul ar trebui, de asemenea, să nu comunice mai departe aceste date.

(3)  În loc de ștergere, operatorul marchează datele limitează prelucrarea datelor cu caracter personal în cazul în care:

(a)  persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor;

(b)  datele cu caracter personal trebuie să fie păstrate ca dovadă sau pentru protecția intereselor vitale ale persoanei vizate sau ale altei persoane.

(c)  persoana vizată se opune ștergerii și solicită în schimb restricționarea utilizării acestora.

(3a)  În cazul în care prelucrarea datelor cu caracter personal este limitată în conformitate cu alineatul (3), operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare.

(4)  Statele membre prevăd dispoziții potrivit cărora operatorul informează în scris persoana vizată, oferind o justificare corespunzătoare, cu privire la orice refuz de ștergere sau de restricționare a prelucrării, cu privire la motivele refuzului și cu privire la posibilitățile de a depune o plângere la autoritatea de supraveghere și de a introduce o cale de atac în justiție.

(4a)  Statele membre prevăd ca operatorul să informeze destinatarii cărora le-au fost trimise aceste date cu privire la orice ștergere sau restricționare realizată în temeiul alineatului (1), cu excepția cazului în care acest lucru se dovedește a fi imposibil sau implică un efort disproporționat. Operatorul informează persoana vizată cu privire la acești terți.

(4b)  Statele membre pot prevedea posibilitatea persoanei vizate de a-și exercita acest drept în mod direct împotriva operatorului sau prin intermediul autorității naționale de supraveghere competente. [AM 79]

Articolul 17

Drepturile persoanelor vizate în cadrul investigațiilor și procedurilor penale

Statele membre pot prevedea dispoziții potrivit cărora drepturile la informare, acces, rectificare, ștergere și la restricționarea prelucrării menționate la articolele 11 - 16 sunt exercitate în conformitate cu normele naționale privind procedurile judiciare în cazul în care datele cu caracter personal sunt conținute într-o hotărâre sau înregistrare judecătorească prelucrată în cursul unor investigații și al unor proceduri penale.

CAPITOLUL IV

OPERATORUL ȘI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR

SECȚIUNEA 1

OBLIGAȚII GENERALE

Articolul 18

Responsabilitatea operatorului

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul adoptă norme interne și pune în aplicare măsuri adecvate pentru a se asigura și a fi capabil să demonstreze, într-un mod transparent, pentru fiecare operațiune de prelucrare, că prelucrarea datelor cu caracter personal este realizată în conformitate cu dispozițiile adoptate în temeiul prezentei directive, atât când se hotărăsc mijloacele de prelucrare, cât și în momentul prelucrării în sine.

(2)  Măsurile menționate la alineatul (1) cuprind în special:

(a)  păstrarea documentației menționate la articolul 23;

(aa)  efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 25a;

(b)  respectarea cerințelor privind consultarea prealabilă, în temeiul articolului 26;

(c)  punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 27;

(d)  desemnarea unui responsabil cu protecția datelor, în temeiul articolului 30;

(da)  după caz, conceperea și punerea în aplicare a unor garanții specifice cu privire la procesarea datelor cu caracter personal referitoare la copii.

(3)  Operatorul pune în aplicare mecanisme pentru a asigura verificarea adecvării și eficacității măsurilor menționate la alineatele (1) și (2) ale prezentului articol. Dacă se dovedește a fi proporțională, această verificare va fi efectuată de auditori interni sau externi independenți. [AM 80]

Articolul 19

Protecția datelor începând cu momentul conceperii și protecția implicită a datelor

(1)  Statele membre prevăd dispoziții potrivit cărora, având în vedere stadiul actual al tehnicii și costurile de implementare, operatorul pune, cunoștințele tehnice actuale, cele mai bune practici internaționale și riscurile reprezentate de prelucrarea datelor, operatorul și persoana împuternicită de acesta, dacă există, atât în momentul stabilirii mijloacelor de prelucrare, cât și pe parcursul prelucrării propriu-zise, pun în aplicare măsuri și proceduri tehnice și organizatorice corespunzătoare și proporționale astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate, îndeosebi în ceea ce privește principiile menționate la articolul 4. Protecția datelor încă din momentul conceperii ține seama în mod deosebit de managementul întregului ciclu de viață al datelor cu caracter personal, de la colectare la prelucrare și la eliminare, axându-se în mod sistematic pe garanții procedurale cuprinzătoare cu privire la acuratețea, confidențialitatea, integritatea, securitatea fizică și eliminarea datelor cu caracter personal. În cazul în care operatorul a realizat o evaluare a impactului asupra protecției datelor în temeiul articolului 25a, se ține cont de rezultatele acesteia în elaborarea măsurilor și procedurilor.

(2)  Operatorul pune în aplicare mecanisme care garantează garantează că, în mod implicit, sunt prelucrate numai acele date cu caracter personal care sunt necesare pentru scopurile prelucrării fiecare scop specific al prelucrării și că aceste date colectate sau păstrate nu depășesc pragul minim necesar pentru îndeplinirea acestor scopuri, atât în ceea ce privește volumul datelor, cât și perioada de stocare a acestora. În special, aceste mecanisme asigură că, implicit, datele cu caracter personal nu sunt accesibile unui număr nelimitat de persoane și că persoanele vizate pot să controleze gradul de difuzare a datelor lor cu caracter personal. [AM 81]

Articolul 20

Operatorii asociați

(1)  Statele membre prevăd dispoziții potrivit cărora, în cazul în care un operator stabilește scopul, condițiile și mijloacele de prelucrare a datelor cu caracter personal împreună cu alții, operatorii asociați trebuie să stabilească responsabilitățile care revin fiecăruia pentru respectarea dispozițiilor adoptate în temeiul prezentei directive, în special în ceea ce privește procedurile și mecanismele pentru exercitarea drepturilor persoanelor vizate, prin intermediul unui acord scris, cu caracter obligatoriu, între aceștia.

(2)  cu excepția cazului în care persoana vizată a fost informată cu privire operatorii asociați responsabili, conform alineatului (1), persoana vizată își poate exercita drepturile în temeiul prezentei directive în ceea ce privește și împotriva oricărui operator asociat. [AM 82]

Articolul 21

Persoana împuternicită de către operator

(1)  Statele membre prevăd dispoziții potrivit cărora, atunci când o operațiune de prelucrare este realizată în numele unui operator, operatorul trebuie să aleagă alege o persoană împuternicită care să ofere garanții suficiente pentru punerea în aplicare a măsurilor tehnice și organizatorice adecvate și a procedurilor, astfel încât prelucrarea să îndeplinească cerințele prevăzute în dispozițiile adoptate în temeiul prezentei directive și să asigure protecția drepturilor persoanei vizate, în special în ceea ce privește măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată, și să vegheze la respectarea acestor măsuri.

(2)  Statele membre prevăd dispoziții potrivit cărora realizarea prelucrării de către o persoană împuternicită prin intermediul unei persoane împuternicite de către operator trebuie să fie reglementată printr-un contract sau act juridic care obligă persoana împuternicită de către operator în raport cu operatorul și care prevede, în special, că persoana împuternicită de către operator acționează numai la instrucțiunile operatorului; în special, în cazul în care transferul datelor cu caracter personal utilizate este interzis.

(a)  acționează numai la instrucțiunile operatorului;

(b)  angajează doar persoane care au fost de acord să li se impună obligația de confidențialitate sau respectă o obligație legală de confidențialitate;

(c)  adoptă toate măsurile necesare în conformitate cu articolul 27;

(d)  angajează o altă persoană împuternicită de către operator doar cu permisiunea operatorului și, prin urmare, îl informează din timp pe operator cu privire la intenția de a angaja o altă persoană împuternicită de către operator, astfel încât acesta să aibă posibilitatea de a obiecta;

(e)  în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, adoptă, în acord cu operatorul, condițiile tehnice și organizatorice necesare pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III;

(f)  ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 25a-29;

(g)  transmite operatorului toate rezultatele după terminarea procesului de prelucrare, nu prelucrează în niciun alt mod datele cu caracter personal și șterge copiile existente, dacă legislația Uniunii sau a statelor membre nu impune stocarea lor;

(h)  pune la dispoziția operatorului și a autorității de supraveghere toate informațiile necesare pentru a se controla respectarea obligațiilor prevăzute în prezentul articol;

(i)  ține cont de principiile protecției datelor începând cu momentul conceperii și protecției implicite a datelor.

(2a)  Operatorul și persoana împuternicită de către operator păstrează o dovadă scrisă a instrucțiunilor prezentate de operator și a obligației care îi revine persoanei împuternicite de către operator menționate la alineatul (2).

(3)  În cazul în care o persoană împuternicită de către operator prelucrează date cu caracter personal într-un alt mod decât cel prevăzut în instrucțiunile date de operator, persoana împuternicită de către operator este considerată operator pentru prelucrarea respectivă și face obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 20. [AM 83]

Articolul 22

Desfășurarea activității de prelucrare sub autoritatea operatorului și a persoanei împuternicite de către operator

(1)   Statele membre prevăd dispoziții potrivit cărora orice persoană acționând sub autoritatea operatorului sau a persoanei împuternicite, care are acces la date cu caracter personal, nu le poate prelucra decât pe baza instrucțiunilor operatorului sau dacă acest lucru este impus de legislația Uniunii sau a unui stat membru.

(1a)  Atunci când persoana împuternicită de către operator este sau devine partea determinantă în ceea ce privește scopurile, mijloacele sau metodele de prelucrare a datelor sau nu acționează exclusiv pe baza instrucțiunilor operatorului, aceasta este considerată operator asociat, în conformitate cu articolul 20. [AM 84]

Articolul 23

Documentația

(1)  Statele membre prevăd dispoziții potrivit cărora fiecare operator și persoană împuternicită de către operator păstrează documentația referitoare la toate sistemele și procedurile de prelucrare aflate în responsabilitatea lor.

(2)  Această documentație cuprinde cel puțin următoarele informații:

(a)  numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau persoane împuternicite de către operator;

(aa)  un acord cu caracter obligatoriu, în cazul în care există operatori comuni; o listă a persoanelor împuternicite de către operator și a activităților desfășurate de către acestea;

(b)  scopurile prelucrării;

(ba)  indicarea secțiunilor din cadrul organizației operatorului sau a persoanei împuternicite de către operator responsabile cu prelucrarea datelor cu caracter personal într-un scop anumit;

(bb)  o descriere a categoriei sau categoriilor de persoane vizate și a datelor sau categoriilor de date referitoare la acestea;

(c)  destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(ca)  după caz, informații cu privire la existența creării de profiluri, a unor măsuri bazate pe crearea de profiluri și cu privire la mecanisme de a contesta crearea de profiluri;

(cb)  informații inteligibile despre logica care stă la baza oricărei operațiuni de prelucrare automatizată;

(d)  transferurile de date către o țară terță sau către o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și temeiurile juridice în baza cărora datele sunt transferate; se prezintă o explicație substanțială atunci când un transfer are la bază articolul 35 sau articolul 36 din prezenta directivă;

(da)  termenele pentru ștergerea diferitelor categorii de date;

(db)  rezultatele verificărilor măsurilor menționate la articolul 18 alineatul (1);

(dc)  indicarea temeiului juridic al operațiunii de prelucrare pentru care sunt destinate datele.

(3)  Operatorul și persoana împuternicită de către operator pun toată documentația la dispoziția autorității de supraveghere, la cererea acesteia. [AM 85]

Articolul 24

Păstrarea înregistrărilor

(1)  Statele membre prevăd dispoziții potrivit cărora se înregistrează următoarele operațiuni de prelucrare: colectare, modificare, consultare, divulgare, combinare sau ștergere. Înregistrările consultărilor sau ale divulgărilor indică, în special, scopul, data și momentul acestor operațiuni și, în măsura în care este posibil, identificarea persoanei ale cărei date cu caracter personal au fost consultate sau divulgate și identitatea destinatarilor acestor date.

(2)  Înregistrările sunt utilizate exclusiv în scopul verificării legalității prelucrării datelor, al monitorizării proprii și al asigurării integrității și securității datelor, sau în scopul realizării de audituri, fie de către responsabilul cu protecția datelor, fie de autoritatea responsabilă cu protecția datelor.

(2a)  Operatorul și persoana împuternicită de către operator pun registrele la dispoziția autorității de supraveghere, la cererea acesteia. [AM 86]

Articolul 25

Cooperarea cu autoritatea de supraveghere

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul și persoana împuternicită de operator cooperează cu autoritatea de supraveghere, la cererea acesteia, în îndeplinirea îndatoririlor sale, în special prin furnizarea tuturor informațiilor necesare autorității de supraveghere pentru a-și îndeplini sarcinile menționate la articolul 46 alineatul (2) litera (a) și prin asigurarea accesului, așa cum este prevăzut la articolul 46 alineatul (2) litera (b).

(2)  În urma exercitării de către autoritatea de supraveghere a competențelor sale prevăzute la articolul 46 alineatul (1) literele (a) și (b), operatorul și persoana împuternicită de către operator răspund autorității de supraveghere într-un termen rezonabil care urmează să fie specificat de autoritatea de supraveghere. Răspunsul include o descriere a măsurilor adoptate și a rezultatelor obținute în urma observațiilor autorității de supraveghere. [AM 87]

Articolul 25a

Evaluarea impactului privind protecția datelor

(1)  Statele membre se asigură că, în cazul în care operațiunile de prelucrare prezintă riscuri specifice asupra drepturilor și libertăților persoanelor vizate prin natura, domeniul de aplicare sau finalitatea lor, operatorul sau persoana împuternicită de către operator care acționează în numele acestuia efectuează o evaluare a impactului operațiunilor de prelucrare, avute în vedere sau actuale, în ceea ce privește protecția datelor cu caracter personal, înainte de a efectua noi operațiuni de prelucrare sau cât mai curând posibil în cazul operațiunilor existente de prelucrare.

(2)  În special următoarele operațiuni de prelucrare pot prezenta astfel de riscuri specifice precum cele menționate la alineatul (1):

(a)  prelucrarea datelor cu caracter personal în cadrul unor sisteme de evidență de mari dimensiuni în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor și al executării pedepselor;

(b)  prelucrarea unor categorii speciale de date cu caracter personal, menționată la articolul 8, a datelor cu caracter personal referitoare la copii și a datelor biometrice în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor și al executării pedepselor.

(c)  evaluarea aspectelor personale privind o persoană fizică sau în scopul analizării sau prezicerii în special a comportamentului persoanei fizice, care se bazează pe prelucrarea automată și poate avea drept consecință măsuri care produc efecte juridice cu privire la persoana respectivă sau care o afectează în mod semnificativ pe aceasta;

(d)  monitorizarea zonelor accesibile publicului, mai ales în cazul utilizării dispozitivelor optoelectronice (supravegherea video); sau

(e)  alte operațiuni de prelucrare pentru care este necesară consultarea autorității de supraveghere în conformitate cu articolul 26 alineatul (1).

(3)  Evaluarea conține cel puțin:

(a)  o descriere sistematică a operațiunilor de prelucrare avute în vedere;

(b)  o evaluare a necesității și proporționalității operațiunilor de prelucrare în raport cu scopurile;

(c)  o evaluare a riscurilor din perspectiva drepturilor și libertăților persoanelor vizate și a măsurilor avute în vedere pentru a aborda aceste riscuri și pentru a minimiza volumul de date cu caracter personal prelucrat;

(d)  garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile adoptate în temeiul prezentei directive, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate;

(e)  o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

(f)  dacă este cazul, o listă a transferurilor de date avute în vedere către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 36 alineatul (2), documentația care dovedește existența unor garanții corespunzătoare;

(4)  În cazul în care operatorul sau persoana împuternicită de acesta a desemnat un responsabil cu protecția datelor, acesta participă la procedurile de evaluare a impactului.

(5)  Statele membre prevăd că operatorul consultă publicul cu privire la prelucrarea pe care intenționează să o efectueze, fără a aduce atingere protecției interesului public sau securității operațiunilor de prelucrare.

(6)  Fără a aduce atingere protecției interesului public sau securității operațiunilor de prelucrare, evaluarea este ușor accesibilă publicului.

(7)  Comisia este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 în scopul de a indica mai detaliat criteriile și condițiile pentru prelucrarea operațiunilor care pot prezenta riscurile specifice menționate la alineatele (1) și (2) și cerințele privind evaluarea menționate la alineatul (3), inclusiv condițiile privind scalabilitatea, verificarea și posibilitatea auditării. [AM 88]

Articolul 26

Consultarea prealabilă a autorității de supraveghere

(1)  Statele membre se asigură că operatorul sau persoana împuternicită consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidență a datelor care urmează a fi creat pentru a asigura conformitatea prelucrării prevăzute cu dispozițiile adoptate în conformitate cu prezenta directivă și în special pentru a atenua riscurile la care sunt expuse persoanele vizate, în cazul în care:

(a)  urmează a fi prelucrate categorii speciale de date, menționate la articolul 8 o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 25a, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare și/sau scopurile lor, un grad înalt de riscuri specifice; sau;

(b)  tipul prelucrării, în special prin utilizarea de tehnologii, mecanisme sau proceduri noi prezintă riscuri specifice pentru drepturile și libertățile fundamentale, în special pentru protecția datelor cu caracter personal ale persoanelor vizate autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare specificate care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor..

(1a)  Atunci când hotărăște, conform atribuțiilor sale că prelucrarea prevăzută nu este conformă cu dispozițiile adoptate în conformitate cu prezenta directivă, în special în cazul în care riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere interzice prelucrarea prevăzută și prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(2)  Statele membre pot prevedea prevăd dispoziții potrivit cărora autoritatea de supraveghere, după consultarea Comitetului european pentru protecția datelor, stabilește o listă a operațiunilor de prelucrare care fac obiectul consultării prealabile, în conformitate cu alineatul (1) litera (b).

(2a)  Statele membre prevăd dispoziții conform cărora operatorul sau persoana împuternicită de către operator furnizează autorității de supraveghere evaluarea impactului privind protecția datelor în temeiul articolului 25a și, la cerere, orice altă informație care permite autorității de supraveghere să facă o evaluare a conformității prelucrării și în special a riscurilor în privința protecției datelor cu caracter personal ale persoanei vizate și a garanțiilor aferente.

(2b)  Atunci când consideră că prelucrarea prevăzută nu este conformă cu dispozițiile adoptate în conformitate cu prezenta directivă sau că riscurile nu sunt suficient identificate sau atenuate, autoritatea de supraveghere prezintă propuneri adecvate pentru remedierea acestor aspecte neconforme.

(2c)  Statele membre pot consulta autoritatea de supraveghere în cadrul procesului de pregătire a unei măsuri legislative care urmează să fie adoptată de parlamentul național sau a unei măsuri bazate pe o astfel de măsură legislativă, care să definească natura prelucrării, pentru a asigura conformitatea prelucrării prevăzute cu prezenta directivă și în special pentru a atenua riscurile la care sunt expuse persoanele vizate. [AM 89]

SECȚIUNEA 2

SECURITATEA DATELOR

Articolul 27

Securitatea prelucrării

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul și persoana împuternicită de către operator pun în aplicare măsuri și proceduri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor pe care le presupune prelucrarea și naturii datelor care trebuie protejate, având în vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.

(2)  În ceea ce privește prelucrarea automată a datelor, fiecare stat membru prevede dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator, în urma unei evaluări a riscurilor, pune în aplicare măsuri menite:

(a)  să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor utilizate pentru prelucrarea datelor cu caracter personal (controlul accesului la echipamente);

(b)  să împiedice orice citire, copiere, modificare sau eliminare neautorizată a suporturilor de date (controlul suporturilor de date);

(c)  să împiedice introducerea neautorizată de date și inspectarea, modificarea sau ștergerea neautorizată a datelor cu caracter personal stocate (controlul stocării);

(d)  să împiedice utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (controlul utilizatorului);

(e)  să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată a datelor au acces numai la datele pentru care au autorizare (controlul accesului la date);

(f)  să asigure că este posibilă verificarea și identificarea organismelor cărora le-au fost transmise sau puse la dispoziție sau s-ar putea să le fie transmise sau puse la dispoziție date cu caracter personal utilizându-se echipamente de comunicare a datelor (controlul comunicării);

(g)  să asigure că este posibil ulterior să se verifice și să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată a datelor, momentul introducerii acestora și entitatea care le-a introdus (controlul introducerii datelor);

(h)  să împiedice citirea, copierea, modificarea sau ștergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date (controlul transportării);

(i)  să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi (recuperarea);

(j)  să asigure funcționarea sistemului, raportarea defecțiunilor de funcționare (fiabilitate) și imposibilitatea coruperii datelor cu caracter personal stocate, din cauza funcționării defectuoase a sistemului (integritate);

(ja)  să se asigure că în cazul prelucrării datelor sensibile cu caracter personal, în conformitate cu articolul 8, sunt aplicate măsuri de securitate suplimentare, pentru a garanta conștientizarea diferitelor situații care presupun riscuri și capacitatea de a adopta măsuri preventive, corective și de atenuare în timp aproape real pentru a răspunde vulnerabilităților și incidentelor detectate care ar putea constitui riscuri pentru securitatea datelor;

(2a)  Statele membre prevăd că persoanele împuternicite de către operator pot fi numite numai în cazul în care acestea garantează respectarea măsurilor tehnice și organizaționale necesare în temeiul alineatului (1) și respectarea instrucțiunilor în temeiul articolului 21 alineatul (2) litera (a). Autoritatea competentă monitorizează în acest sens persoana împuternicită de către operator.

(3)  Comisia poate adopta, după caz, acte de punere în aplicare pentru specificarea cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special a standardelor de codificare. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2). [AM 90]

Articolul 28

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

(1)  Statele membre prevăd dispoziții potrivit cărora, în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în termen de cel mult 24 de ore de la data la care a luat cunoștință de aceasta. Operatorul transmite autorității de supraveghere, la cerere, o explicație motivată în cazurile în care notificarea nu este efectuată în termen de 24 de ore în cazurile în care apar întârzieri.

(2)  Persoana împuternicită de operator alertează și informează operatorul imediat fără întârzieri nejustificate după ce ia cunoștință de s-a stabilit o încălcare a securității datelor cu caracter personal.

(3)  Notificarea menționată la alineatul (1) trebuie, cel puțin:

(a)  să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză, precum și categoriile și numărul de înregistrări de date în cauză;

(b)  să comunice identitatea și datele de contact ale responsabilului cu protecția datelor menționat la articolul 30 sau alt punct de contact unde pot fi obținute mai multe informații;

(c)  să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal;

(d)  să descrie consecințele posibile ale încălcării securității datelor cu caracter personal;

(e)  să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și pentru a limita efectele acesteia.

Dacă nu se pot furniza informațiile fără întârziere, operatorul poate efectua notificarea într-o fază ulterioară.

(4)  Statele membre prevăd dispoziții potrivit cărora operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să fie suficientă pentru a permite autorității de supraveghere să verifice conformitatea cu prezentul articol. Documentele respective includ numai informațiile necesare în acest scop.

(4a)  Autoritatea de supraveghere ține un registru public al tipurilor de încălcare notificate.

(5)  Comisia este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 în scopul detalierii criteriilor și cerințelor necesare pentru stabilirea încălcării menționate la alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și o persoană împuternicită de către operator au obligația de a notifica încălcarea securității datelor cu caracter personal.

(6)  Comisia poate stabili formatul standard al notificării adresate autorității de supraveghere, procedurile aplicabile în cazul obligației de notificare și forma și modalitățile de întocmire a documentelor menționate la alineatul (4), inclusiv termenele pentru ștergerea informațiilor conținute în acestea. Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2). [AM 91]

Articolul 29

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1)  Statele membre prevăd dispoziții potrivit cărora, atunci când încălcarea securității datelor cu caracter personal afectează protecția datelor cu caracter personal, a vieții private a persoanei vizate, a drepturilor sau a intereselor sale legitime, operatorul, după notificarea prevăzută la articolul 28, informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal.

(2)  Informarea persoanei vizate prevăzută la alineatul (1) este cuprinzătoare și folosește un limbaj clar și simplu. Aceasta cuprinde o descriere a caracterului încălcării securității datelor cu caracter personal și conține cel puțin informațiile și recomandările prevăzute la articolul 28 alineatul (3) literele (b), (c) și (d) și informații despre drepturile persoanei vizate, inclusiv căile de atac.

(3)  Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal ale acesteia nu este necesară în cazul în care operatorul demonstrează într-un mod satisfăcător autorității de supraveghere că a pus în aplicare măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în cazul datelor afectate de încălcarea securității datelor cu caracter personal. Astfel de măsuri tehnologice de protecție asigură faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.

(3a)  Fără a aduce atingere obligației operatorului de a notifica persoana vizată cu privire la încălcarea securității datelor cu caracter personal, în cazul în care operatorul nu a informat deja persoana vizată cu privire la încălcarea securității datelor sale cu caracter personal, în urma analizării posibilelor efecte negative ale încălcării, autoritatea de supraveghere poate solicita ca operatorul să facă acest lucru.

(4)  Informarea persoanei vizate poate fi întârziată, sau restricționată sau omisă din motivele menționate la articolul 11 alineatul (4). [AM 92]

SECȚIUNEA 3

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 30

Desemnarea responsabilului cu protecția datelor

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator desemnează un responsabil cu protecția datelor.

(2)  Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în domeniul legislației și practicilor privind protecția datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 32. Nivelul necesar al cunoștințelor de specialitate se stabilește în special în funcție de prelucrarea efectuată asupra datelor și de gradul de protecție impus pentru datele cu caracter personal prelucrate de către operator sau de persoana împuternicită de către operator.

(2a)  Statele membre prevăd că operatorul sau persoana împuternicită de către operator se asigură că orice alte îndatoriri profesionale ale responsabilului cu protecția datelor sunt compatibile cu sarcinile și atribuțiile persoanei care are calitatea de responsabil cu protecția datelor și că nu generează un conflict de interese.

(2b)  Responsabilul cu protecția datelor este numit pentru o perioadă de cel puțin patru ani. Mandatul responsabilului cu protecția datelor poate fi reînnoit. Pe durata mandatului, responsabilul cu protecția datelor poate fi demis doar dacă acesta nu mai îndeplinește condițiile cerute pentru exercitarea atribuțiilor sale.

(2c)  Statele membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a contacta responsabilul cu protecția datelor cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal ale acesteia.

(3)  Responsabilul cu protecția datelor poate fi desemnat pentru mai multe entități, ținându-se seama de structura organizatorică a autorității competente.

(3a)  Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator comunică autorității de supraveghere și publicului identitatea și datele de contact ale responsabilului cu protecția datelor. [AM 93]

Articolul 31

Funcția responsabilului cu protecția datelor

(1)  Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)  Operatorul sau persoana împuternicită de către operator se asigură că responsabilul cu protecția datelor are la dispoziție mijloacele pentru îndeplinirea cu eficacitate și în mod independent a funcțiilor și sarcinilor menționate la articolul 32 și că nu primește instrucțiuni în ceea ce privește exercitarea funcției sale.

(2a)  Operatorul sau persoana împuternicită de către operator sprijină responsabilul cu protecția datelor în exercitarea atribuțiilor sale și furnizează toate mijloacele, inclusiv personal, sediu, echipament, formare profesională continuă precum și orice altă resursă necesară îndeplinirii atribuțiilor și sarcinilor menționate la articolul 32 și menținerii cunoștințelor profesionale ale acestuia. [AM 94]

Articolul 32

Sarcinile responsabilului cu protecția datelor

Statele membre prevăd dispoziții potrivit cărora operatorul sau persoana împuternicită de către operator încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

(a)  sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în conformitate cu dispozițiile adoptate în temeiul prezentei directive, în special în ceea ce privește măsurile și procedurile tehnice și organizatorice, și păstrarea documentelor referitoare la această activitate și la răspunsurile primite;

(b)  monitorizarea aplicării politicilor în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;

(c)  monitorizarea punerii în aplicare și aplicarea dispozițiilor adoptate în temeiul prezentei directive, în special cu privire la cerințele legate de protecția datelor începând cu momentul conceperii, de protecția implicită a datelor, securitatea datelor și de informarea persoanelor vizate, precum și de solicitările acestora în exercitarea drepturilor lor prevăzute de dispozițiile adoptate în temeiul prezentei directive;

(d)  asigurarea păstrării documentației, prevăzute la articolul 23;

(e)  monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a securității datelor cu caracter personal, în temeiul articolelor 28 și 29;

(f)  monitorizarea aplicării evaluării impactului de către operator sau de persoana împuternicită și a cererii de consultare prealabilă adresată autorității de supraveghere, în cazul în care este necesar, în conformitate cu articolul 26 alineatul (1);

(g)  monitorizarea răspunsului la solicitările autorității de supraveghere și, în limitele ariei de competență a responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din proprie inițiativă;

(h)  asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, de consultare a autorității de supraveghere, din propria inițiativă a responsabilului cu protecția datelor. [AM 95]

CAPITOLUL V

TRANSFERUL DATELOR CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE

Articolul 33

Principii generale pentru transferurile de date cu caracter personal

1.  Statele membre prevăd dispoziții potrivit cărora orice transfer de date cu caracter personal de către autoritățile competente, care sunt prelucrate sau care sunt destinate prelucrării după transferul către o țară terță sau către o organizație internațională, inclusiv, ulterior, transferul în continuare către o altă țară terță sau organizație internațională, poate avea loc numai dacă:

(a)  transferul specific este necesar pentru prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor ori pentru executarea pedepselor; precum și

(aa)  datele sunt transferate unui operator într-o țară terță sau unei organizații internaționale competente în sensul articolului 1 alineatul (1); precum și

(ab)  condițiile prevăzute în prezentul capitol sunt respectate de operator sau de persoana împuternicită de către operator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională într-o altă țară terță sau la o altă organizație internațională; precum și

(b)  condițiile prevăzute în prezentul capitol celelalte condiții adoptate în conformitate cu prezenta directivă sunt respectate de operator și de persoana împuternicită de către operator;

(ba)  nivelul de protecție a datelor cu caracter personal garantat în Uniune prin prezenta directivă nu este subminat. precum și

(bb)  dacă Comisia a decis, în conformitate cu condițiile și procedura menționate la articolul 34, că țara terță sau organizația internațională respectivă asigură un nivel adecvat de protecție; sau

(bc)  dacă s-au prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu caracter juridic obligatoriu, așa cum este prevăzut la articolul 35.

2.  Statele membre prevăd dispoziții potrivit cărora transferurile ulterioare menționate la primul paragraf al prezentului articol pot avea loc numai dacă, pe lângă condițiile prevăzute la paragraful respectiv, se îndeplinesc și următoarele condiții:

(a)  transferul ulterior este necesar pentru realizarea aceluiași scop specific ca transferul inițial; precum și

(b)  autoritatea competentă care a realizat transferul inițial autorizează transferul ulterior. [AM 96]

Articolul 34

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție

(1)  Statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către o țară terță sau către o organizație internațională poate avea loc în cazul în care Comisia a decis, în conformitate cu articolul 41 din Regulamentul (CE) …./2012 sau în conformitate cu alineatul (3) din prezentul articol, că țara terță sau un teritoriu sau un sector de prelucrare din acea țară terță sau organizația internațională respectivă asigură un nivel adecvat de protecție. Transferurile realizate în aceste condiții nu necesită alte autorizări suplimentare speciale.

(2)  În cazul în care nu există nici decizie adoptată în conformitate cu articolul 41 din Regulamentul (CE) …./2012, Comisia evaluează caracterul adecvat al nivelului de protecție, luând Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ia în considerare următoarele elemente:

(a)  statul de drept, legislația relevantă în vigoare, atât generală, cât și sectorială, inclusiv cea referitoare la securitatea publică, la apărare, la securitatea națională și la dreptul penal, măsurile precum și implementarea acestei legislații și a măsurilor de securitate respectate în țara respectivă sau de respectiva organizație internațională, Precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate;

(b)  existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care are responsabilitatea de a asigura respectarea normelor în materie de protecție a datelor, inclusiv suficiente competențe de sancționare, de a asista și de a consilia persoana vizată în ceea ce privește exercitarea drepturilor sale și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune precum și

(c)  angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză, în special orice convenții sau instrumente obligatorii din punct de vedere juridic,în ceea ce privește protecția datelor personale.

(3)  Comisia poate este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 pentru a decide, în limitele prezentei directive, că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2). Actele de punere în aplicare respective sunt adoptate în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2).

(4)  Actul de punere aplicare delegat menționează aplicarea geografică și sectorială, și, după caz, identifică autoritatea de supraveghere menționată la alineatul (2) litera (b).

(4a)  Comisia monitorizează în mod continuu evoluțiile care ar putea afecta îndeplinirea obiectivelor menționate la alineatul (2) în țările terțe și organizațiile internaționale în legătură cu care a fost adoptat un act delegat în conformitate cu alineatul (3).

(5)  Comisia poate este împuternicită să adopte, după solicitarea unui aviz din partea Comitetului european pentru protecția datelor, acte delegate în conformitate cu articolul 56 pentru a decide, în limitele prezentei directive, că o țară terță, un teritoriu sau un sector de prelucrare din acea țară terță, sau o organizație internațională nu asigură un nivel de protecție adecvat în sensul alineatului (2), în special în cazurile în care legislația relevantă, atât cea generală, cât și cea sectorială, în vigoare în țara terță sau în organizația internațională, nu garantează drepturi efective și opozabile, inclusiv căi de atac administrative și judiciare efective pentru persoanele vizate, în special pentru acele persoanele vizate care își au reședința în Uniune și ale căror date cu caracter personal sunt transferate. Actele de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 57 alineatul (2), sau, în cazuri de extremă urgență pentru persoanele fizice în ceea ce privește dreptul la protecția datelor cu caracter personal, în conformitate cu procedura menționată la articolul 57 alineatul (3).

(6)  Statele membre asigură că, atunci când Comisia ia o decizie în temeiul alineatului (5), potrivit căreia transferurile de date cu caracter personal către țara terță, un teritoriu sau un sector de prelucrare din acea țară terță sau către organizația internațională în cauză sunt interzise, decizia respectivă nu aduce atingere transferurilor efectuate în temeiul articolului 35 alineatul (1) sau în conformitate cu articolul 36. La momentul oportun, Comisia efectuează consultări cu țara terță sau organizația internațională în vederea remedierii situației apărute în urma deciziei luate în conformitate cu alineatul (5) al prezentului articol.

(7)  Comisia publică în Jurnalul Oficial al Uniunii Europene o listă a țărilor terțe, a teritoriilor și sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu este asigurat.

(8)  Comisia monitorizează aplicarea actelor de punere în aplicare actelor delegate la care se face referire la alineatele (3) și (5). [AM 97]

Articolul 35

Transferurile în baza unor garanții adecvate

(1)  În cazul în care Comisia nu a luat o decizie în temeiul articolului 34, statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională poate avea loc în condițiile în care: sau a decis că o țară terță sau un teritoriu ori un sector de prelucrare din respectiva țară terță sau o organizație internațională nu oferă un nivel adecvat de protecție în conformitate cu articolul 34 alineatul (5), operatorul sau persoana împuternicită de către operator poate să nu transfere date cu caracter personal într-o țară terță sau unei organizații internaționale care transferă date la nivel internațional numai dacă operatorul sau persoana împuternicită de către operator a oferit garanții adecvate în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie.

(a)  s-au prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie sau

(b)  operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente transferului de date cu caracter personal și a concluzionat că există garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal.

(2)  Decizia privind transferurile în temeiul alineatului (1) litera (b) trebuie să fie luată de personalul autorizat în acest sens. Aceste transferuri trebuie să fie documentate, iar documentele trebuie să fie puse la dispoziția autorității de supraveghere, la cerere. autorizate de către autoritatea de supraveghere înainte de transfer. [AM 98]

Articolul 36

Derogări

(1)  Transferul de date cu caracter personal către țara terță vizată, respectiv către o țară terță sau către organizația internațională în cauză, nu are loc în cazul în care Comisia, în conformitate cu articolul 34 alineatul (5), decide că nu există un nivel adecvat de protecție și în cazul în care interesele legitime ale persoanei vizate în prevenirea unui astfel de transfer primează în fața interesului public privind transferul de date respectiv.

(2)   Prin derogare de la articolele 34 și 35, statele membre prevăd dispoziții potrivit cărora un transfer de date cu caracter personal către o țară terță sau o organizație internațională poate avea loc numai în condițiile în care:

(a)  transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane sau

(b)  transferul este necesar pentru protejarea intereselor legitime ale persoanei vizate, în cazul în care legea statului membru care transferă datele cu caracter personal prevede acest lucru sau

(c)  transferul datelor este esențial pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe sau

(d)  transferul este necesar, în cazuri individuale, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale sau

(e)  transferul este necesar, în cazuri individuale, pentru constatarea, exercitarea sau apărarea unui drept în instanță legat de prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor sau de executarea unei anumite sancțiuni penale.

(2a)  Prelucrarea efectuată în baza alineatului (2) trebuie să aibă un temei juridic în legislația Uniunii sau a statului membru care se aplică operatorului; legislația respectivă trebuie să respecte obiectivul de interes public sau nevoia de a proteja drepturile și libertățile celorlalți, esența dreptului la protecția datelor cu caracter personal și să fie proporțională cu obiectivul legitim urmărit.

(2b)  Toate transferurile de date personale decise pe baza unor derogări trebuie justificate corespunzător și se limitează la ceea ce este strict necesar, iar frecventele transferuri masive de date nu sunt permise.

(2c)  Decizia privind transferurile în temeiul alineatului (2) trebuie să fie luată de personalul autorizat în acest sens. Aceste transferuri trebuie să fie documentate iar documentația trebuie pusă la dispoziția autorității de supraveghere la cerere, incluzând data și ora transferului, informații cu privire la autoritatea destinatară, justificarea transferului și datele transferate. [AM 99]

Articolul 37

Condiții specifice pentru transferul datelor cu caracter personal

Statele membre prevăd dispoziții potrivit cărora operatorul informează destinatarul cu privire la orice restricție privind prelucrarea datelor cu caracter personal și ia toate măsurile rezonabile pentru a asigura respectarea acestor restricții. Operatorul informează, de asemenea, destinatarul datelor cu caracter personal cu privire la orice actualizare, rectificare sau ștergere a datelor, iar destinatarul efectuează, de asemenea, notificarea corespunzătoare în cazul în care datele au fost transferate ulterior. [AM 100]

Articolul 38

Cooperarea internațională în domeniul protecției datelor cu caracter personal

(1)  În ceea ce privește țările terțe și organizațiile internaționale, Comisia și statele membre iau măsurile corespunzătoare pentru:

(a)  elaborarea de mecanisme eficiente de cooperare internațională pentru a facilita asigurarea asigura aplicarea legislației privind protecția datelor cu caracter personal; [AM 101]

(b)  acordarea de asistență internațională reciprocă în asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal, inclusiv prin notificare, transferul reclamațiilor, asistență în anchete și schimb de informații, sub rezerva unor garanții adecvate pentru protecția datelor cu caracter personal și a altor drepturi și libertăți fundamentale;

(c)  implicarea părților interesate relevante în discuțiile și activitățile care au ca scop lărgirea cooperării internaționale în vederea asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal;

(d)  promovarea schimbului și a documentației cu privire la legislația și practicile în materie de protecție a datelor cu caracter personal;

(da)  clarificarea și consultarea privind conflictele jurisdicționale cu țările terțe. [AM 102]

(2)  În sensul alineatului (1), Comisia ia măsurile necesare pentru a consolida relațiile cu țările terțe sau cu organizațiile internaționale, în special cu autoritățile lor de supraveghere, în cazul în care Comisia a decis că acestea asigură un nivel adecvat de protecție în sensul articolului 34 alineatul (3).

Articolul 38a

Raportul Comisiei

Comisia transmite Parlamentului European și Consiliului, la intervale regulate, un raport privind aplicarea articolelor 33-38. Primul raport este transmis în termen de cel mult patru ani de la data intrării în vigoare a prezentei directive. În acest sens, Comisia poate solicita informații de la statele membre și de la autoritățile de supraveghere, care furnizează aceste informații fără întârzieri nejustificate. Raportul se publică. [AM 103]

CAPITOLUL VI

AUTORITĂȚI DE SUPRAVEGHERE INDEPENDENTE

SECȚIUNEA 1

STATUT INDEPENDENT

Articolul 39

Autoritatea de supraveghere

(1)  Fiecare stat membru prevede dispoziții potrivit cărora una sau mai multe autorități publice sunt responsabile de monitorizarea aplicării dispozițiilor adoptate în temeiul prezentei directive și de contribuția la aplicarea uniformă a acesteia în întreaga Uniune, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ale acestora și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii. În acest sens, autoritățile de supraveghere cooperează între ele și cu Comisia.

(2)  Statele membre pot prevedea că autoritatea de supraveghere instituită în statele membre în temeiul Regulamentului (UE) …./2012 își asumă responsabilitatea pentru sarcinile autorității de supraveghere care urmează să fie instituită în temeiul alineatului (1) din prezentul articol.

(3)  În cazul în care un stat membru instituie mai multe autorități de supraveghere, statul membru respectiv desemnează autoritatea de supraveghere care funcționează ca punct unic de contact pentru participarea efectivă a autorităților respective la Comitetul european pentru protecția datelor.

Articolul 40

Independență

(1)  Statele membre se asigură că autoritatea de supraveghere beneficiază de independență deplină în exercitarea îndatoririlor și competențelor care îi sunt încredințate¸fără a se aduce atingere înțelegerilor de cooperare, în temeiul capitolului VII din prezenta directivă. [AM 104]

(2)  Fiecare stat membru prevede dispoziții potrivit cărora, în îndeplinirea îndatoririlor, membrii autorității de supraveghere nu solicită și nici nu acceptă niciun fel de instrucțiuni și își mențin independența completă și imparțialitatea. [AM 105]

(3)  Membrii autorității de supraveghere nu întreprind acțiuni incompatibile cu îndatoririle lor și, pe durata mandatului, nu desfășoară activități incompatibile, remunerate sau nu.

(4)  După încheierea mandatului, membrii autorității de supraveghere trebuie să dea dovadă de integritate și discreție în ceea ce privește acceptarea unor funcții sau beneficii.

(5)  Fiecare stat membru se asigură că autoritatea de supraveghere beneficiază de resurse umane, tehnice și financiare adecvate, de sediul și infrastructura necesare pentru buna executare a sarcinilor și a competențelor sale, inclusiv a celor care urmează să fie efectuate în contextul asistenței reciproce, al cooperării și al participării active la Comitetul european pentru protecția datelor.

(6)  Fiecare stat membru se asigură că autoritatea de supraveghere dispune de personal propriu, care este numit de șeful autorității de supraveghere și care răspunde în fața acestuia.

(7)  Statele membre se asigură că autoritatea de supraveghere face obiectul unui control financiar care nu aduce atingere independenței sale. Statele membre se asigură că autoritatea de supraveghere dispune de bugete anuale distincte. Bugetele se fac publice.

Articolul 41

Condiții generale aplicabile membrilor autorității de supraveghere

(1)  Statele membre prevăd dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți fie de parlament, fie de guvernul statului membru în cauză.

(2)  Membrii se aleg din rândul persoanelor care fac dovada independenței dincolo de orice îndoială, precum și a experienței și a competențelor necesare pentru îndeplinirea îndatoririlor lor.

(3)  Funcțiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau al destituirii conform dispozițiilor alineatului (5).

(4)  Un membru poate fi demis sau poate fi decăzut din dreptul la pensie sau la alte beneficii echivalente de către instanța națională competentă, în cazul în care membrul respectiv nu mai îndeplinește condițiile necesare pentru executarea funcțiilor sau este vinovat de comiterea unei abateri disciplinare grave.

(5)  În cazul expirării mandatului sau al demisiei membrului, acesta continuă să își exercite îndatoririle până la numirea unui nou membru.

Articolul 42

Norme privind instituirea autorității de supraveghere

Fiecare stat membru prevede, pe cale legislativă, următoarele:

(a)  instituirea și statutul autorității de supraveghere în conformitate cu articolele 39 și 40;

(b)  calificările, experiența și competențele necesare pentru exercitarea funcției de membru al autorității de supraveghere;

(c)  normele și procedurile pentru numirea membrilor autorității de supraveghere, precum și normele privind acțiunile sau ocupațiile incompatibile cu funcțiile membrilor;

(d)  durata mandatului membrilor autorității de supraveghere, care nu poate fi sub patru ani, cu excepția primului mandat după intrarea în vigoare a prezentei directive, care poate fi pe o perioadă mai scurtă;

(e)  posibilitatea de reînnoire a mandatului membrilor autorității de supraveghere;

(f)  regulile și condițiile comune care reglementează îndatoririle membrilor și ale personalului autorității de supraveghere;

(g)  normele și procedurile privind încetarea funcțiilor asumate de membrii autorității de supraveghere, inclusiv în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri disciplinare grave.

Articolul 43

Secretul profesional

Statele membre prevăd dispoziții potrivit cărora membrii și personalul autorității de supraveghere au obligația, atât în cursul mandatului, cât și după încetarea acestuia și în conformitate cu legislația și practica națională de a respecta secretul profesional în ceea ce privește informațiile confidențiale de care au luat cunoștință în timpul exercitării sarcinilor lor oficiale, precum și de a-și îndeplini îndatoririle în mod independent și transparent, în conformitate cu prezenta directivă. [AM 106]

SECȚIUNEA 2

ATRIBUȚII ȘI FUNCȚII

Articolul 44

Competență

(1)  Statele membre prevăd dispoziții potrivit cărora fiecare autoritate de supraveghere are competența de a-și îndeplini îndatoririle și de a exercita, pe teritoriul statului membru de care aparține, funcțiile cu care este investită în conformitate cu prezenta directivă. [AM 107]

(2)  Statele membre prevăd dispoziții potrivit cărora autoritatea de supraveghere nu are competența de a supraveghea operațiunile de prelucrare ale instanțelor atunci când acestea acționează în exercițiul funcției lor jurisdicționale.

Articolul 45

Atribuții

(1)  Statele membre prevăd dispoziții potrivit cărora autoritatea de supraveghere:

(a)  monitorizează și asigură aplicarea dispozițiilor adoptate în temeiul prezentei directive, precum și a măsurilor de punere în aplicare aferente acesteia;

(b)  primește reclamațiile depuse de orice persoană vizată sau de o asociație care reprezintă persoana vizată respectivă și este împuternicită în mod corespunzător de aceasta, în conformitate cu articolul 50, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai detaliate sau coordonarea cu o altă autoritate de supraveghere;

(c)  verifică legalitatea prelucrării datelor în conformitate cu articolul 14 și informează persoana vizată, într-un termen rezonabil, cu privire la rezultatul verificării sau la motivele pentru care nu a avut loc verificarea;

(d)  oferă asistență reciprocă altor autorități de supraveghere și asigură consecvența aplicării și a asigurării aplicării dispozițiilor adoptate în temeiul prezentei directive;

(e)  desfășoară anchete, inspecții și audituri fie din proprie inițiativă, fie pe baza unei reclamații sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație;

(f)  monitorizează evoluțiile relevante, în măsura în care acestea au impact asupra protecției datelor cu caracter personal, în special evoluția tehnologiilor informațiilor și comunicațiilor;

(g)  este consultată de instituțiile și organele statului membru cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;

(h)  este consultată cu privire la operațiunile de prelucrare prevăzute la articolul 26;

(i)  participă la activitățile Comitetului european pentru protecția datelor.

(2)  Fiecare autoritate de supraveghere promovează acțiuni de sensibilizare a publicului cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal. Se acordă atenție specială activităților care se adresează în mod special minorilor.

(3)  La cerere, autoritatea de supraveghere oferă consiliere oricărei persoane vizate cu privire la exercitarea drepturilor de care beneficiază, în conformitate cu dispozițiile adoptate în temeiul prezentei directive și, dacă este cazul, cooperează cu autoritățile de supraveghere din alte state membre în acest scop.

(4)  Pentru reclamațiile prevăzute la alineatul (1) litera (b), autoritatea de supraveghere pune la dispoziție un formular de depunere a reclamației, care poate fi completat prin mijloace electronice, fără a exclude alte mijloace de comunicare.

(5)  Statele membre prevăd dispoziții potrivit cărora îndeplinirea funcțiilor autorității de supraveghere este gratuită pentru persoana vizată.

(6)  În cazul în care cererile sunt abuzive în mod vădit excesive, în special din cauza caracterului repetitiv al acestora, autoritatea de supraveghere poate percepe o taxă sau poate să nu dea curs cererii persoanei vizate rezonabilă. Cuantumul acestei taxe nu depășește costurile luării măsurii solicitate. Sarcina probei cu privire la caracterul abuziv vădit excesiv al cererii revine autorității de supraveghere. [AM 108]

Articolul 46

Competențe

(1)  Statele membre prevăd dispoziții potrivit cărora fiecare autoritate de supraveghere trebuie investită, în special, cu următoarele competențe poate:

(a)  competențe de investigare, cum ar fi competențe privind accesul la datele care fac obiectul operațiilor de prelucrare și competențe privind colectarea tuturor informațiilor necesare pentru îndeplinirea îndatoririlor sale de supraveghere; să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată;

(b)  competențe efective de intervenție, cum ar fi competențe de a emite avize înainte ca operațiunile de prelucrare să fie efectuate și de a asigura publicarea corespunzătoare a acestor avize, de a ordona restricționarea, ștergerea sau distrugerea datelor, de a impune o interdicție temporară sau definitivă de prelucrare, de a adresa operatorului un avertisment sau o mustrare sau de a sesiza parlamentele naționale sau alte instituții politice; să impună operatorului să respecte cerințele persoanei vizate de a-și exercita drepturile în conformitate cu prezenta directivă, inclusiv cu cele prevăzute la articolele 12-17, atunci când aceste cerințe au fost refuzate ca o încălcare a dispozițiilor respective;

(c)  competența de a acționa în justiție în cazul în care dispozițiile adoptate în temeiul prezentei directive au fost încălcate sau de a aduce aceste încălcări în atenția autorităților judiciare. să impună operatorului sau persoanei împuternicite de operator să furnizeze informații în conformitate cu articolul 10 alineatele (1) și (2) și articolele 11, 28 și 29;

(d)  să asigure respectarea avizelor privind consultările prealabile prevăzute la articolul 26;

(e)  să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator;

(f)  să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentei directive, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date;

(g)  să impună interdicția temporară sau definitivă privind prelucrarea;

(h)  să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională;

(i)  să informeze parlamentele naționale, guvernul sau alte instituții publice și publicul în acest sens.

(2)  Fiecare autoritate de supraveghere are competențe de investigare pentru a obține din partea operatorului sau a persoanei împuternicite de către operator:

(a)  accesul la toate datele cu caracter personal și la toate informațiile necesare pentru executarea atribuțiilor sale de supraveghere;

(b)  accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor, în conformitate cu legislația națională, în cazul în care există motive întemeiate de a presupune că se efectuează o activitate care contravine prezentei directive, fără a aduce atingere unei autorizări judiciare, dacă legislația națională impune acest lucru.

(3)  Fără a aduce atingere articolului 43, statele membre prevăd dispoziții conform cărora nu se introduc cerințe suplimentare de confidențialitate la cererea autorităților de supraveghere.

(4)  Statele membre pot prevedea dispoziții potrivit cărora pentru obținerea accesului la informații clasificate la un nivel similar cu UE CONFIDENȚIAL sau superior acestuia este nevoie de controale de securitate suplimentare conforme cu dreptul intern. În cazul în care legislația statului membru în care se află autoritatea de supraveghere respectivă nu impune niciun control suplimentar de securitate, acest lucru trebuie să fie recunoscut de toate celelalte state membre.

(5)  Fiecare autoritate de supraveghere are competența de a sesiza autoritățile judecătorești, în cazul încălcării dispozițiilor adoptate în temeiul prezentei directive, și de a participa la proceduri judiciare și de a sesiza o instanță competentă, în conformitate cu articolul 53 alineatul (2).

(6)  Toate autoritățile de supraveghere au competența de a impune sancțiuni în cazul unor infracțiuni de natură administrativă. [AM 109]

Articolul 46a

Raportarea încălcărilor

(1)  Statele membre prevăd dispoziții potrivit cărora autoritățile de supraveghere iau în considerare orientările emise de Comitetul european pentru protecția datelor în temeiul articolului 66 alineatul (4b) din Regulamentul (UE) …/2014 și instituie mecanisme eficiente de încurajare a raportărilor confidențiale privind încălcările prezentei directive.

(2)  Statele membre prevăd dispoziții potrivit cărora autoritățile competente instituie mecanisme eficiente de încurajare a raportărilor confidențiale privind încălcările prezentei directive. [AM 110]

Articolul 47

Raport de activitate

Statele membre prevăd dispoziții potrivit cărora fiecare autoritate de supraveghere trebuie să întocmească un raport anual cu privire la activitățile sale cel puțin din doi în doi ani. Acest raport este pus la dispoziția publicului, a parlamentului respectiv, a Comisiei și a Comitetului european pentru protecția datelor. Raportul include informații cu privire la măsura în care autoritățile competente din jurisdicția lor au accesat datele deținute de entități private pentru a ancheta sau pentru a urmări penal infracțiuni. [AM 111]

CAPITOLUL VII

Cooperare

Articolul 48

Asistență reciprocă

(1)  Statele membre prevăd dispoziții potrivit cărora autoritățile de supraveghere își furnizează asistență reciprocă pentru a transpune și a pune în aplicare dispozițiile prezentei directive în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de control, cum ar fi cereri în vederea efectuării de consultări prealabile, inspecții și anchete.

(2)  Statele membre prevăd dispoziții potrivit cărora autoritatea de supraveghere ia toate măsurile corespunzătoare necesare pentru a răspunde solicitării formulate de o altă autoritate de supraveghere. Aceste măsuri pot include, în special, transmiterea de informații relevante sau măsuri de punere în aplicare care să impună imediat încetarea sau interzicerea operațiilor de prelucrare care contravin prezentei directive și nu mai târziu de o lună de la primirea solicitării.

(2a)  Solicitarea de asistență cuprinde toate informațiile necesare, inclusiv scopul solicitării și motivele care stau la baza acesteia. Informațiile schimbate sunt utilizate numai în scopul pentru care au fost solicitate.

(2b)  O autoritate de supraveghere căreia i se adresează o solicitare de asistență nu poate refuza să îi dea curs, cu excepția cazului în care:

(a)  nu are competența de a trata solicitarea sau

(b)  tratarea solicitării ar fi incompatibilă cu dispozițiile adoptate în conformitate cu prezenta directivă.

(3)  Autoritatea de supraveghere căreia i s-a adresat solicitarea informează autoritatea de supraveghere care a transmis solicitarea cu privire la rezultate sau, după caz, la progresele înregistrate ori măsurile întreprinse pentru a da curs solicitării respective.

(3a)  Autoritățile de supraveghere furnizează informațiile solicitate de către alte autorități de supraveghere prin mijloace electronice și în cel mai scurt timp, utilizând un formular standard.

(3b)  Pentru acțiunile întreprinse în urma unei solicitări de asistență reciprocă nu se percepe nicio taxă. [AM 112]

Articolul 48a

Operații comune

(1)  Statele membre se asigură că, pentru intensificarea cooperării și a asistenței reciproce, autoritățile de supraveghere pot utiliza măsuri comune de punere în aplicare sau alte operațiuni comune, în cadrul cărora membri denumiți sau personal aparținând autorităților de supraveghere din alte state membre participă la operațiuni desfășurate pe teritoriul unui stat membru.

(2)  Statele membre se asigură că, în cazul în care persoanele vizate într-un alt stat membru sau alte state membre sunt susceptibile să fie afectate de operațiunile de prelucrare, autoritatea de supraveghere competentă poate fi invitată să participe la operațiunile comune. Autoritatea de supraveghere competentă poate invita autoritățile de supraveghere din fiecare dintre aceste state membre să ia parte la operațiunea respectivă și, atunci când este invitată, răspunde fără întârziere la solicitarea unei autorități de supraveghere care dorește să participe la operațiuni.

(3)  Statele membre definesc aspectele practice ale acțiunilor specifice de cooperare. [AM 113]

Articolul 49

Sarcinile Comitetului european pentru protecția datelor

(1)  Comitetul european pentru protecția datelor instituit prin Regulamentul (UE) …./2012 exercită următoarele sarcini în ceea ce privește prelucrarea care intră sub incidența prezentei directive:

(a)  să ofere Comisiei instituțiilor Uniunii consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentei directive;

(b)  să analizeze, la cererea Comisiei, a Parlamentului European sau a Consiliului, din proprie inițiativă sau la inițiativa unuia dintre membrii săi, orice chestiune referitoare la punerea în aplicare a dispozițiilor adoptate în temeiul prezentei directive și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a dispozițiilor respective, inclusiv utilizarea competențelor de punere în aplicare;

(c)  să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea;

(d)  să comunice Comisiei un aviz privind nivelul de protecție în țările terțe sau organizațiile internaționale;

(e)  să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere, inclusiv coordonarea operațiilor comune și a altor activități comune, atunci când decide astfel, la solicitarea unei sau a mai multor autorități de supraveghere;

(f)  să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale;

(g)  să promoveze schimbul de cunoștințe și de documente cu autoritățile de supraveghere a protecției datelor la nivel mondial, inclusiv privind legislația și practicile în materie de protecție a datelor;

(ga)  să prezinte Comisiei avizul său în pregătirea actelor delegate și de punere în aplicare adoptate în conformitate cu prezenta directivă.

(2)  În situațiile în care Parlamentul European, Consiliul sau Comisia consultă Comitetul european pentru protecția datelor, aceasta poate stabili un termen în care Comitetul european pentru protecția datelor trebuie să comunice avizul său, ținând cont de caracterul urgent al chestiunii.

(3)  Comitetul european pentru protecția datelor își transmite avizele, orientările, recomandările și bunele practici Comisiei și comitetului menționat la articolul 57 alineatul (1) și le publică.

(4)  Comisia informează Comitetul european pentru protecția datelor cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de Comitetul european pentru protecția datelor. [AM 114]

CAPITOLUL VIII

Căi de atac, răspundere și sancțiuni

Articolul 50

Dreptul de a depune o plângere la o autoritate de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, statele membre prevăd dispoziții potrivit cărora orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru, în cazul în care consideră că prelucrarea datelor sale cu caracter personal nu respectă dispozițiile adoptate în temeiul prezentei directive.

(2)  Statele membre prevăd dispoziții potrivit cărora orice organism, organizație sau asociație a cărei activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu privire la protecția datelor cu caracter personal ale acestora care își desfășoară activitatea în interesul public și care a fost constituită în mod adecvat, în conformitate cu legislația unui stat membru, are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru în numele uneia sau mai multor persoane vizate, în cazul în care consideră că drepturile de care persoanele vizate beneficiază în temeiul prezentei directive au fost încălcate ca urmare a prelucrării datelor cu caracter personal. Organizația sau asociația trebuie să fie mandatată în mod corespunzător de către persoana (persoanele) vizată(e). [AM 115]

(3)  Statele membre prevăd dispoziții potrivit cărora, independent de o plângere depusă de o persoană vizată, orice organism, organizație sau asociație menționată la alineatul (2) are dreptul de a depune o plângere la o autoritate de supraveghere din orice stat membru, în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal.

Articolul 51

Dreptul la o cale de atac judiciară împotriva unei autorități de supraveghere

(1)  Statele membre prevăd dreptul pentru toate persoanele fizice sau juridice la o cale de atac judiciară împotriva deciziilor unei autorități de supraveghere care le privesc.

(2)  Statele membre se asigură că orice persoană vizată are dreptul de a exercita o cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor sale sau în cazul în care autoritatea de supraveghere nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii în temeiul articolului 45 alineatul (1) litera (b).

(3)  Statele membre prevăd dispoziții potrivit cărora acțiunile introduse împotriva unei autorități de supraveghere sunt înaintate instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

(3a)  Statele membre se asigură că vor fi puse în aplicare hotărârile definitive ale instanțelor menționate în prezentul articol. [AM 116]

Articolul 52

Dreptul la o cale de atac judiciară împotriva unui operator sau unei persoane împuternicite de operator

(1)   Fără a aduce atingere vreunei căi de atac administrative disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere, statele membre prevăd dispoziții potrivit cărora orice persoană fizică are dreptul la exercitarea unei căi de atac judiciare, în cazul în care consideră că drepturile de care beneficiază conform dispozițiilor adoptate în temeiul prezentei directive au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal efectuate încălcând dispozițiile respective.

(1a)  Statele membre se asigură că vor fi puse în aplicare hotărârile definitive ale instanțelor menționate în prezentul articol. [AM 117]

Articolul 53

Norme comune aplicabile acțiunilor în instanță

(1)  Statele membre prevăd dispoziții potrivit cărora orice organism, organizație sau asociație menționată la articolul 50 alineatul (2) are dreptul de a exercita drepturile menționate la articolele 51 și 52 în numele uneia sau mai multor 54, atunci când sunt mandatate de una sau mai multe persoane vizate. [AM 118]

(2)  Statele membre se asigură că fiecare autoritate de supraveghere are dreptul a participa la proceduri judiciare și de a sesiza o instanță, în scopul de a asigura aplicarea dispozițiilor adoptate în temeiul prezentei directive sau de a asigura coerența protecției datelor cu caracter personal în cadrul Uniunii. [AM 119]

(3)  Statele membre se asigură că acțiunile în justiție disponibile în dreptul intern permit adoptarea rapidă de măsuri, inclusiv măsuri provizorii, menite să ducă la încetarea oricărei încălcări presupuse și să prevină orice altă atingere adusă intereselor respective.

Articolul 54

Răspundere și dreptul la despăgubiri

(1)  Statele membre prevăd dispoziții potrivit cărora orice persoană care a suferit prejudicii, inclusiv prejudicii nepecuniare, ca urmare a unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu dispozițiile adoptate în temeiul prezentei directive are dreptul de a cere despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit. [AM 120]

(2)  În cazul în care la prelucrare au participat mai muți operatori sau persoane împuternicite de operator, fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod solidar pentru întreaga valoare a prejudiciului.

(3)  Operatorul sau persoana împuternicită de operator poate fi total sau parțial exonerată de această răspundere, în cazul în care operatorul sau persoana împuternicită de acesta dovedește că nu este responsabilă pentru fapta care a provocat prejudiciul.

Articolul 55

Sancțiuni

Statele membre definesc normele privind sancțiunile aplicabile în cazul încălcării dispozițiilor adoptate în temeiul prezentei directive și iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive.

Capitolul VIIIa

Transmiterea datelor cu caracter personal către alte părți

Articolul 55a

Transmiterea de date cu caracter personal către alte autorități sau entități private din Uniune

(1)  Statele membre se asigură că operatorul nu transmite sau de a da instrucțiuni persoanei împuternicite să transmită date cu caracter personal unei persoane fizice sau juridice care nu face obiectul dispozițiilor adoptate în temeiul prezentei directive, cu excepția cazurilor în care:

(a)  transmiterea respectă dreptul Uniunii sau al statului membru; precum și

(b)  destinatarul are domiciliul într-un stat membru al Uniunii Europene; precum și

(c)  niciun interes specific legitim al persoanei vizate nu împiedică transmiterea; precum și

(d)  transmiterea este necesară într-o situație specifică în care operatorul transmite date cu caracter personal pentru:

(i)  îndeplinirea unei sarcini în mod legal atribuite acestuia; sau

(ii)  prevenirea unui pericol imediat și grav la adresa siguranței publice; sau

(iii)  prevenirea unei vătămări grave a drepturilor persoanelor.

(2)  Operatorul informează destinatarul cu privire la scopul pentru care datele cu caracter personal pot fi prelucrate în mod exclusiv.

(3)  Comisia informează autoritatea de supraveghere cu privire la aceste transmiteri.

(4)  Operatorul de date informează destinatarul cu privire la restricțiile asupra prelucrării datelor și se asigură că aceste restricții sunt respectate. [AM 121]

CAPITOLUL IX

ACTE DELEGATE ȘI ACTE DE PUNERE ÎN APLICARE

Articolul 56

Exercitarea delegării de competențe

(1)  Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute de prezentul articol.

(2)  Delegarea de competențe Competența de a adopta acte delegate, menționată la articolul 25a alineatul (7), articolul 28 alineatul (5), articolul 34 alineatul (3) și articolul 34 alineatul (5) este conferită Comisiei pe perioadă nedeterminată, începând de la data intrării în vigoare a prezentei directive.

(3)  Delegarea de competențe prevăzută la articolul 25a alineatul (7), articolul 28 alineatul (5), articolul 34 alineatul (3) și articolul 34 alineatul (5) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. O decizie de a revoca pune capăt delegării de competențe specificată în decizia respectivă. Aceasta intră în vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce atingere validității actelor delegate aflate deja în vigoare.

(4)  De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(5)  Un act delegat adoptat în temeiul articolului 25a alineatul (7), articolului 28 alineatul (5), articolului 34 alineatul (3) și al articolului 34 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecțiuni în termen de 2 luni șase luni de la notificarea acestuia către Parlamentul European și Consiliu, sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecțiuni. Termenul respectiv se prelungește cu șase luni la inițiativa Parlamentului European sau a Consiliului. [AM 122]

Articolul 56a

Termenul pentru adoptarea actelor delegate

(1)  Comisia adoptă actele delegate în conformitate cu articolul 25a alineatul (7) și articolul 28 alineatul (5) [șase luni înainte de data menționată la articolul 62 alineatul (1)]. Comisia poate prelungi cu șase luni termenul menționat la prezentul paragraf. [AM 123]

Articolul 57

Procedura comitetului

(1)  Comisia este asistată de un comitet. Acesta este un comitet în sensul Regulamentului (UE) nr. 182/2011.

(2)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(3)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din același regulament. [AM 124]

CAPITOLUL X

DISPOZIȚII FINALE

Articolul 58

Abrogări

(1)  Decizia-cadru 2008/977/JAI a Consiliului se abrogă.

(2)  Trimiterile la decizia-cadru abrogată menționată la alineatul (1) se interpretează ca trimiteri la prezenta directivă.

Articolul 59

Relația cu actele Uniunii adoptate anterior în domeniul cooperării judiciare în materie penală și al cooperării polițienești

Dispozițiile specifice referitoare la protecția datelor cu caracter personal cu privire la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor din actele Uniunii adoptate înainte de data adoptării prezentei directive, care reglementează prelucrarea datelor cu caracter personal între statele membre și accesul autorităților desemnate de statele membre la sistemele de informații instituite în temeiul tratatelor și care intră în domeniul de aplicare a prezentei directive nu sunt afectate.

Articolul 60

Relația cu acordurile internaționale încheiate anterior în domeniul cooperării judiciare în materie penală și al cooperării polițienești

Acordurile internaționale încheiate de către statele membre înainte de intrarea în vigoare a prezentei directive sunt modificate, dacă este necesar, în termen de cinci ani de la intrarea în vigoare a prezentei directive.

Articolul 61

Evaluare

(1)  Comisia, în urma solicitării unui aviz din partea Comitetului european pentru protecția datelor, evaluează aplicarea și implementarea prezentei directive. Ea coordonează, în strânsă cooperarea cu statele membre și efectuează vizite anunțate sau neanunțate. Parlamentul European și Consiliul sunt informate pe durata întregului proces și au acces la documentele relevante.

(2)  În termen de trei doi ani de la intrarea în vigoare a prezentei directive, Comisia revizuiește alte acte adoptate de Uniunea Europeană care reglementează prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor, în special a actelor adoptate de Uniune menționate la articolul 59, pentru a evalua necesitatea de a le alinia la prezenta directivă și prezintă, după caz, propunerile necesare de modificare a acestor acte pentru a asigura o abordare uniformă privind protecția datelor cu caracter personal și prezintă propuneri adecvate pentru a asigura dispoziții legale coerente și omogene referitoare la prelucrarea datelor cu caracter personal de către autoritățile competente, în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, care intră în domeniul de aplicare al prezentei directive.

(2a)  Comisia prezintă în termen de doi ani de la intrarea în vigoare a prezentei directive propuneri adecvate de revizuire a cadrului juridic aplicabil prelucrării de date cu caracter personal de către instituțiile, organismele, birourile și agențiile Uniunii, în scopul prevenirii, anchetării sau urmăririi penale a infracțiunilor sau a executării pedepselor, pentru a asigura dispoziții legale coerente și omogene referitoare la dreptul fundamental de protecție a datelor cu caracter personal în Uniune.

(3)  Comisia transmite Parlamentului European și Consiliului, la intervale regulate, rapoarte privind evaluarea și revizuirea prezentei directive în temeiul alineatului (1). Primele rapoarte sunt transmise în termen de cel mult patru ani de la data intrării în vigoare a prezentei directive. Ulterior, următoarele rapoarte sunt transmise o dată la patru ani. Comisia transmite, dacă este necesar, propuneri corespunzătoare în vederea modificării prezentei directive, precum și a alinierii altor instrumente juridice. Raportul se publică. [AM 125]

Articolul 62

Punerea în aplicare

(1)  Statele membre adoptă și publică, până la ...(12), actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive. Statele membre notifică de îndată Comisiei textele acestor dispoziții.

Statele membre aplică aceste dispoziții începând cu ...*.

Atunci când statele membre adoptă dispozițiile respective, acestea conțin o trimitere la prezenta directivă sau sunt însoțite de o astfel de trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.

(2)  Statele membre comunică Comisiei textul principalelor dispoziții de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.

Articolul 63

Intrarea în vigoare și aplicarea

Prezenta directivă intră în vigoare în prima zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Articolul 64

Destinatari

Prezenta directivă se adresează statelor membre.

Adoptată la ...,

Pentru Parlamentul European Pentru Consiliu

Președintele Președintele

(1) JO C 192, 30.6.2012, p. 7.
(2) Poziția Parlamentului European din 12 martie 2014.
(3)Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).
(4)Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală (JO L 350, 30.12.2008, p. 60).
(5) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO L 8, 12.1.2001, p. 1).
(6)Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
(7)Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335 17.12.2011, p. 1).
(8)JO L 176, 10.7.1999, p. 36.
(9)JO L 53, 27.2.2008, p. 52.
(10)JO L 160, 18.6.2011, p. 19.
(11) JO C 369, 17.12.2011, p. 14.
(12) Doi ani de la intrarea în vigoare a prezentei directive.

Aviz juridic - Politica de confidențialitate