(1) Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (“carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc.
(2) Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal. Prezentul regulament urmăreşte să contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.
(3) Directiva 95/46/CE a Parlamentului European şi a Consiliului (4) vizează armonizarea nivelului de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce
priveşte activităţile de prelucrare şi asigurarea liberei circulaţii a datelor cu caracter personal între statele membre.
Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (JO L 281, 23.11.1995, p. 31).
(4) Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetăţenilor. Dreptul la protecţia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporţionalităţii. Prezentul regulament respectă toate drepturile fundamentale şi libertăţile şi principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieţii private şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter personal, a libertăţii de gândire, de conştiinţă şi de religie, a libertăţii de exprimare şi de informare, a libertăţii de a desfăşura o activitate comercială, dreptul la o cale de atac eficientă şi la un proces echitabil, precum şi diversitatea culturală, religioasă şi lingvistică.
(5) Integrarea economică şi socială care rezultă din funcţionarea pieţei interne a condus la o creştere substanţială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal între actori publici şi privaţi, inclusiv persoane fizice, asociaţii şi întreprinderi, s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autorităţile naţionale din statele membre sunt chemate să coopereze şi să facă schimb de date cu caracter personal pentru a putea să îşi îndeplinească atribuţiile sau să execute sarcini în numele unei autorităţi dintr-un alt stat membru.
(6) Evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia datelor cu caracter personal. Amploarea colectării şi a schimbului de date cu caracter personal a crescut în mod semnificativ. Tehnologia permite atât societăţilor private, cât şi autorităţilor publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităţilor lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informaţii cu caracter personal. Tehnologia a transformat deopotrivă economia şi viaţa socială şi ar trebui să faciliteze în continuare libera circulaţie a datelor cu caracter personal în cadrul Uniunii şi transferul către ţări terţe şi organizaţii internaţionale, asigurând, totodată, un nivel ridicat de protecţie a datelor cu caracter personal.
(7) Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor în Uniune, însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat de încredere care va permite economiei digitale să se dezvolte pe piaţa internă. Persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică şi practică pentru persoane fizice, operatori economici şi autorităţi publice ar trebui să fie consolidată.
(8) În cazul în care prezentul regulament prevede specificări sau restricţionări ale normelor sale de către dreptul intern, statele membre pot, în măsura în care acest lucru este necesar pentru coerenţă şi pentru a asigura înţelegerea dispoziţiilor naţionale de către persoanele cărora li se aplică acestea, să încorporeze elemente din prezentul regulament în dreptul lor intern.
(9) Obiectivele şi principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecţia datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepţia publică larg răspândită conform căreia există riscuri semnificative pentru protecţia persoanelor fizice, în special în legătură cu activitatea online. Diferenţele dintre nivelurile de protecţie a drepturilor şi libertăţilor persoanelor fizice, în special a dreptului la protecţia datelor cu caracter personal, în ceea ce priveşte prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulaţie a datelor cu caracter personal în întreaga Uniune. Aceste diferenţe pot constitui, prin urmare, un obstacol în desfăşurarea de activităţi economice la nivelul Uniunii, pot denatura concurenţa şi pot împiedica autorităţile să îndeplinească responsabilităţile care le revin în temeiul dreptului Uniunii. Această diferenţă între nivelurile de protecţie este cauzată de existenţa unor deosebiri în ceea ce priveşte transpunerea şi aplicarea Directivei 95/46/CE.
(10) Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi pentru a se îndepărta obstacolele din calea circulaţiei datelor cu caracter personal în cadrul Uniunii, nivelul protecţiei drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă şi omogenă a normelor în materie de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. În ceea ce priveşte prelucrarea datelor cu caracter personal în vederea respectării unei obligaţii legale, a îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul, statelor membre ar trebui să li se permită să menţină sau să introducă dispoziţii de drept intern care să clarifice într-o mai mare măsură aplicarea normelor prezentului regulament. În coroborare cu legislaţia generală şi orizontală privind protecţia datelor, prin care este pusă în aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice în domenii care necesită dispoziţii mai precise. Prezentul regulament oferă, de asemenea, statelor membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce priveşte prelucrarea categoriilor speciale de date cu caracter personal (“date sensibile”). În acest sens, prezentul regulament nu exclude dreptul statelor membre care stabileşte circumstanţele aferente unor situaţii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiţiilor în care prelucrarea datelor cu caracter personal este legală.
(11) Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea şi stabilirea în detaliu a drepturilor persoanelor vizate şi a obligaţiilor celor care prelucrează şi decid prelucrarea datelor cu caracter personal, ci şi competenţe echivalente pentru monitorizarea şi asigurarea conformităţii cu normele de protecţie a datelor cu caracter personal şi sancţiuni echivalente pentru infracţiuni în statele membre.
(12) Articolul 16 alineatul (2) din TFUE mandatează Parlamentul European şi Consiliul să stabilească normele privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum şi normele privind libera circulaţie a acestor date.
(13) În vederea asigurării unui nivel uniform de protecţie pentru persoanele fizice în întreaga Uniune şi a preîntâmpinării discrepanţelor care împiedică libera circulaţie a datelor în cadrul pieţei interne, este necesar un regulament în scopul de a furniza securitate juridică şi transparenţă pentru operatorii economici, inclusiv microîntreprinderi şi întreprinderi mici şi mijlocii, precum şi de a oferi persoanelor fizice în toate statele membre acelaşi nivel de drepturi, obligaţii şi responsabilităţi opozabile din punct de vedere juridic pentru operatori şi persoanele împuternicite de aceştia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancţiuni echivalente în toate statele membre, precum şi cooperarea eficace a autorităţilor de supraveghere ale diferitelor state membre. Pentru buna funcţionare a pieţei interne este necesar ca libera circulaţie a datelor cu caracter personal în cadrul Uniunii să nu fie restricţionată sau interzisă din motive legate de protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal. Pentru a se lua în considerare situaţia specifică a microîntreprinderilor şi a întreprinderilor mici şi mijlocii, prezentul regulament include o derogare pentru organizaţiile cu mai puţin de 250 de angajaţi în ceea ce priveşte păstrarea evidenţelor. În plus, instituţiile şi organele Uniunii şi statele membre şi autorităţile lor de supraveghere sunt încurajate să ia în considerare necesităţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii în aplicarea prezentului regulament. Noţiunea de microîntreprinderi şi de întreprinderi mici şi mijlocii ar trebui să se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1). (1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor şi a întreprinderilor mici şi mijlocii [C(2003) 1422] (JO L 124, 20.5.2003, p. 36).
(14) Protecţia conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice şi, în special, întreprinderi cu personalitate juridică, inclusiv numele şi tipul de persoană juridică şi datele de contact ale persoanei juridice.
(15) Pentru a preveni apariţia unui risc major de eludare, protecţia persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic şi să nu depindă de tehnologiile utilizate. Protecţia persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automatizate, precum şi prelucrării manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidenţă. Dosarele sau seturile de dosare, precum şi copertele acestora, care nu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare al prezentului regulament.
(16) Prezentul regulament nu se aplică chestiunilor de protecţie a drepturilor şi libertăţilor fundamentale sau la libera circulaţie a datelor cu caracter personal referitoare la activităţi care nu intră în domeniul de aplicare al dreptului Uniunii, de exemplu activităţile privind securitatea naţională. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către statele membre atunci când acestea desfăşoară activităţi legate de politica externă şi de securitatea comună a Uniunii.
(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (2) se aplică prelucrării de date cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii. Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei
asemenea prelucrări a datelor cu caracter personal ar trebui adaptate la principiile şi normele stabilite în prezentul regulament şi aplicate în conformitate cu prezentul regulament. În vederea asigurării unui cadru solid şi coerent în materie de protecţie a datelor în Uniune, ar trebui ca după adoptarea prezentului regulament să se aducă Regulamentului (CE) nr. 45/2001 adaptările necesare, astfel încât acestea să poată fi aplicate odată cu prezentul regulament.
Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (JO L 8, 12.1.2001, p. 1).
(18) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei activităţi exclusiv personale sau domestice şi care, prin urmare, nu are legătură cu o activitate profesională sau comercială. Activităţile personale sau domestice ar putea include corespondenţa şi repertoriul de adrese sau activităţile din cadrul reţelelor sociale şi activităţile online desfăşurate în contextul respectivelor activităţi. Cu toate acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activităţi personale sau domestice.
(19) Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi al prevenirii acestora, precum şi libera circulaţie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităţilor de prelucrare în aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de către autorităţile publice în temeiul prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie reglementate printr-un act juridic mai specific al Uniunii, şi anume Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului. Statele membre pot încredinţa autorităţilor competente în sensul Directivei (UE) 2016/680 sarcini care nu sunt neapărat îndeplinite în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi al prevenirii acestora, astfel încât prelucrarea datelor cu caracter personal pentru alte scopuri, în măsura în care se încadrează în domeniul de aplicare al dreptului Uniunii, să intre în domeniul de aplicare al prezentului regulament.
Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).
În ceea ce priveşte prelucrarea datelor cu caracter personal de către aceste autorităţi competente în scopuri care intră în domeniul de aplicare al prezentului regulament, statele membre ar trebui să poată menţine sau introduce dispoziţii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziţii pot stabili mai precis cerinţe specifice pentru prelucrarea datelor cu caracter personal de către respectivele autorităţi competente în aceste alte scopuri, ţinând seama de structura constituţională, organizatorică şi administrativă a statului membru în cauză. Atunci când prelucrarea de date cu caracter personal de către organisme private face obiectul prezentului regulament, prezentul regulament ar trebui să prevadă posibilitatea ca statele membre, în anumite condiţii, să impună prin lege restricţii asupra anumitor obligaţii şi drepturi, în cazul în care asemenea restricţii constituie o măsură necesară şi proporţională într-o societate democratică în scopul garantării unor interese specifice importante, printre care se numără siguranţa publică şi prevenirea, investigarea, depistarea şi urmărirea penală a infracţiunilor sau executarea pedepselor, inclusiv protejarea împotriva ameninţărilor la adresa siguranţei publice şi prevenirea acestora. Acest lucru este relevant, de exemplu, în cadrul combaterii spălării de bani sau al activităţilor laboratoarelor criminalistice.
(20) Deşi prezentul regulament se aplică, inter alia, activităţilor instanţelor şi ale altor autorităţi judiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operaţiunile şi procedurile de prelucrare în ceea ce priveşte prelucrarea datelor cu caracter personal de către instanţe şi alte autorităţi judiciare. Prelucrarea datelor cu caracter personal nu ar trebui să fie de competenţa autorităţilor de supraveghere în cazul în care instanţele îşi exercită atribuţiile judiciare, în scopul garantării independenţei sistemului judiciar în îndeplinirea sarcinilor sale judiciare, inclusiv în luarea deciziilor. Supravegherea unor astfel de operaţiuni de prelucrare a datelor ar trebui să poată fi încredinţată unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui să asigure în special respectarea normelor prevăzute de prezentul regulament, să sensibilizeze membrii sistemului judiciar cu privire la obligaţiile care le revin în temeiul prezentului regulament şi să trateze plângerile în legătură cu astfel de operaţiuni de prelucrare a datelor.
(21) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE a Parlamentului European şi a Consiliului (2), în special normelor privind răspunderea furnizorilor intermediari de servicii prevăzute la articolele 12-15 din directiva menţionată. Respectiva directivă îşi propune să contribuie la buna funcţionare a pieţei interne, prin asigurarea liberei circulaţii a serviciilor societăţii informaţionale între statele membre. (2)Directiva 2000/31/CE a Parlamentului European şi a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societăţii informaţionale, în special ale comerţului electronic, pe piaţa internă (directiva privind comerţul electronic) (JO L 178, 17.7.2000, p. 1).
(22) Orice prelucrare a datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Forma juridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privinţă.
(23) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenţie, factori precum utilizarea unei limbi sau a unei monede utilizate în general în unul sau mai multe state membre cu posibilitatea de a comanda bunuri şi servicii în respectiva limbă sau menţionarea unor clienţi sau utilizatori care se află pe teritoriul Uniunii pot conduce la concluzia că operatorul intenţionează să ofere bunuri sau servicii unor persoane vizate în Uniune.
(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca “monitorizare a comportamentului” persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şi atitudinile acesteia.
(25) În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.
(26) Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, ar trebui considerate informaţii referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luaţi în considerare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru identificare, ţinându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât şi de
dezvoltarea tehnologică. Principiile protecţiei datelor ar trebui, prin urmare, să nu se aplice informaţiilor anonime, adică informaţiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informaţii anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.
(27) Prezentul regulament nu se aplică datelor cu caracter personal referitoare la persoane decedate. Statele membre pot să prevadă norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.
(28) Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate şi poate ajuta operatorii şi persoanele împuternicite de aceştia să îşi îndeplinească obligaţiile de protecţie a datelor. Introducerea explicită a conceptului de “pseudonimizare” în prezentul regulament nu este destinată să împiedice alte eventuale măsuri de protecţie a datelor.
(29) Pentru a crea stimulente pentru aplicarea pseudonimizării atunci când sunt prelucrate date cu caracter personal, ar trebui să fie posibile măsuri de pseudonimizare, permiţând în acelaşi timp analiza generală, în cadrul aceluiaşi operator atunci când operatorul a luat măsurile tehnice şi organizatorice necesare pentru a se asigura că prezentul regulament este pus în aplicare în ceea ce priveşte respectiva prelucrare a datelor şi că informaţiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt păstrate separat. Operatorul care prelucrează datele cu caracter personal ar trebui să indice persoanele autorizate din cadrul aceluiaşi operator.
(30) Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori precum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea lor.
(31) Autorităţile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligaţie legală în vederea exercitării funcţiei lor oficiale, cum ar fi autorităţile fiscale şi vamale, unităţile de investigare financiară, autorităţile administrative independente sau autorităţile pieţelor financiare responsabile de reglementarea şi supravegherea pieţelor titlurilor de valoare, nu ar trebui să fie considerate destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autorităţile publice ar trebui să fie întotdeauna prezentate în scris, motivate şi ocazionale şi nu ar trebui să se refere la un sistem de evidenţă în totalitate sau să conducă la interconectarea sistemelor de evidenţă. Prelucrarea datelor cu caracter personal de către autorităţile publice respective ar trebui să respecte normele aplicabile în materie de protecţie a datelor în conformitate cu scopurile prelucrării.
(32) Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuţe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ. Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimţământul.
(33) Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pe deplin scopul prelucrării datelor în scopuri de cercetare ştiinţifică. Din acest motiv, persoanelor vizate ar trebui să li se permită să îşi exprime consimţământul pentru
anumite domenii ale cercetării ştiinţifice atunci când sunt respectate standardele etice recunoscute pentru cercetarea ştiinţifică. Persoanele vizate ar trebui să aibă posibilitatea de a-şi exprima consimţământul doar pentru anumite domenii de cercetare sau părţi ale proiectelor de cercetare în măsura permisă de scopul preconizat.
(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care rezultă în urma unei analize a unei mostre de material biologic al persoanei fizice în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obţinerea unor informaţii echivalente.
(35) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informaţii despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menţionate în Directiva 2011/24/UE a Parlamentului European şi a Consiliului (1); un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).
(36) Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află administraţia centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului în Uniune. În acest caz, acesta din urmă ar trebui considerat drept sediul principal. Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii obiective şi ar trebui să implice exercitarea efectivă şi reală a unor activităţi de gestionare care să determine principalele decizii cu privire la scopurile şi mijloacele de prelucrare în cadrul unor înţelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea prelucrării datelor cu caracter personal în locul respectiv. Prezenţa şi utilizarea mijloacelor tehnice şi a tehnologiilor de prelucrare a datelor cu caracter personal sau activităţile de prelucrare nu constituie un sediu principal şi, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal al persoanei împuternicite de operator ar trebui să fie locul în care se află administraţia centrală a acestuia în Uniune sau, în cazul în care nu are o administraţie centrală în Uniune, locul în care se desfăşoară principalele activităţi de prelucrare în Uniune. În cazurile care implică atât operatorul, cât şi persoana împuternicită de operator, autoritatea de supraveghere principală competentă ar trebui să rămână autoritatea de supraveghere a statului membru în care operatorul îşi are sediul principal, dar autoritatea de supraveghere a persoanei împuternicite de operator ar trebui considerată ca fiind o autoritate de supraveghere vizată şi acea autoritate de supraveghere ar trebui să participe la procedura de cooperare prevăzută de prezentul regulament. În orice caz, autorităţile de supraveghere ale statului membru sau ale statelor membre în care persoana împuternicită de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autorităţi de supraveghere vizate în cazul în care proiectul de decizie nu se referă decât la operator. În cazul în care prelucrarea este efectuată de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul principal al grupului de întreprinderi, cu excepţia cazului în care scopurile şi mijloacele aferente prelucrării sunt stabilite de o altă întreprindere.
(37) Un grup de întreprinderi ar trebui să cuprindă o întreprindere care exercită controlul şi întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui să fie întreprinderea care poate exercita o influenţă dominantă asupra celorlalte întreprinderi, de exemplu în temeiul proprietăţii, al participării financiare sau al regulilor care o reglementează sau al competenţei de a pune în aplicare norme în materie de protecţie a
datelor cu caracter personal. O întreprindere care controlează prelucrarea datelor cu caracter personal în întreprinderile sale afiliate ar trebui considerată, împreună cu acestea din urmă, drept “grup de întreprinderi”.
(38) Copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal. Această protecţie specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimţământul titularului răspunderii părinteşti nu ar trebui să fie necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.
(39) Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. Ar trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc şi în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ştergere sau revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.
(40) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimţământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede în prezentul regulament, inclusiv necesitatea respectării obligaţiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la solicitarea persoanei vizate.
(41) Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerinţelor care decurg din ordinea constituţională a statului membru în cauză. Cu toate acestea, un astfel de temei juridic sau o astfel de măsură legislativă ar trebui să fie clară şi precisă, iar aplicarea acesteia ar trebui să fie previzibilă pentru persoanele vizate de aceasta, în conformitate cu jurisprudenţa Curţii de Justiţie a Uniunii Europene (“Curtea de Justiţie”) şi a Curţii Europene a Drepturilor Omului.
(42) În cazul în care prelucrarea se bazează pe consimţământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată şi-a dat consimţământul pentru operaţiunea de prelucrare. În special, în contextul unei declaraţii scrise cu privire la un alt aspect, garanţiile ar trebui să asigure că persoana vizată este conştientă de faptul că şi-a dat consimţământul şi în ce măsură a făcut acest lucru. În conformitate cu Directiva
93/13/CEE a Consiliului, ar trebui furnizată o declaraţie de consimţământ formulată în prealabil de către operator, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, iar această declaraţie nu ar trebui să conţină clauze abuzive. Pentru ca acordarea consimţământului să fie în cunoştinţă de cauză, persoana vizată ar trebui să fie la curent cel puţin cu identitatea operatorului şi cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal. Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.
Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(43) Pentru a garanta faptul că a fost acordat în mod liber, consimţământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată şi operator, în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimţământului în mod liber în toate circumstanţele aferente respectivei situaţii particulare. Consimţământul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu permite să se acorde consimţământul separat pentru diferitele operaţiuni de prelucrare a datelor cu caracter personal, deşi acest lucru este adecvat în cazul particular, sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este condiţionată de consimţământ, în ciuda faptului că consimţământul în cauză nu este necesar pentru executarea contractului.
(44) Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract.
(45) În cazul în care prelucrarea este efectuată în conformitate cu o obligaţie legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autorităţii publice, prelucrarea ar trebui să aibă un temei în dreptul Uniunii sau în dreptul intern. Prezentul regulament nu impune existenţa unei legi specifice pentru fiecare prelucrare în parte. Poate fi suficientă o singură lege drept temei pentru mai multe operaţiuni de prelucrare efectuate în conformitate cu o obligaţie legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte din exercitarea autorităţii publice. De asemenea, ar trebui ca scopul prelucrării să fie stabilit în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea să specifice condiţiile generale ale prezentului regulament care reglementează legalitatea prelucrării datelor cu caracter personal, să determine specificaţiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrării, a persoanelor vizate, a entităţilor cărora le pot fi divulgate datele cu caracter personal, a limitărilor în funcţie de scop, a perioadei de stocare şi a altor măsuri pentru a garanta o prelucrare legală şi echitabilă. De asemenea, ar trebui să se stabilească în dreptul Uniunii sau în dreptul intern dacă operatorul care îndeplineşte o sarcină care serveşte unui interes public sau care face parte din exercitarea autorităţii publice ar trebui să fie o autoritate publică sau o altă persoană fizică sau juridică guvernată de dreptul public sau, atunci când motive de interes public justifică acest lucru, inclusiv în scopuri medicale, precum sănătatea publică şi protecţia socială, precum şi gestionarea serviciilor de asistenţă medicală, de dreptul privat, cum ar fi o asociaţie profesională.
(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecţiei unui interes care este esenţial pentru viaţa persoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât şi intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii şi a răspândirii acesteia sau în situaţii de urgenţe umanitare, în special în situaţii de dezastre naturale sau provocate de om.
(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter personal sau ale unei terţe părţi, pot constitui un temei juridic
pentru prelucrare, cu condiţia să nu prevaleze interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, luând în considerare aşteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci când există o relaţie relevantă şi adecvată între persoana vizată şi operator, cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existenţa unui interes legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul şi în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop. Interesele şi drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanţe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autorităţile publice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autorităţile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfăşurată pentru un interes legitim.
(48) Operatorii care fac parte dintr-un grup de întreprinderi sau instituţii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienţilor sau angajaţilor. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere situată într-o ţară terţă rămân neschimbate.
(49) Prelucrarea datelor cu caracter personal în măsura strict necesară şi proporţională în scopul asigurării securităţii reţelelor şi a informaţiilor, şi anume capacitatea unei reţele sau a unui sistem de informaţii de a face faţă, la un anumit nivel de încredere, evenimentelor accidentale sau acţiunilor ilegale sau rău intenţionate care compromit disponibilitatea, autenticitatea, integritatea şi confidenţialitatea datelor cu caracter personal stocate sau transmise, precum şi securitatea serviciilor conexe oferite de aceste reţele şi sisteme, sau accesibile prin intermediul acestora, de către autorităţile publice, echipele de intervenţie în caz de urgenţă informatică, echipele de intervenţie în cazul producerii unor incidente care afectează securitatea informatică, furnizorii de reţele şi servicii de comunicaţii electronice, precum şi de către furnizorii de servicii şi tehnologii de securitate, constituie un interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la reţelele de comunicaţii electronice şi a difuzării de coduri dăunătoare şi oprirea atacurilor de “blocare a serviciului”, precum şi prevenirea daunelor aduse calculatoarelor şi sistemelor de comunicaţii electronice.
(50) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost iniţial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal au fost iniţial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul, dreptul Uniunii sau dreptul intern poate stabili şi specifica sarcinile şi scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă şi legală. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând operaţiuni de prelucrare legale compatibile. Temeiul juridic prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate iniţial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerinţele privind legalitatea prelucrării iniţiale, ar trebui să ţină seama, printre altele, de orice legătură între respectivele scopuri şi scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de aşteptările rezonabile ale persoanelor vizate, bazate pe relaţia lor cu operatorul, în ceea ce priveşte utilizarea ulterioară a datelor,de natura datelor cu caracter personal, de consecinţele prelucrării ulterioare preconizate asupra persoanelor vizate, precum şi de existenţa garanţiilor corespunzătoare atât în cadrul operaţiunilor de prelucrare iniţiale, cât şi în cadrul operaţiunilor de prelucrare ulterioare preconizate.
În cazul în care persoana vizată şi-a dat consimţământul sau prelucrarea se bazează pe dreptul Uniunii sau pe dreptul intern, care constituie o măsură necesară şi proporţională într-o societate democratică pentru a proteja, în special, obiective importante de interes public general, operatorul ar trebui să aibă posibilitatea de a prelucra în continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. În orice caz, aplicarea principiilor stabilite de prezentul regulament şi, în special, informarea persoanei vizate cu privire la aceste alte scopuri şi la drepturile sale, inclusiv dreptul la opoziţie, ar trebui să fie garantate. Indicarea unor posibile infracţiuni sau ameninţări la adresa siguranţei publice de către operator şi transmiterea către o autoritate competentă a datelor cu caracter personal relevante în cazuri individuale sau în mai multe cazuri legate de aceeaşi infracţiune sau de aceleaşi ameninţări la adresa siguranţei publice ar trebui considerată ca fiind în interesul legitim urmărit de operator. Cu toate acestea, o astfel de transmitere în interesul legitim al operatorului sau prelucrarea ulterioară a datelor cu caracter personal ar trebui interzisă în cazul în care prelucrarea nu este compatibilă cu o obligaţie legală, profesională sau cu o altă obligaţie de păstrare a confidenţialităţii.
(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce priveşte drepturile şi libertăţile fundamentale necesită o protecţie specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor şi libertăţilor fundamentale. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului “origine rasială” în prezentul regulament neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească existenţa unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidenţa definiţiei datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepţia cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ţinând seama de faptul că dreptul statelor membre poate prevedea dispoziţii specifice cu privire la protecţia datelor în scopul adaptării aplicării normelor din prezentul regulament în vederea respectării unei obligaţii legale sau a îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul. Pe lângă cerinţele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile generale şi alte norme prevăzute de prezentul regulament, în special în ceea ce priveşte condiţiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicţia generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată îşi dă consimţământul explicit sau în ceea ce priveşte nevoile specifice în special atunci când prelucrarea este efectuată în cadrul unor activităţi legitime de către anumite asociaţii sau fundaţii al căror scop este de a permite exercitarea libertăţilor fundamentale.
(52) Derogarea de la interdicţia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acest lucru şi ar trebui să facă obiectul unor garanţii adecvate, astfel încât să fie protejate datele cu caracter personal şi alte drepturi fundamentale, atunci când acest lucru se justifică din motive de interes public, în special în cazul prelucrării datelor cu caracter personal în domeniul legislaţiei privind ocuparea forţei de muncă, protecţia socială, inclusiv pensiile, precum şi în scopuri de securitate, supraveghere şi alertă în materie de sănătate, pentru prevenirea sau controlul bolilor transmisibile şi a altor ameninţări grave la adresa sănătăţii. Această derogare poate fi acordată în scopuri medicale, inclusiv sănătatea publică şi gestionarea serviciilor de asistenţă medicală, în special în vederea asigurării calităţii şi eficienţei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluţionarea cererilor de prestaţii şi servicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisă, printr-
o derogare, atunci când este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiţie, indiferent dacă are loc în cadrul unei proceduri în faţa unei instanţe sau în cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.
(53) Categoriile speciale de date cu caracter personal care necesită un nivel mai ridicat de protecţie ar trebui prelucrate doar în scopuri legate de sănătate atunci când este necesar pentru realizarea acestor scopuri în beneficiul persoanelor fizice şi al societăţii în general, în special în contextul gestionării serviciilor şi sistemelor de sănătate sau de asistenţă socială, inclusiv prelucrarea acestor date de către autorităţile de management şi de către autorităţile centrale naţionale din domeniul sănătăţii în scopul controlului calităţii, furnizării de informaţii de gestiune şi al supravegherii generale a sistemului de sănătate sau de asistenţă socială la nivel naţional şi local, precum şi în contextul asigurării continuităţii asistenţei medicale sau sociale şi a asistenţei medicale transfrontaliere ori în scopuri de securitate, supraveghere şi alertă în materie de sănătate ori în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice în temeiul dreptului Uniunii sau al dreptului intern, care trebuie să urmărească un obiectiv de interes public, precum şi în cazul studiilor realizate în interes public în domeniul sănătăţii publice. Prin urmare, prezentul regulament ar trebui să prevadă condiţii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea ce priveşte nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligaţii legale de a păstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui să prevadă măsuri specifice şi adecvate pentru a proteja drepturile fundamentale şi datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui să aibă posibilitatea de a menţine sau de a introduce condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sănătatea. Totuşi, acest lucru nu ar trebui să împiedice libera circulaţie a datelor cu caracter personal în cadrul Uniunii atunci când aceste condiţii se aplică prelucrării transfrontaliere a unor astfel de date.
(54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din motive de interes public în domeniile sănătăţii publice, fără consimţământul persoanei vizate. O astfel de prelucrare ar trebui condiţionată de măsuri adecvate şi specifice destinate să protejeze drepturile şi libertăţile persoanelor fizice. În acest context, conceptul de “sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului (1), şi anume toate elementele referitoare la sănătate şi anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanţi care au efect asupra stării de sănătate, necesităţile în domeniul asistenţei medicale, resursele alocate asistenţei medicale, furnizarea asistenţei medicale şi asigurarea accesului universal la aceasta, precum şi cheltuielile şi sursele de finanţare în domeniul sănătăţii şi cauzele mortalităţii. Această prelucrare a datelor privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri de către părţi terţe, cum ar fi angajatorii sau societăţile de asigurări şi băncile.
(1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă (JO L 354, 31.12.2008, p. 70).
(55) În plus, prelucrarea datelor cu caracter personal de către autorităţile publice în vederea realizării obiectivelor prevăzute de dreptul constituţional sau de dreptul internaţional public, ale asociaţiilor religioase recunoscute oficial se efectuează din motive de interes public.
(56) În cazul în care, în cadrul activităţilor electorale, funcţionarea sistemului democratic necesită, într-un stat membru, ca partidele politice să colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisă din motive de interes public, cu condiţia să se prevadă garanţiile corespunzătoare.
(57) Dacă datele cu caracter personal prelucrate de un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligaţia de a obţine informaţii suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziţiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui să refuze să preia informaţiile suplimentare furnizate de persoana vizată cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui să includă identificarea digitală a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleaşi acreditări
utilizate de către persoana vizată pentru a accesa serviciile online oferite de operatorul de date.
(58) Principiul transparenţei prevede că orice informaţii care se adresează publicului sau persoanei vizate să fie concise, uşor accesibile şi uşor de înţeles şi să se utilizeze un limbaj simplu şi clar, precum şi vizualizare acolo unde este cazul. Aceste informaţii ar putea fi furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin intermediul unui site. Acest lucru este important în special în situaţii în care datorită multitudinii actorilor şi a complexităţii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizată să ştie şi să înţeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine şi în ce scop, cum este cazul publicităţii online. Întrucât copii necesită o protecţie specifică, orice informaţii şi orice comunicare, în cazul în care prelucrarea vizează un copil, ar trebui să fie exprimate într-un limbaj simplu şi clar, astfel încât copilul să îl poată înţelege cu uşurinţă.
(59) Ar trebui să fie prevăzute modalităţi de facilitare a exercitării de către persoana vizată a drepturilor care îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita şi, dacă este cazul, obţine, în mod gratuit, în special, acces la datele cu caracter personal, precum şi rectificarea sau ştergerea acestora, şi exercitarea dreptului la opoziţie. Operatorul ar trebui să ofere, de asemenea, modalităţi de introducere a cererilor pe cale electronică, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui să aibă obligaţia de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună şi, în cazul în care nu intenţionează să se conformeze respectivele cereri, să motiveze acest refuz.
(60) Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă, ţinând seama de circumstanţele specifice şi de contextul în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligaţia de a furniza datele cu caracter personal şi care sunt consecinţele în cazul unui refuz. Aceste informaţii pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea ar trebui să poată fi citite automat.
(61) Informaţiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în cazul în care datele cu caracter personal sunt obţinute din altă sursă, într-o perioadă rezonabilă, în funcţie de circumstanţele cazului. În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului. În cazul în care operatorul intenţionează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi alte informaţii necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate din cauză că au fost utilizate surse diverse, informaţiile generale ar trebui furnizate.
(62) Cu toate acestea, nu este necesară impunerea obligaţiei de a furniza informaţii în cazul în care persoana vizată deţine deja informaţiile, în cazul în care înregistrarea sau divulgarea datelor cu caracter personal este prevăzută în mod expres de lege sau în cazul în care informarea persoanei vizate se dovedeşte imposibilă sau ar implica eforturi disproporţionate. Acesta din urmă ar putea fi cazul în special atunci când prelucrarea se efectuează în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice. În această privinţă, ar trebui luate în considerare numărul persoanelor vizate, vechimea datelor şi orice garanţii adecvate adoptate.
(63) O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sănătatea, de exemplu datele din registrele lor medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări. Dacă acest lucru este posibil, operatorul de date ar trebui să poată furniza acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software. Cu toate acestea, consideraţiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informaţiile persoanei vizate. Atunci când operatorul prelucrează un volum mare de informaţii privind persoana vizată, operatorul ar trebui să poată solicita ca, înainte de a îi fi furnizate informaţiile, persoana vizată să precizeze informaţiile sau activităţile de prelucrare la care se referă cererea sa.
(64) Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei persoane vizate care solicită acces la date, în special în contextul serviciilor online şi al identificatorilor online. Un operator nu ar trebui să reţină datele cu caracter personal în scopul exclusiv de a fi în măsură să reacţioneze la cereri potenţiale.
(65) O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc şi “dreptul de a fi uitată”, în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră operatorul. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie şterse şi să nu mai fie prelucrate, în cazul în care datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate şi-au retras consimţământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată şi-a dat consimţământul când era copil şi nu cunoştea pe deplin riscurile pe care le implică prelucrarea, iar ulterior doreşte să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-şi exercita acest drept în pofida faptului că nu mai este copil. Cu toate acestea, păstrarea în continuare a datelor cu caracter personal ar trebui să fie legală în cazul în care este necesară pentru exercitarea dreptului la libertatea de exprimare şi de informare, pentru respectarea unei obligaţii legale, pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul, din motive de interes public în domeniul sănătăţii publice, în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
(66) Pentru a se consolida “dreptul de a fi uitat” în mediul online, dreptul de ştergere ar trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligaţia de a informa operatorii care prelucrează respectivele date cu caracter personal să şteargă orice linkuri către datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ţinând seama de tehnologia disponibilă şi de mijloacele aflate la dispoziţia lui, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal în ceea ce priveşte cererea persoanei vizate.
(67) Metodele de restricţionare a prelucrării de date cu caracter personal ar putea include, printre altele, mutarea temporară a datelor cu caracter personal selectate într-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau înlăturarea temporară a datelor publicate de pe un site. În ceea ce priveşte sistemele automatizate de evidenţă a datelor, restricţionarea prelucrării ar trebui, în principiu, asigurată prin mijloace tehnice în aşa fel încât datele cu caracter personal să nu facă obiectul unor operaţiuni de prelucrare ulterioară şi să nu mai poată fi schimbate. Faptul că prelucrarea datelor cu caracter personal este restricţionată ar trebui indicat în mod clar în sistem.
(68) Pentru a spori suplimentar controlul asupra propriilor date, persoana vizată ar trebui, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace automate, să poată primi datele cu caracter personal care o privesc şi pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod curent, prelucrabil automat şi interoperabil şi să le poată transmite unui alt operator. Operatorii de date ar trebui să fie încurajaţi să dezvolte formate interoperabile care să permită portabilitatea datelor. Acest drept ar trebui să se aplice în cazul în care persoana vizată a furnizat datele cu caracter personal pe baza propriului consimţământ sau în cazul în care prelucrarea datelor este necesară pentru executarea unui contract. Acest drept nu ar trebui să se aplice în cazul în care prelucrarea se bazează pe un alt temei juridic decât consimţământul sau contractul. Prin însăşi natura sa, acest drept nu ar trebui exercitat împotriva operatorilor care prelucrează date cu caracter personal în cadrul exercitării funcţiilor lor publice. Acesta nu ar trebui să se aplice în special în cazul în care prelucrarea de date cu caracter personal este necesară în vederea respectării unei obligaţii legale căreia îi este supus operatorul sau în cazul îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea unei autorităţi publice cu care este învestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui să creeze pentru operatori obligaţia de a adopta sau de a menţine sisteme de prelucrare care să fie compatibile din punct de vedere tehnic. În cazul în care, într-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui să aducă atingere drepturilor şi libertăţilor altor persoane vizate, în conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui să aducă atingere dreptului persoanei vizate de a obţine ştergerea datelor cu caracter personal şi limitărilor dreptului respectiv, astfel cum sunt prevăzute în prezentul regulament, şi nu ar trebui, în special, să implice ştergerea acelor date cu caracter personal referitoare la persoana vizată care au fost furnizate de către aceasta în vederea executării unui contract, în măsura în care şi atât timp cât datele respective sunt necesare pentru executarea contractului. Persoana vizată ar trebui să aibă dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dacă acest lucru este fezabil din punct de vedere tehnic.
(69) În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal deoarece prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei părţi terţe, o persoană vizată ar trebui să aibă totuşi dreptul de a se opune prelucrării oricăror date cu caracter personal care se referă la situaţia sa particulară. Ar trebui să revină operatorului sarcina de a demonstra că interesele sale legitime şi imperioase prevalează asupra intereselor sau a drepturilor şi libertăţilor fundamentale ale persoanei vizate.
(70) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă dreptul de a se opune unei astfel de prelucrări, inclusiv creării de profiluri în măsura în care aceasta are legătură cu marketingul direct, indiferent dacă prelucrarea în cauză este cea iniţială sau una ulterioară, în orice moment şi în mod gratuit. Acest drept ar trebui adus în mod explicit în atenţia persoanei vizate şi prezentat în mod clar şi separat de orice alte informaţii.
(71) Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se bazează exclusiv pe prelucrarea automată şi care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără intervenţie umană. O astfel de prelucrare include “crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul intern care se aplică operatorului, inclusiv în scopul monitorizării şi prevenirii fraudei şi a evaziunii fiscale, desfăşurate în conformitate cu reglementările, standardele şi recomandările instituţiilor Uniunii sau ale organismelor naţionale de supraveghere, şi în scopul asigurării securităţii şi fiabilităţii unui serviciu oferit de operator sau în cazul în care este necesară pentru încheierea sau executarea unui contract între persoana vizată şi un operator sau în cazul în care persoana vizată şi-a dat în mod explicit consimţământul. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanţii corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate şi dreptul acesteia de a obţine intervenţie umană, de a- şi exprima punctul de vedere, de a primi o explicaţie privind decizia luată în urma unei astfel de evaluări, precum şi dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la un copil.
Pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată, având în vedere circumstanţele specifice şi contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice şi organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactităţi ale datelor cu caracter personal sunt corectaţi şi că riscul de erori este redus la minimum, precum şi să securizeze datele cu caracter personal într-un mod care să ţină seama de pericolele potenţiale la adresa intereselor şi drepturilor persoanei vizate şi care să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenenţă sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat şi crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiţii specifice.
(72) Crearea de profiluri este supusă normelor prezentului regulament care reglementează prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrării sau principiile de protecţie a datelor. Comitetul european pentru protecţia datelor instituit prin prezentul regulament (“comitetul”) ar trebui să poată emite orientări în acest context.
(73) Dreptul Uniunii sau dreptul intern poate impune restricţii în privinţa unor principii specifice, în privinţa dreptului de informare, a dreptului de acces la datele cu caracter personal şi de rectificare sau ştergere a acestora, în privinţa dreptului la portabilitatea datelor, a dreptului la opoziţie, a deciziilor bazate pe crearea de profiluri, precum şi în privinţa comunicării unei încălcări a securităţii datelor cu caracter personal persoanei vizate şi a anumitor obligaţii conexe ale operatorilor, în măsura în care acest lucru este necesar şi proporţional într-o societate democratică pentru a se garanta siguranţa publică, inclusiv protecţia vieţii oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, prevenirea, investigarea şi urmărirea penală a infracţiunilor sau executarea pedepselor, inclusiv protejarea împotriva ameninţărilor la adresa siguranţei publice sau împotriva încălcării eticii în cazul profesiilor reglementate şi prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, menţinerea de registre publice din motive de interes public general, prelucrarea ulterioară a datelor cu caracter personal arhivate pentru a transmite informaţii specifice legate de comportamentul politic în perioada regimurilor fostelor state totalitare, protecţia persoanei vizate sau a drepturilor şi libertăţilor unor terţi, inclusiv protecţia socială, sănătatea publică şi scopurile umanitare. Aceste restricţii ar trebui să fie conforme cu cerinţele prevăzute de cartă şi de Convenţia europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale.
(74) Ar trebui să se stabilească responsabilitatea şi răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate şi eficace şi să fie în măsură să demonstreze conformitatea activităţilor de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să ţină seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscul pentru drepturile şi libertăţile persoanelor fizice.
(75) Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenenţa sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viaţa sexuală sau privind condamnările penale şi infracţiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.
(76) Probabilitatea de a se materializa şi gravitatea riscului pentru drepturile şi libertăţile persoanei vizate ar trebui să fie determinate în funcţie de natura, domeniul de aplicare, contextul şi scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective prin care se stabileşte dacă operaţiunile de prelucrare a datelor prezintă un risc sau un risc ridicat.
(77) Orientări pentru implementarea unor măsuri adecvate şi pentru demonstrarea conformităţii de către operator sau persoana împuternicită de operator, mai ales în ceea ce priveşte identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilităţii de a se materializa şi al gravităţii, precum şi identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite în special prin coduri de conduită aprobate, certificări aprobate, orientări ale comitetului sau prin indicaţii furnizate de un responsabil cu protecţia datelor. Comitetul poate, de asemenea, să emită orientări cu privire la operaţiunile de prelucrare care sunt considerate puţin susceptibile de a genera un risc ridicat pentru drepturile şi libertăţile persoanelor fizice şi să indice măsurile care se pot dovedi suficiente în asemenea cazuri pentru a aborda un astfel de risc.
(78) Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul, producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor publice.
(79) Protecţia drepturilor şi libertăţilor persoanelor vizate, precum şi responsabilitatea şi răspunderea operatorilor şi a persoanelor împuternicite de operator, inclusiv în ceea ce priveşte monitorizarea de către autorităţile de supraveghere şi măsurile adoptate de acestea, necesită o atribuire clară a responsabilităţilor în temeiul prezentului regulament, inclusiv în
cazul în care un operator stabileşte scopurile şi mijloacele prelucrării împreună cu alţi operatori sau în cazul în care o operaţiune de prelucrare este efectuată în numele unui operator.
(80) Atunci când un operator sau o persoană împuternicită de operator care nu este stabilită în Uniune prelucrează date cu caracter personal ale unor persoane vizate care se află pe teritoriul Uniunii, iar activităţile sale de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată, sau cu monitorizarea comportamentului unor persoane vizate dacă acesta se manifestă în cadrul Uniunii, operatorul sau persoana împuternicită de operator ar trebui să desemneze un reprezentant, cu excepţia cazului în care prelucrarea are caracter ocazional, nu include prelucrarea pe scară largă a unor categorii speciale de date cu caracter personal şi nici prelucrarea de date referitoare la condamnări penale şi la infracţiuni, şi este puţin susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice, având în vedere natura, contextul, domeniul de aplicare şi scopurile prelucrării, precum şi a cazului în care operatorul este o autoritate publică sau un organism public. Reprezentantul ar trebui să acţioneze în numele operatorului sau al persoanei împuternicite de operator, putând fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat în mod explicit, printr-un mandat scris al operatorului sau al persoanei împuternicite de operator, să acţioneze în numele acestuia (acesteia) în ceea ce priveşte obligaţiile lor în temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere responsabilităţii sau răspunderii operatorului sau a persoanei împuternicite de operator în temeiul prezentului regulament. Un astfel de reprezentant ar trebui să îşi îndeplinească sarcinile în conformitate cu mandatul primit de la operator sau de la persoana împuternicită de operator, inclusiv să coopereze cu autorităţile de supraveghere competente în ceea ce priveşte orice acţiune întreprinsă pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui să fie supus unor proceduri de asigurare a respectării legii în cazul nerespectării prezentului regulament de către operator sau de către persoana împuternicită de operator.
(81) Pentru a asigura respectarea cerinţelor impuse de prezentul regulament în ceea ce priveşte prelucrarea care trebuie efectuată în numele operatorului de către persoana împuternicită de operator, atunci când atribuie activităţi de prelucrare unei persoane împuternicite de operator, acesta din urmă ar trebui să utilizeze numai persoane împuternicite care oferă garanţii suficiente, în special în ceea ce priveşte cunoştinţele de specialitate, fiabilitatea şi resursele, pentru a implementa măsuri tehnice şi organizatorice care îndeplinesc cerinţele impuse de prezentul regulament, inclusiv pentru securitatea prelucrării. Aderarea de către persoana împuternicită de operator la un cod de conduită aprobat sau la un mecanism de certificare aprobat poate fi utilizată drept element care să demonstreze respectarea obligaţiilor de către operator. Efectuarea prelucrării de către o persoană împuternicită de un operator ar trebui să fie reglementată printr-un contract sau un alt tip de act juridic, în temeiul dreptului Uniunii sau al dreptului intern, care creează obligaţii pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopurile prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate, şi ar trebui să ţină seama de sarcinile şi responsabilităţile specifice ale persoanei împuternicite de operator în contextul prelucrării care trebuie efectuată, precum şi de riscul pentru drepturile şi libertăţile persoanei vizate. Operatorul şi persoana împuternicită de operator pot alege să utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere în conformitate cu mecanismul de asigurare a coerenţei şi apoi adoptate de Comisie. După finalizarea prelucrării în numele operatorului, persoana împuternicită de operator ar trebui să returneze sau să şteargă, în funcţie de opţiunea operatorului, datele cu caracter personal, cu excepţia cazului în care există o cerinţă de stocare a datelor cu caracter personal în temeiul dreptului Uniunii sau al dreptului intern care instituie obligaţii pentru persoana împuternicită de operator. (82) În vederea demonstrării conformităţii cu prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea sa. Fiecare operator şi fiecare persoană împuternicită de operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective.
(83) În vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării şi să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidenţialitatea, luând în considerare stadiul actual al dezvoltării şi costurile implementării în raport cu riscurile şi cu natura datelor cu caracter personal a căror protecţie trebuie asigurată. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui să se acorde atenţie riscurilor pe care le prezintă prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.
(84) Pentru a favoriza respectarea dispoziţiilor prezentului regulament în cazurile în care operaţiunile de prelucrare sunt susceptibile să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, operatorul ar trebui să fie responsabil de efectuarea unei evaluări a impactului asupra protecţiei datelor, care să estimeze, în special, originea, natura, specificitatea şi gravitatea acestui risc. Rezultatul evaluării ar trebui luat în considerare la stabilirea măsurilor adecvate care trebuie luate pentru a demonstra că prelucrarea datelor cu caracter personal respectă prezentul regulament. În cazul în care o evaluare a impactului asupra protecţiei datelor arată că operaţiunile de prelucrare implică un risc ridicat, pe care operatorul nu îl poate atenua prin măsuri adecvate sub aspectul tehnologiei disponibile şi al costurilor implementării, ar trebui să aibă loc o consultare a autorităţii de supraveghere înainte de prelucrare.
(85) Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. Prin urmare, de îndată ce a luat cunoştinţă de producerea unei încălcări a securităţii datelor cu caracter personal, operatorul ar trebui să notifice această încălcare autorităţii de supraveghere, fără întârziere nejustificată şi, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoştinţă de existenţa acesteia, cu excepţia cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilităţii, că încălcarea securităţii datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta ar trebui să cuprindă motivele întârzierii, iar informaţiile pot fi furnizate treptat, fără altă întârziere.
(86) Operatorul ar trebui să comunice persoanei vizate o încălcare a securităţii datelor cu caracter personal, fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanei fizice, pentru a-i permite să ia măsurile de precauţie necesare. Comunicarea ar trebui să descrie natura încălcării securităţii datelor cu caracter personal şi să cuprindă recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Comunicările către persoanele vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil şi în strânsă cooperare cu autoritatea de supraveghere, respectându-se orientările furnizate de aceasta sau de alte autorităţi competente, cum ar fi autorităţile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine către persoanele vizate, în timp ce necesitatea de a implementa măsuri corespunzătoare împotriva încălcării în continuare a securităţii datelor cu caracter personal sau împotriva unor încălcări similare ale securităţii datelor cu caracter personal ar putea justifica un termen mai îndelungat pentru comunicare.
(87) Ar trebui să se stabilească dacă au fost implementate toate măsurile tehnologice de protecţie şi organizatorice corespunzătoare în scopul de a se stabili imediat dacă s-a produs o încălcare a securităţii datelor cu caracter personal şi de a se informa cu promptitudine autoritatea de supraveghere şi persoana vizată. Faptul că notificarea a fost efectuată fără întârziere nejustificată ar trebui stabilit luându-se în considerare, în special, natura şi gravitatea încălcării securităţii datelor cu caracter personal, precum şi consecinţele şi efectele negative ale acesteia asupra persoanei vizate. Această notificare poate conduce la o intervenţie a autorităţii de supraveghere, în conformitate cu sarcinile şi competenţele specificate în prezentul regulament.
(88) La stabilirea de norme detaliate privind formatul şi procedurile aplicabile notificării referitoare la încălcările securităţii datelor cu caracter personal, ar trebui să se acorde atenţia cuvenită circumstanţelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecţia datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecţie corespunzătoare, care să limiteze efectiv probabilitatea fraudării identităţii sau a altor forme de utilizare abuzivă. În plus, astfel de norme şi proceduri ar trebui să ţină cont de interesele legitime ale autorităţilor de aplicare a legii în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanţelor în care a avut loc o încălcare a datelor cu caracter personal.
(89) Directiva 95/46/CE a prevăzut o obligaţie generală de a notifica prelucrarea datelor cu caracter personal autorităţilor de supraveghere. Cu toate că obligaţia respectivă generează sarcini administrative şi financiare, aceasta nu a contribuit întotdeauna la îmbunătăţirea protecţiei datelor cu caracter personal. Prin urmare, astfel de obligaţii de notificare generală nediferenţiată ar trebui să fie abrogate şi înlocuite cu proceduri şi mecanisme eficace care să pună accentul, în schimb, pe acele tipuri de operaţiuni de prelucrare susceptibile să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice prin însăşi natura lor, prin domeniul lor de aplicare, prin contextul şi prin scopurile lor. Astfel de tipuri de operaţiuni de prelucrare pot fi cele care presupun, în special, utilizarea unor noi tehnologii sau care reprezintă un nou tip de operaţiuni, pentru care nicio evaluare a impactului asupra protecţiei datelor nu a fost efectuată anterior de către operator ori care devin necesare dată fiind perioada de timp care s-a scurs de la prelucrarea iniţială.
(90) În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecţiei datelor, în scopul evaluării gradului specific de probabilitate a materializării riscului ridicat şi gravitatea acestuia, având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi sursele riscului. Respectiva evaluare a impactului ar trebui să includă, în special, măsurile, garanţiile şi mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecţiei datelor cu caracter personal şi pentru demonstrarea conformităţii cu prezentul regulament.
(91) Aceasta ar trebui să se aplice, în special, operaţiunilor de prelucrare la scară largă, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, naţional sau supranaţional, care ar putea afecta un număr mare de persoane vizate şi care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilităţii lor, în cazul în care, în conformitate cu nivelul atins al cunoştinţelor tehnologice, se foloseşte la scară largă o tehnologie nouă, precum şi altor operaţiuni de prelucrare care generează un risc ridicat pentru drepturile şi libertăţile persoanelor vizate, în special în cazul în care operaţiunile respective limitează capacitatea persoanelor vizate de a-şi exercita drepturile. Ar trebui efectuată o evaluare a impactului asupra protecţiei datelor şi în situaţiile în care datele cu caracter personal sunt prelucrate în scopul luării de decizii care vizează anumite persoane fizice în urma unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, pe baza creării de profiluri pentru datele respective, sau în urma prelucrării unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnările penale şi infracţiunile sau măsurile de securitate conexe. Este la fel de necesară o evaluare a impactului asupra protecţiei datelor pentru monitorizarea la scară largă a zonelor accesibile publicului, mai ales în cazul utilizării dispozitivelor optoelectronice sau pentru orice alte operaţiuni în cazul în care autoritatea de supraveghere competentă consideră că prelucrarea este susceptibilă de a genera un risc ridicat pentru drepturile şi libertăţile persoanelor vizate, în special deoarece acestea împiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate în mod sistematic la scară largă. Prelucrarea datelor cu caracter personal nu ar trebui considerată a fi la scară largă în cazul în care prelucrarea se referă la date cu caracter personal de la pacienţi sau clienţi de către un anumit medic, un alt profesionist în domeniul sănătăţii sau un avocat. În aceste cazuri, o evaluare a impactului asupra protecţiei datelor nu ar trebui să fie obligatorie.
(92) În unele circumstanţe ar putea fi rezonabil şi util din punct de vedere economic ca o evaluare a impactului asupra protecţiei datelor să aibă o perspectivă mai extinsă decât cea a unui singur proiect, de exemplu în cazul în care autorităţi sau organisme publice intenţionează să instituie o aplicaţie sau o platformă de prelucrare comună sau în cazul în care mai mulţi operatori preconizează să introducă o aplicaţie comună sau un mediu de prelucrare comun în cadrul unui sector sau segment industrial sau pentru o activitate orizontală utilizată la scară largă.
(93) În contextul adoptării legislaţiei naţionale pe care se bazează îndeplinirea sarcinilor autorităţii publice sau ale organismului public şi care reglementează operaţiunea sau seria de operaţiuni de prelucrare în cauză, statele membre pot considera că este necesară efectuarea unei astfel de evaluări înaintea desfăşurării activităţilor de prelucrare.
(94) În cazul în care o evaluare a impactului asupra protecţiei datelor arată că prelucrarea ar genera, în absenţa garanţiilor, măsurilor de securitate şi mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile şi al costurilor implementării, autoritatea de supraveghere ar trebui să fie consultată înainte de începerea activităţilor de prelucrare. Un astfel de risc ridicat este susceptibil să fie generat de anumite tipuri de prelucrare, precum şi de amploarea şi frecvenţa prelucrării, care pot duce şi la producerea unor prejudicii sau pot atinge drepturile şi libertăţile persoanelor fizice. Autoritatea de supraveghere ar trebui să răspundă cererii de consultare într-un anumit termen. Cu toate acestea, lipsa unei reacţii din partea autorităţii de supraveghere în termenul respectiv ar trebui să nu aducă atingere niciunei intervenţii a autorităţii de supraveghere în conformitate cu sarcinile şi competenţele sale prevăzute în prezentul regulament, inclusiv competenţa de a interzice operaţiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluări a impactului asupra protecţiei datelor efectuate cu privire la prelucrarea în cauză poate fi transmis autorităţii de supraveghere, în special măsurile avute în vedere pentru a atenua riscul pentru drepturile şi libertăţile persoanelor fizice.
(95) Persoana împuternicită de operator ar trebui să acorde asistenţă operatorului, dacă este necesar şi la cerere, la asigurarea respectării obligaţiilor care decurg din realizarea de evaluări ale impactului asupra protecţiei datelor şi din consultarea prealabilă a autorităţii de supraveghere.
(96) În timpul elaborării unei măsuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter personal ar trebui, de asemenea, să aibă loc o consultare a autorităţii de supraveghere, pentru a garanta conformitatea prelucrării avute în vedere cu prezentul regulament şi, în special, pentru a atenua riscul la care este expusă persoana vizată.
(97) În cazul în care prelucrarea este efectuată de o autoritate publică, cu excepţia instanţelor sau a autorităţilor judiciare independente atunci când acţionează în calitatea lor judiciară, în cazul în care, în sectorul privat, prelucrarea este efectuată de un operator a cărui activitate principală constă în operaţiuni de prelucrare care necesită o monitorizare regulată şi sistematică a persoanelor vizate pe scară largă, sau în cazul în care activitatea principală a operatorului sau a persoanei împuternicite de operator constă în prelucrarea pe scară largă de categorii speciale de date cu caracter personal şi de date privind condamnările penale şi infracţiunile, o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor ar trebui să acorde asistenţă operatorului sau persoanei împuternicite de operator pentru monitorizarea conformităţii, la nivel intern, cu prezentul regulament. În sectorul privat, activităţile principale ale unui operator se referă la activităţile sale de bază, şi nu la prelucrarea datelor cu caracter personal drept activităţi auxiliare. Nivelul necesar al cunoştinţelor de specialitate ar trebui să fie stabilit în special în funcţie de operaţiunile de prelucrare a datelor efectuate şi de nivelul de protecţie impus pentru datele cu caracter personal prelucrate de operator sau de persoana împuternicită de operator. Aceşti responsabili cu protecţia datelor, indiferent dacă sunt sau nu angajaţi ai operatorului, ar trebui să fie în măsură să îşi îndeplinească atribuţiile şi sarcinile în mod independent.
(98) Asociaţiile sau alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori ar trebui încurajate să elaboreze coduri de conduită, în limitele prezentului regulament, astfel încât să se faciliteze aplicarea efectivă a prezentului regulament, luându-se în considerare caracteristicile specifice ale prelucrării efectuate în anumite sectoare şi necesităţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii. În special, astfel de coduri de conduită ar putea să ajusteze obligaţiile operatorilor şi ale persoanelor împuternicite de operatori, ţinând seama de riscul aferent prelucrării care este susceptibil de a fi generat pentru drepturile şi libertăţile persoanelor fizice.
(99) Atunci când elaborează un cod de conduită sau când modifică sau extind un astfel de cod, asociaţiile şi alte organisme care reprezintă categorii de operatori sau persoane împuternicite de operatori ar trebui să consulte părţile implicate relevante, inclusiv persoanele vizate, dacă este fezabil, şi să ia în considerare contribuţiile transmise şi opiniile exprimate în cadrul unor astfel de consultări.
(100) Pentru a se îmbunătăţi transparenţa şi conformitatea cu prezentul regulament, ar trebui să se încurajeze instituirea de mecanisme de certificare, precum şi de sigilii şi mărci în materie de protecţie a datelor, care să permită persoanelor vizate să evalueze rapid nivelul de protecţie a datelor aferent produselor şi serviciilor relevante.
(101) Fluxurile de date cu caracter personal către şi dinspre ţări situate în afara Uniunii şi organizaţii internaţionale sunt necesare pentru dezvoltarea comerţului internaţional şi a cooperării internaţionale. Creşterea acestor fluxuri a generat noi provocări şi preocupări cu privire la protecţia datelor cu caracter personal. Cu toate acestea, în cazul în care se transferă date cu caracter personal din Uniune către operatori, persoane împuternicite de operatori sau alţi destinatari din ţări terţe sau organizaţii internaţionale, nivelul de protecţie a persoanelor fizice asigurat în Uniune prin prezentul regulament nu ar trebui să fie diminuat, inclusiv în cazurile de transferuri ulterioare de date cu caracter personal dinspre ţara terţă sau organizaţia internaţională către operatori, persoane împuternicite de operatori din aceeaşi sau dintr-o altă ţară terţă sau organizaţie internaţională. În orice caz, transferurile către ţări terţe şi organizaţii internaţionale pot fi desfăşurate numai în conformitate deplină cu prezentul regulament. Un transfer ar putea avea loc numai dacă, sub rezerva respectării celorlalte dispoziţii ale prezentului regulament, operatorul sau persoana împuternicită de operator îndeplineşte condiţiile prevăzute de dispoziţiile prezentului regulament privind transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale.
(102) Prezentul regulament nu aduce atingere acordurilor internaţionale încheiate între Uniune şi ţări terţe în vederea reglementării transferului de date cu caracter personal, inclusiv garanţii adecvate pentru persoanele vizate. Statele membre pot încheia acorduri internaţionale care implică transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale, în măsura în care astfel de acorduri nu afectează prezentul regulament şi nici alte dispoziţii din dreptul Uniunii şi includ un nivel corespunzător de protecţie a drepturilor fundamentale ale persoanelor vizate.
(103) Comisia poate decide, cu efect în întreaga Uniune, că o ţară terţă, un teritoriu sau un anumit sector dintr-o ţară terţă sau o organizaţie internaţională oferă un nivel adecvat de protecţie a datelor, asigurând astfel securitate juridică şi uniformitate în Uniune în ceea ce priveşte ţara terţă sau organizaţia internaţională care este considerată a furniza un astfel de nivel de protecţie. În aceste cazuri, transferurile de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare. De asemenea, Comisia poate să decidă, după trimiterea unei notificări şi a unei justificări complete ţării terţe sau organizaţiei internaţionale, să anuleze o astfel de decizie.
(104) În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special protecţia drepturilor omului, Comisia ar trebui, în evaluarea sa referitoare la ţara terţă sau la un teritoriu sau la un sector specificat dintr-o ţară terţă, să ia în considerare modul în care aceasta respectă statul de drept, accesul la justiţie, precum şi normele şi standardele internaţionale în materie de drepturi ale omului şi legislaţia sa generală şi sectorială, inclusiv legislaţia privind securitatea publică, apărarea şi securitatea naţională, precum şi ordinea publică şi dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecţie pentru un teritoriu sau un sector specificat dintr-o ţară terţă ar trebui să ţină seama de criterii clare şi obiective, cum ar fi activităţile specifice de prelucrare şi domeniul de aplicare al standardelor legale aplicabile şi legislaţia în vigoare în ţara terţă respectivă. Ţara terţă ar trebui să ofere garanţii care să asigure un nivel adecvat de protecţie, echivalent în esenţă cu cel asigurat în cadrul Uniunii, în special atunci când datele cu caracter personal sunt prelucrate în unul sau mai multe sectoare specifice. În special, ţara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autorităţile statelor membre de protecţie a datelor, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.
(105) Pe lângă angajamentele internaţionale asumate de ţara terţă sau de organizaţia internaţională, Comisia ar trebui să ţină seama de obligaţiile care decurg din participarea ţării terţe sau a organizaţiei internaţionale la sistemele multilaterale sau regionale, în special în ceea ce priveşte protecţia datelor cu caracter personal, precum şi de punerea în aplicare a unor astfel de obligaţii. În special, ar trebui să fie luată în considerare aderarea ţării terţe la Convenţia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal şi protocolul adiţional la aceasta. Comisia ar trebui să consulte comitetul atunci când evaluează nivelul de protecţie din ţările terţe sau din organizaţiile internaţionale.
(106) Comisia ar trebui să monitorizeze funcţionarea deciziilor privind nivelul de protecţie dintr-o ţară terţă sau un teritoriu sau un anumit sector dintr-o ţară terţă sau dintr-o organizaţie internaţională şi să monitorizeze funcţionarea deciziilor adoptate în temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. În deciziile sale privind caracterul adecvat al nivelului de protecţie, Comisia ar trebui să prevadă un mecanism de revizuire periodică a modului lor de funcţionare. Această revizuire periodică ar trebui să fie efectuată în consultare cu ţara terţă sau organizaţia internaţională în cauză şi ar trebui să ia în considerare toate evoluţiile relevante din ţara terţă sau organizaţia internaţională. În scopul monitorizării şi al efectuării revizuirilor periodice, Comisia ar trebui să ia în considerare opiniile şi constatările Parlamentului European şi ale Consiliului, precum şi ale altor organisme şi surse relevante. Comisia ar trebui să evalueze, într-un termen rezonabil, funcţionarea deciziilor din urmă şi să raporteze toate constatările relevante comitetului, în sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (1), după cum s-a stabilit în temeiul prezentului regulament, Parlamentului European şi Consiliului.
Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de către statele membre al exercitării competenţelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
(107) Comisia poate să recunoască faptul că o ţară terţă,un teritoriu sau un sector specificat dintr-o ţară terţă sau o organizaţie internaţională nu mai asigură un nivel adecvat de protecţie a datelor. În consecinţă, transferul de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă ar trebui să fie interzis, cu excepţia cazului în care sunt îndeplinite cerinţele prevăzute în prezentul regulament privind transferurile în baza unor garanţii adecvate, inclusiv regulile corporatiste obligatorii şi derogările de la situaţiile specifice. În acest caz, ar trebui să se prevadă dispoziţii pentru consultări între Comisie şi astfel de ţări terţe sau organizaţii internaţionale. Comisia ar trebui ca, în timp util, să informeze ţara terţă sau organizaţia internaţională cu privire la aceste motive şi să iniţieze consultări cu aceasta pentru remedierea situaţiei.
(108) În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau persoana împuternicită de operator ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să se refere în special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor. Transferurile pot fi efectuate şi de către autorităţile sau organismele publice cu autorităţi sau organisme publice
în ţări terţe sau cu organizaţii internaţionale cu atribuţii şi funcţii corespunzătoare, inclusiv pe baza dispoziţiilor care prevăd drepturi opozabile şi efective pentru persoanele vizate, care trebuie introduse în acordurile administrative, cum ar fi un memorandum de înţelegere. Autorizaţia din partea autorităţii de supraveghere competente ar trebui obţinută atunci când garanţiile sunt oferite în cadrul unor acorduri administrative fără caracter juridic obligatoriu.
(109) Posibilitatea ca operatorul sau persoana împuternicită de operator să utilizeze clauze standard în materie de protecţie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui să împiedice operatorii sau persoanele împuternicite de aceştia să includă clauzele standard în materie de protecţie a datelor într-un contract mai amplu, precum un contract între persoana împuternicită de operator şi o altă persoană împuternicită de operator, şi nici să adauge alte clauze sau garanţii suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciază drepturile sau libertăţile fundamentale ale persoanelor vizate. Operatorii şi persoanele împuternicite de operatori ar trebui să fie încurajaţi să ofere garanţii suplimentare prin intermediul unor angajamente contractuale care să completeze clauzele standard în materie de protecţie.
(110) Un grup de întreprinderi sau un grup de întreprinderi implicat într-o activitate economică comună ar trebui să poată utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internaţionale dinspre Uniune către organizaţii din cadrul aceluiaşi grup de întreprinderi sau grup de întreprinderi implicate într-o activitate economică comună, cu condiţia ca astfel de reguli corporatiste să includă toate principiile esenţiale şi drepturile opozabile în scopul asigurării unor garanţii adecvate pentru transferurile sau categoriile de transferuri de date cu caracter personal.
(111) Ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanţe în care persoana vizată şi-a dat consimţământul explicit, în care transferul este ocazional şi necesar în legătură cu un contract sau cu o acţiune în justiţie, indiferent dacă este în contextul unei proceduri judiciare sau în contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor înaintate organismelor de reglementare. De asemenea, ar trebui să se prevadă posibilitatea de a se efectua transferuri în cazul în care motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau în cazul în care transferul se efectuează dintr-un registru instituit prin lege şi destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date conţinute în registru, iar atunci când registrul este destinat să fie consultat de persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele şi drepturile fundamentale ale persoanei vizate.
(112) Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate şi necesare din considerente importante de interes public, de exemplu în cazul schimbului internaţional de date între autorităţile din domeniul concurenţei, administraţiile fiscale sau vamale, între autorităţile de supraveghere financiară, între serviciile competente în materie de securitate socială sau de sănătate publică, de exemplu în cazul depistării punctelor de contact pentru bolile contagioase sau pentru reducerea şi/sau eliminarea dopajului în sport. Un transfer de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care este necesar în scopul protejării unui interes care este esenţial în interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizică sau pentru viaţa acesteia, în cazul în care persona vizată nu are capacitatea să îşi dea consimţământul. În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, stabili în mod expres limite asupra transferului unor categorii specifice de date către o ţară terţă sau o organizaţie internaţională. Statele membre ar trebui să notifice Comisiei aceste dispoziţii. Orice transfer către o organizaţie umanitară internaţională al datelor cu caracter personal ale unei persoane vizate care se află în incapacitate fizică sau juridică de a îşi da consimţământul, în vederea îndeplinirii unei sarcini care decurge din Convenţiile de la Geneva sau în vederea conformării cu dreptul internaţional umanitar aplicabil în conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru că este în interesul vital al persoanei vizate.
(113) Transferurile care pot fi considerate ca nefiind repetitive şi care se referă doar la un număr limitat de persoane vizate, ar putea, de asemenea, să fie efectuate în scopul realizării intereselor legitime urmărite de operator, atunci când asupra respectivelor interese nu prevalează interesele sau drepturile şi libertăţile persoanei vizate şi atunci când operatorul a evaluat toate circumstanţele aferente transferului de date. Operatorul ar trebui să acorde o atenţie deosebită naturii datelor cu caracter personal, scopului şi duratei operaţiunii sau operaţiunilor propuse de prelucrare, precum şi situaţiei din ţara de origine, din ţara terţă şi din ţara de destinaţie finală şi ar trebui să ofere garanţii adecvate pentru protecţia drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui să fie posibile numai în cazurile reziduale în care nu se poate aplica niciunul dintre celelalte motive de transfer. În ceea ce priveşte scopurile de cercetare ştiinţifică sau istorică sau scopurile statistice, ar trebui să se ia în considerare aşteptările legitime ale societăţii cu privire la creşterea nivelului de cunoştinţe. Operatorul ar trebui să informeze autoritatea de supraveghere şi persoana vizată cu privire la transfer.
(114) În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecţie a datelor dintr-o ţară terţă, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluţii care să ofere persoanelor vizate drepturi opozabile şi efective în ceea ce priveşte prelucrarea datelor lor în Uniune odată ce aceste date au fost transferate, astfel încât persoanele vizate să beneficieze în continuare de drepturi fundamentale şi garanţii.
(115) Unele ţări terţe au adoptat legi, reglementări şi alte acte juridice care au drept obiectiv să reglementeze în mod direct activităţile de prelucrare a datelor ale persoanelor fizice şi juridice aflate sub jurisdicţia statelor membre. Aceasta poate include hotărâri ale instanţelor judecătoreşti sau decizii ale autorităţilor administrative din ţări terţe care solicită unui operator sau unei persoane împuternicite de operator să transfere sau să divulge date cu caracter personal şi care nu se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă juridică reciprocă, în vigoare între ţara terţă solicitantă şi Uniune sau un stat membru. Aplicarea extrateritorială a acestor legi, reglementări şi alte acte juridice poate încălca dreptul internaţional şi poate împiedica asigurarea protecţiei persoanelor fizice asigurată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condiţiilor prevăzute de prezentul regulament pentru un transfer către ţări terţe. Acesta ar putea fi cazul, inter alia, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii sau în dreptul intern care se aplică operatorului.
(116) Fluxul transfrontalier de date cu caracter personal în afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-şi exercita drepturile în materie de protecţie a datelor, în special pentru a-şi asigura protecţia împotriva utilizării sau a divulgării ilegale a acestor informaţii. În acelaşi timp, autorităţile de supraveghere pot constata că se află în imposibilitatea de a trata plângeri sau de a efectua investigaţii referitoare la activităţile desfăşurate în afara frontierelor lor. Eforturile acestora de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficienţa competenţelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice şi de existenţa unor obstacole de ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, este necesar să se promoveze o cooperare mai strânsă între autorităţile de supraveghere a protecţiei datelor pentru a putea face schimb de informaţii şi a desfăşura investigaţii împreună cu omologii lor internaţionali. În scopul elaborării de mecanisme de cooperare internaţională pentru a facilita şi a oferi asistenţă internaţională reciprocă în asigurarea aplicării legislaţiei din domeniul protecţiei datelor cu caracter personal, Comisia şi autorităţile de supraveghere ar trebui să facă schimb de informaţii şi să coopereze în cadrul activităţilor legate de exercitarea competenţelor lor cu autorităţile competente din ţări terţe, pe bază de reciprocitate şi în conformitate cu prezentul regulament.
(117) Instituirea în statele membre a unor autorităţi de supraveghere, împuternicite să îşi îndeplinească sarcinile şi să îşi exercite competenţele în deplină independenţă, este un element esenţial al protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. Statele membre ar trebui să poată institui mai multe autorităţi de supraveghere, pentru a reflecta structura lor constituţională, organizatorică şi administrativă.
(118) Independenţa autorităţilor de supraveghere nu ar trebui să însemne că autorităţile de supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare în ceea ce priveşte cheltuielile acestora sau unui control jurisdicţional.
(119) În cazul în care un stat membru instituie mai multe autorităţi de supraveghere, acesta ar trebui să stabilească prin lege mecanisme care să asigure participarea efectivă a autorităţilor de supraveghere respective la mecanismul pentru asigurarea coerenţei. Statul membru respectiv ar trebui, în special, să desemneze autoritatea de supraveghere care îndeplineşte funcţia de punct unic de contact pentru participarea efectivă a acestor autorităţi la mecanism, în scopul asigurării unei cooperări rapide şi armonioase cu alte autorităţi de supraveghere, cu comitetul şi cu Comisia.
(120) Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare şi umane, de spaţiile şi de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistenţa reciprocă şi cooperarea cu alte autorităţi de supraveghere în întreaga Uniune. Fiecare autoritate de supraveghere ar trebui să aibă un buget public anual separat, care poate face parte din bugetul general de stat sau naţional.
(121) Condiţiile generale pentru membrul sau membrii autorităţii de supraveghere ar trebui stabilite de lege în fiecare stat membru şi ar trebui, în special, să prevadă că respectivii membri sunt numiţi printr-o procedură transparentă fie de parlamentul, de guvernul ori şeful de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de către un organism independent împuternicit prin dreptul intern. În vederea asigurării independenţei autorităţii de supraveghere, membrul sau membrii acesteia ar trebui să acţioneze cu integritate, să nu întreprindă acţiuni incompatibile cu îndatoririle lor, iar, pe durata mandatului, ar trebui să nu desfăşoare activităţi incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui să aibă personal propriu, ales de autoritatea de supraveghere sau de un organism independent înfiinţat în temeiul dreptului intern, care ar trebui să fie subordonat exclusiv membrului sau membrilor autorităţii de supraveghere.
(122) Fiecare autoritate de supraveghere ar trebui să aibă, pe teritoriul statului membru de care aparţine, atribuţia de a exercita competenţele şi de a îndeplini sarcinile cu care este învestită în conformitate cu prezentul regulament.
Aceasta ar trebui să includă în special prelucrarea în contextul activităţilor unui sediu al operatorului sau al persoanei împuternicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuată de autorităţile publice sau de organisme private care acţionează în interes public, prelucrarea care afectează persoanele vizate de pe teritoriul său sau prelucrarea efectuată de către un operator sau o persoană împuternicită de operator care nu îşi are sediul în Uniune în cazul în care aceasta priveşte persoane vizate care îşi au reşedinţa pe teritoriul său. Aceasta ar trebui să includă tratarea plângerilor depuse de o persoană vizată, efectuarea de investigaţii privind aplicarea prezentului regulament şi promovarea informării publicului cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal.
(123) Autorităţile de supraveghere ar trebui să monitorizeze aplicarea dispoziţiilor prevăzute de prezentul regulament şi să contribuie la aplicarea coerentă a acestuia în întreaga Uniune, în scopul asigurării protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal şi al facilitării liberei circulaţii a datelor cu caracter personal în interiorul pieţei interne. În acest sens, autorităţile de supraveghere ar trebui să coopereze reciproc, precum şi cu Comisia, fără să fie necesar niciun acord între statele membre cu privire la acordarea de asistenţă reciprocă sau cu privire la respectiva cooperare.
(124) În cazul în care prelucrarea datelor cu caracter personal se desfăşoară în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune, iar operatorul sau persoana împuternicită de operator are sedii în mai multe state membre, sau în cazul în care prelucrarea care se desfăşoară în contextul activităţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator din Uniune afectează sau este susceptibilă să afecteze semnificativ persoane vizate din mai multe state membre, autoritatea de supraveghere a sediului principal al operatorului sau al persoanei împuternicite de operator ori a sediului unic al operatorului sau al persoanei împuternicite de operator ar trebui să acţioneze în calitate de autoritate principală. Aceasta ar trebui să coopereze cu celelalte autorităţi vizate, pentru că operatorul sau persoana împuternicită de operator are un sediu pe teritoriul statului lor membru, pentru că persoanele vizate care îşi au reşedinţa pe teritoriul lor sunt afectate în mod semnificativ sau pentru că le-a fost înaintată o plângere. De asemenea, în cazul în care o persoană vizată care nu îşi are reşedinţa în statul membru respectiv a depus o plângere, autoritatea de supraveghere la care a fost depusă plângerea ar trebui, de asemenea, să fie o autoritate de supraveghere vizată. În cadrul sarcinilor sale de a emite orientări cu privire la orice chestiune referitoare la punerea în aplicare a prezentului regulament, comitetul ar trebui să poată emite orientări privind, în special, criteriile care trebuie luate în considerare pentru a se stabili dacă prelucrarea în cauză afectează în mod semnificativ persoane vizate din mai multe state membre şi privind conţinutul unei obiecţii relevante şi motivate.
(125) Autoritatea principală ar trebui să aibă competenţa de a adopta decizii obligatorii privind măsurile de aplicare a competenţelor care îi sunt conferite în conformitate cu prezentul regulament. În calitatea sa de autoritate principală, autoritatea de supraveghere ar trebui să implice îndeaproape şi să coordoneze activităţile autorităţilor de supraveghere vizate în procesul decizional. În cazurile în care decizia este de respingere parţială sau totală a plângerii din partea persoanei vizate, o asemenea decizie ar trebui adoptată de către autoritatea de supraveghere la care s-a depus plângerea.
(126) Decizia ar trebui convenită în comun de autoritatea de supraveghere principală şi de autorităţile de supraveghere vizate şi ar trebui să vizeze sediul principal sau sediul unic al operatorului sau al persoanei împuternicite de operator şi să fie obligatorie pentru operator şi pentru persoana împuternicită de operator. Operatorul sau persoana împuternicită de operator ar trebui să ia măsurile necesare pentru a asigura conformitatea cu prezentul regulament şi punerea în aplicare a deciziei notificate de autoritatea de supraveghere principală sediului principal al operatorului sau al persoanei împuternicite de operator în ceea ce priveşte activităţile de prelucrare în Uniune.
(127) Fiecare autoritate de supraveghere care nu acţionează ca autoritate de supraveghere principală ar trebui să aibă competenţa de a trata cazuri locale, în care operatorul sau persoana împuternicită de operator are sedii în mai multe state membre, dar obiectul respectivei prelucrări priveşte doar prelucrarea efectuată într-un singur stat membru şi implicând doar persoane vizate din acel unic stat membru, de exemplu în cazul în care obiectul îl constituie prelucrarea datelor cu caracter personal ale angajaţilor în contextul specific legat de forţa de muncă dintr-un stat membru. În astfel de cazuri, autoritatea de supraveghere ar trebui să informeze fără întârziere autoritatea de supraveghere principală cu privire la această chestiune. După ce a fost informată, autoritatea de supraveghere principală ar trebui să decidă dacă va trata ea însăşi cazul în temeiul dispoziţiei privind cooperarea între autoritatea de supraveghere principală şi alte autorităţi de supraveghere vizate (“mecanismul ghişeului unic”), sau dacă autoritatea de supraveghere care a informat-o ar trebui să se ocupe de caz la nivel local. Atunci când decide dacă va trata cazul, autoritatea de supraveghere principală ar trebui să ia în considerare dacă există un sediu al operatorului sau al persoanei împuternicite de operator în statul membru al autorităţii de supraveghere care a informat-o, în vederea garantării respectării efective a unei decizii în ceea ce priveşte operatorul sau persoana împuternicită de operator. În cazul în care autoritatea de supraveghere principală decide să trateze cazul, autoritatea de supraveghere care a informat- o ar trebui să beneficieze de posibilitatea de a prezenta un proiect de decizie, de care autoritatea de supraveghere principală ar trebui să ţină seama în cea mai mare măsură atunci când pregăteşte proiectul său de decizie în cadrul respectivului mecanism al ghişeului unic.
(128) Normele privind autoritatea de supraveghere principală şi mecanismul ghişeului unic nu ar trebui să se aplice în cazul în care prelucrarea este efectuată de autorităţi publice sau organisme private în interes public. În asemenea cazuri, singura autoritate de supraveghere competentă să îşi exercite competenţele care i-au fost atribuite în conformitate cu prezentul regulament ar trebui să fie autoritatea de supraveghere a statului membru în care autoritatea publică sau organismul privat îşi are sediul.
(129) Pentru a se asigura consecvenţa monitorizării şi a aplicării prezentului regulament în întreaga Uniune, autorităţile de supraveghere ar trebui să aibă în fiecare stat membru aceleaşi sarcini şi competenţe efective, inclusiv competenţe de investigare, competenţe corective şi sancţiuni, precum şi competenţe de autorizare şi de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum şi, fără a aduce atingere competenţelor autorităţilor de urmărire penală în temeiul dreptului intern, de a aduce în atenţia autorităţilor judiciare cazurile de încălcare a prezentului regulament şi de a se implica în proceduri judiciare. Aceste competenţe ar trebui să includă şi competenţa de a impune o limitare temporară sau definitivă, inclusiv o interdicţie, asupra prelucrării. Statele membre pot stabili alte sarcini legate de protecţia datelor cu caracter personal în temeiul prezentului regulament. Competenţele autorităţilor de supraveghere ar trebui exercitate în conformitate cu garanţii procedurale adecvate prevăzute în dreptul Uniunii şi în dreptul intern, în mod imparţial, echitabil şi într-un termen rezonabil. În special, fiecare măsură ar trebui să fie adecvată, necesară şi proporţională în scopul de a asigura conformitatea cu dispoziţiile prezentului regulament, luând în considerare circumstanţele fiecărui caz în parte, să respecte dreptul oricărei persoane de a fi ascultată înainte de luarea oricărei măsuri individuale care ar putea să îi aducă atingere şi să evite costurile inutile şi inconvenientele excesive pentru persoanele în cauză. Competenţele de investigare în ceea ce priveşte accesul în incinte ar trebui exercitate în conformitate cu cerinţele specifice din dreptul procedural naţional, cum ar fi obligaţia de a obţine în prealabil o autorizare judiciară. Fiecare măsură obligatorie din punct de vedere juridic luată de autoritatea de supraveghere ar trebui să fie prezentată în scris, să fie clară şi lipsită de ambiguitate, să indice autoritatea de supraveghere care a emis măsura, data emiterii măsurii, să poarte semnătura şefului sau a unui membru al autorităţii de supraveghere autorizat de acesta, să furnizeze motivele pentru care s-a luat măsura şi să facă trimitere la dreptul la o cale de atac eficientă. Acest lucru nu ar trebui să excludă cerinţe suplimentare în conformitate cu dreptul procedural naţional. Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implică faptul că se poate da naştere unui control jurisdicţional în statul membru al autorităţii de supraveghere care a adoptat decizia.
(130) În cazul în care autoritatea de supraveghere la care s-a depus plângerea nu este autoritatea de supraveghere principală, autoritatea de supraveghere principală ar trebui să coopereze îndeaproape cu autoritatea de supraveghere la care s-a depus plângerea, în conformitate cu dispoziţiile privind cooperarea şi consecvenţa prevăzute în prezentul regulament. În astfel de cazuri, autoritatea de supraveghere principală ar trebui, atunci când ia măsuri destinate să producă efecte juridice, inclusiv impunerea de amenzi administrative, să ţină seama cât mai mult posibil de opinia autorităţii de supraveghere la care a fost depusă plângerea şi care ar trebui să îşi menţină competenţa de a desfăşura orice investigaţie pe teritoriul propriului stat membru, în colaborare cu autoritatea de supraveghere principală. (131) În cazurile în care o altă autoritate de supraveghere ar trebui să acţioneze în calitate de autoritate de supraveghere principală pentru activităţile de prelucrare ale operatorului sau ale persoanei împuternicite de operator, dar obiectul concret al unei plângeri sau posibila încălcare vizează numai activităţile de prelucrare ale operatorului sau ale persoanei împuternicite de operator în statul membru în care a fost depusă plângerea sau a fost depistată posibila încălcare, iar chestiunea nu afectează în mod substanţial sau nu este susceptibilă să afecteze în mod substanţial persoane vizate din alte state membre, autoritatea de supraveghere care a primit o plângere sau a depistat ori a fost informată în alt mod asupra unor situaţii de posibile încălcări ale prezentului regulament ar trebui să încerce o soluţionare pe cale amiabilă cu operatorul şi, în cazul în care aceasta eşuează, să îşi exercite plenitudinea competenţelor. Aceasta ar trebui să includă activităţi specifice de prelucrare efectuate pe teritoriul statului membru al autorităţii de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui stat membru, activităţi de prelucrare care au loc în contextul unei oferte de bunuri sau servicii destinate în mod special persoanelor vizate pe teritoriul statului membru al autorităţii de supraveghere sau activităţi de prelucrare care trebuie evaluate ţinând seama de obligaţiile juridice relevante în temeiul dreptului intern.
(132) Activităţile de creştere a gradului de conştientizare organizate pentru public de autorităţile de supraveghere ar trebui să includă măsuri specifice care să vizeze operatorii şi persoanele împuternicite de operatori, inclusiv microîntreprinderile şi întreprinderile mici şi mijlocii, precum şi persoanele fizice, în special în context educaţional.
(133) Autorităţile de supraveghere ar trebui să îşi acorde reciproc asistenţă în îndeplinirea sarcinilor care le revin, pentru a se asigura coerenţa aplicării prezentului regulament pe piaţa internă. O autoritate de supraveghere care solicită asistenţă reciprocă poate adopta o măsură provizorie în cazul în care nu primeşte un răspuns la o solicitare de asistenţă reciprocă în termen de o lună de la primirea solicitării de către cealaltă autoritate de supraveghere.
(134) Fiecare autoritate de supraveghere ar trebui să participe, după caz, la operaţiuni comune între autorităţile de supraveghere. Autoritatea de supraveghere căreia i s-a adresat solicitarea ar trebui să aibă obligaţia de a răspunde cererii într-un anumit termen.
(135) Pentru a se asigura aplicarea coerentă a prezentului regulament în întreaga Uniune, ar trebui să se instituie un mecanism pentru asigurarea coerenţei în cadrul căruia autorităţile de supraveghere să coopereze. Acest mecanism ar trebui să se aplice, în special, în cazul în care o autoritate de supraveghere intenţionează să adopte o măsură prevăzută a produce efecte juridice în ceea ce priveşte operaţiunile de prelucrare care afectează în mod substanţial un număr semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui să se aplice, de asemenea, în cazul în care o autoritate de supraveghere vizată sau Comisia solicită ca aspectul respectiv să fie tratat în cadrul mecanismului pentru asigurarea coerenţei. Acest mecanism nu ar trebui să aducă atingere măsurilor pe care Comisia le poate adopta în exercitarea competenţelor care îi revin în temeiul tratatelor.
(136) În aplicarea mecanismului pentru asigurarea coerenţei, comitetul ar trebui, într-un anumit termen, să emită un aviz în cazul în care o majoritate a membrilor săi decide astfel sau în cazul în care orice autoritate de supraveghere vizată sau Comisia solicită acest lucru. Comitetul ar trebui, de asemenea, să fie împuternicit să adopte decizii obligatorii din punct de vedere juridic în cazul unor litigii între autorităţile de supraveghere. În acest scop, acesta ar trebui să emită, în principiu cu o majoritate de două treimi din membrii săi, decizii obligatorii din punct de vedere juridic, în cazuri bine definite, în cazul în care există opinii divergente între autorităţile de supraveghere, în special în cadrul mecanismului de cooperare între autoritatea de supraveghere principală şi autorităţile de supraveghere vizate privind fondul cauzei, în special existenţa sau nu a unei încălcări a prezentului regulament.
(137) Este posibil să existe o necesitate urgentă de a se acţiona pentru asigurarea protecţiei drepturilor şi libertăţilor persoanelor vizate, în special în cazul în care există pericolul ca exercitarea unui drept al unei persoane vizate să fie împiedicată în mod considerabil. Prin urmare, o autoritate de supraveghere ar trebui să poată adopta măsuri provizorii pe teritoriul său, justificate în mod corespunzător, având o perioadă de valabilitate determinată care nu ar trebui să depăşească trei luni.
(138) Aplicarea unui astfel de mecanism ar trebui să constituie o condiţie pentru legalitatea unei măsuri destinate să producă efecte juridice, luate de o autoritate de supraveghere, în cazurile în care aplicarea acesteia este obligatorie. În alte cazuri cu relevanţă transfrontalieră, ar trebui pus în aplicare mecanismul de cooperare între autoritatea de supraveghere principală şi autorităţile de supraveghere vizate, iar între autorităţile de supraveghere vizate s-ar putea acorda asistenţă reciprocă şi s-ar putea desfăşura operaţiuni comune pe bază bilaterală sau multilaterală, fără declanşarea mecanismului pentru asigurarea coerenţei.
(139) Cu scopul de a promova aplicarea coerentă a prezentului regulament, comitetul ar trebui instituit ca organ independent al Uniunii. Pentru a-şi îndeplini obiectivele, comitetul ar trebui să aibă personalitate juridică. Comitetul ar trebui să fie reprezentat de preşedintele său. Acesta ar trebui să înlocuiască Grupul de lucru pentru protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui să fie alcătuit din şefii autorităţilor de supraveghere din fiecare stat membru şi din Autoritatea Europeană pentru Protecţia Datelor sau reprezentanţii acestora. Comisia ar trebui să participe la activităţile comitetului fără a avea drept de vot, iar Autoritatea Europeană pentru Protecţia Datelor ar trebui să aibă drepturi de vot speciale. Comitetul ar trebui să contribuie la aplicarea coerentă a prezentului regulament în întreaga Uniune, inclusiv prin oferirea de consiliere Comisiei, în special cu privire la nivelul de protecţie în ţările terţe şi în cadrul organizaţiilor internaţionale, şi prin promovarea cooperării autorităţilor de supraveghere în întreaga Uniune. Comitetul ar trebui să acţioneze în mod independent în îndeplinirea sarcinilor sale.
(140) Comitetul ar trebui să fie asistat de un secretariat asigurat de Autoritatea Europeană pentru Protecţia Datelor. Personalul Autorităţii Europene pentru Protecţia Datelor implicat în îndeplinirea sarcinilor conferite comitetului în temeiul prezentului regulament ar trebui să îşi îndeplinească sarcinile exclusiv conform instrucţiunilor preşedintelui comitetului şi să raporteze acestuia.
(141) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o singură autoritate de supraveghere, în special în statul membru în care îşi are reşedinţa obişnuită, precum şi dreptul la o cale de atac eficientă în conformitate cu articolul 47 din cartă, în cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacţionează la o plângere, respinge sau refuză parţial sau total o plângere sau nu acţionează atunci când o astfel de acţiune este necesară pentru asigurarea protecţiei drepturilor persoanei vizate. Investigaţia în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcţie de caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluţia şi soluţionarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informaţii intermediare persoanei vizate. În vederea facilitării depunerii plângerilor, fiecare autoritate de supraveghere ar trebui să ia măsuri precum punerea la dispoziţie a unui formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.
(142) În cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizaţie sau o asociaţie fără scop lucrativ care este înfiinţat(ă) în conformitate cu dreptul intern, ale cărui (cărei) obiective statutare sunt în interesul public şi care îşi desfăşoară activitatea în domeniul asigurării protecţiei datelor cu caracter personal, să depună o plângere în numele său la o autoritate de supraveghere, să exercite dreptul la o cale de atac în numele persoanelor vizate sau, în cazul în care se prevede în dreptul intern, să exercite dreptul de a primi despăgubiri în numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizaţie sau asociaţie să aibă dreptul de a depune o plângere în statul membru respectiv, independent de mandatul acordat de o persoană vizată, şi să aibă dreptul la o cale de atac eficientă în cazul în care are motive să considere că drepturile unei persoane vizate au fost încălcate ca rezultat al unei prelucrări a datelor cu caracter personal care încalcă prezentul regulament. Organismul, organizaţia sau asociaţia în cauza nu poate pretinde despăgubiri în numele unei persoane vizate, independent de mandatul acordat de persoana vizată.
(143) Orice persoană fizică sau juridică are dreptul de a introduce o acţiune în anulare împotriva deciziilor comitetului în faţa Curţii de Justiţie, în conformitate cu condiţiile prevăzute la articolul 263 din TFUE. În calitate de destinatare ale acestor decizii, autorităţile de supraveghere vizate care doresc să le conteste trebuie să introducă o acţiune împotriva deciziilor respective în termen de două luni de la data la care le-au fost notificate, în conformitate cu articolul 263 din TFUE. În cazul în care deciziile comitetului vizează în mod direct şi individual un operator, o persoană împuternicită de operator sau reclamantul, aceştia din urmă pot introduce o acţiune în anularea respectivelor decizii în termen de două luni de la publicarea acestora pe site-ul comitetului, în conformitate cu articolul 263 din TFUE. Fără a aduce atingere acestui drept în temeiul articolului 263 din TFUE, orice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac judiciară eficientă în faţa instanţei naţionale competente împotriva unei decizii a unei autorităţi de supraveghere care produce efecte juridice privind respectiva persoană. O astfel de decizie se referă în special la exercitarea competenţelor de investigare, corective şi de autorizare de către autoritatea de supraveghere sau la refuzul sau respingerea plângerilor. Cu toate acestea, dreptul la o cale de atac judiciară eficientă nu include măsuri ale autorităţilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizată de aceasta. Acţiunile împotriva unei autorităţi de supraveghere ar trebui să fie aduse în faţa instanţelor statului membru în care este stabilită autoritatea de supraveghere şi ar trebui să se desfăşoare în conformitate cu dreptul procesual al statului membru respectiv. Respectivele instanţe ar trebui să îşi exercite competenţa judiciară deplină, care ar trebui să includă competenţa de a examina toate aspectele de fapt sau de drept care au relevanţă pentru litigiul cu care acestea sunt sesizate.
În cazul în care o plângere a fost respinsă sau refuzată de o autoritate de supraveghere, reclamantul poate introduce o acţiune la instanţele din acelaşi stat membru. În contextul căilor de atac judiciare privind aplicarea prezentului regulament, instanţele naţionale care consideră necesară o decizie privind chestiunea respectivă pentru a le permite să ia o hotărâre pot sau, în cazul prevăzut la articolul 267 din TFUE, trebuie să solicite Curţii de Justiţie să pronunţe o decizie preliminară privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. În plus, în cazul în care o decizie a unei autorităţi de supraveghere care pune în aplicare o decizie a comitetului este contestată în faţa unei instanţe naţionale şi este în discuţie validitatea deciziei comitetului, respectiva instanţă naţională nu are competenţa de a declara nulă decizia comitetului, ci trebuie să aducă chestiunea validităţii în faţa Curţii de Justiţie, în conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea de Justiţie, ori de câte ori instanţa naţională consideră decizia nulă. Cu toate acestea, o instanţă naţională nu poate să transmită o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane fizice sau juridice care a avut posibilitatea de a introduce o acţiune în anulare împotriva respectivei decizii, în special dacă aceasta era vizată în mod direct şi individual de decizia în cauză, dar nu a făcut acest lucru în termenul prevăzut la articolul 263 din TFUE.
(144) Atunci când o instanţă sesizată cu o procedură împotriva unei decizii a unei autorităţi de supraveghere are motive să creadă că în faţa unei instanţe competente dintr-un alt stat membru au fost introduse proceduri cu privire la aceeaşi prelucrare, cum ar fi acelaşi obiect al prelucrării, de către acelaşi operator sau aceleaşi persoană împuternicită de operator, sau aceeaşi cauză, instanţa respectivă ar trebui să contacteze cea de a doua instanţă pentru a confirma existenţa unor astfel de proceduri conexe. În cazul în care aceste proceduri conexe se află pe rolul unei instanţe dintr-un alt stat membru, orice instanţă, cu excepţia celei sesizate iniţial, poate să îşi suspende procedurile sau, la cererea uneia dintre părţi, îşi poate declina competenţa în favoarea instanţei sesizate iniţial, cu condiţia ca aceasta din urmă să aibă competenţa de a soluţiona procedurile în cauză şi ca dreptul care i se aplică să îi permită consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci când sunt atât de strâns legate între ele încât este oportună instrumentarea şi judecarea lor în acelaşi timp pentru a se evita riscul pronunţării unor hotărâri ireconciliabile în cazul judecării lor în mod separat.
(145) În ceea ce priveşte acţiunile iniţiate împotriva unui operator sau unei persoane împuternicite de operator, reclamantul ar trebui să aibă posibilitatea de a introduce acţiunea în faţa instanţelor din statele membre în care operatorul sau persoana împuternicită de operator are un sediu sau în care persoana vizată îşi are reşedinţa, cu excepţia cazului în care operatorul este o autoritate publică dintr-un stat membru ce acţionează în exercitarea competenţelor sale publice.
(146) Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament. Operatorul sau persoana împuternicită de operator ar trebui să fie exoneraţi de răspundere dacă dovedesc că nu sunt în niciun fel răspunzători pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenţei Curţii de Justiţie, într-un mod care să reflecte pe deplin obiectivele prezentului regulament. Această dispoziţie nu aduce atingere niciunei cereri de despăgubire care rezultă din încălcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care încalcă prezentul regulament include şi prelucrarea care încalcă actele delegate şi de punere în aplicare adoptate în conformitate cu prezentul regulament şi cu dreptul intern care specifică norme din prezentul regulament. Persoanele vizate ar trebui să primească despăgubiri integrale şi eficace pentru prejudiciul pe care le-au suferit. În cazul în care operatorii sau persoanele împuternicite de operatori sunt implicate în aceeaşi prelucrare, fiecare operator sau fiecare persoană împuternicită de operator ar trebui să fie considerată răspunzătoare pentru întregul prejudiciu. Cu toate acestea, atunci când procedurile juridice care le vizează sunt conexate, în conformitate cu dreptul intern, despăgubirile pot fi împărţite în funcţie de răspunderea fiecărui operator sau a fiecărei persoane împuternicite de operator, cu condiţia să se asigure despăgubirea integrală şi efectivă a persoanei vizate care a suferit prejudiciul. Orice operator sau persoană împuternicită de operator care a plătit despăgubiri integrale poate formula ulterior o acţiune în regres împotriva altor operatori sau persoane împuternicite de operatori implicate în aceeaşi prelucrare.
(147) În cazul în care prezentul regulament cuprinde norme specifice privind competenţa judiciară, în special în ceea ce priveşte căile de atac judiciare, inclusiv acţiunile în despăgubiri, împotriva unui operator sau a unei persoane împuternicite de operator, normele generale privind competenţa judiciară precum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului (1) nu ar trebui să aducă atingere aplicării unor astfel de norme specifice.
Regulamentul (UE) nr. 1215/2012 al Parlamentului European şi al Consiliului din 12 decembrie 2012 privind competenţa judiciară, recunoaşterea şi executarea hotărârilor în materie civilă şi comercială (JO L 351, 20.12.2012, p. 1).
(148) Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebui impuse sancţiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament, pe lângă sau în locul măsurilor adecvate impuse de autoritatea de supraveghere în temeiul prezentului regulament. În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporţionată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi. Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea şi durata încălcării, caracterul deliberat al încălcării, acţiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită şi orice alt factor agravant sau atenuant. Impunerea de sancţiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanţii procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii şi cu carta, inclusiv o protecţie judiciară eficientă şi un proces echitabil.
(149) Statele membre ar trebui să poată stabili normele privind sancţiunile penale pentru încălcările prezentului regulament, inclusiv pentru încălcarea normelor de drept intern adoptate în temeiul şi în limitele prezentului regulament. Respectivele sancţiuni penale pot, de asemenea, permite privarea de profiturile obţinute prin încălcarea prezentului regulament. Cu toate acestea, impunerea de sancţiuni penale pentru încălcări ale unor asemenea norme de drept intern şi de sancţiuni administrative nu ar trebui să ducă la încălcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justiţie.
(150) Pentru consolidarea şi armonizarea sancţiunilor administrative în cazul încălcării prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competenţa de a impune amenzi administrative. Prezentul regulament ar trebui să indice încălcările, şi limita maximă şi criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui să fie stabilite de autoritatea de supraveghere competentă în fiecare caz în parte, ţinând seama de toate circumstanţele relevante ale situaţiei specifice, luându-se în considerare în mod corespunzător, în special, natura, gravitatea şi durata încălcării, precum şi consecinţele acesteia şi măsurile luate pentru a se asigura respectarea obligaţiilor în temeiul prezentului regulament şi pentru a se preveni sau atenua consecinţele încălcării. În cazul în care amenzile administrative sunt impuse unei întreprinderi, o întreprindere ar trebui înţeleasă ca fiind o întreprindere în conformitate cu articolele 101 şi 102 din TFUE în aceste scopuri. În cazul în care se impun amenzi administrative unor persoane care nu sunt întreprinderi, autoritatea de supraveghere ar trebui să ţină seama de nivelul general al veniturilor din statul membru respectiv, precum şi de situaţia economică a persoanei atunci când estimează cuantumul adecvat al amenzii. Mecanismul pentru asigurarea coerenţei poate fi, de asemenea, utilizat pentru a promova aplicarea consecventă a amenzilor administrative. Competenţa de a stabili dacă şi în ce măsură autorităţile publice ar trebui să facă obiectul unor amenzi administrative ar trebui să revină statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertizări nu afectează aplicarea altor competenţe ale autorităţilor de supraveghere sau a altor sancţiuni în temeiul prezentului regulament.
(151) Sistemele juridice ale Danemarcei şi Estoniei nu permit amenzi administrative astfel cum sunt prevăzute în prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel încât, în Danemarca, amenda să fie impusă de instanţele naţionale competente ca sancţiune penală, iar în Estonia amenda să fie impusă de autoritatea de supraveghere în cadrul unei proceduri privind delictele, cu condiţia ca o astfel de aplicare a normelor în statele membre respective să aibă un efect echivalent cu cel al amenzilor administrative impuse de autorităţile de supraveghere. Prin urmare, instanţele naţionale competente ar trebui să ţină seama de recomandarea autorităţii de supraveghere care a iniţiat amenda. În orice caz, amenzile impuse ar trebui să fie eficace, proporţionale şi disuasive.
(152) În cazul în care prezentul regulament nu armonizează sancţiunile administrative sau în alte cazuri, acolo unde este necesar, de exemplu în cazul unor încălcări grave ale prezentului regulament, statele membre ar trebui să pună în aplicare un sistem care să prevadă sancţiuni eficace, proporţionale şi disuasive. Natura unor astfel de sancţiuni, penale sau administrative, ar trebui stabilită în dreptul intern.
(153) Dreptul statelor membre ar trebui să stabilească un echilibru între normele care reglementează libertatea de exprimare şi de informare, inclusiv exprimarea jurnalistică, academică, artistică şi/sau literară, şi dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare ar trebui să facă obiectul unor derogări sau al unor excepţii de la anumite dispoziţii ale prezentului regulament în cazul în care este necesară stabilirea unui echilibru între dreptul la protecţia datelor cu caracter personal şi dreptul la libertatea de exprimare şi de informare, astfel cum este prevăzut în articolul 11 din cartă. Acest lucru ar trebui să se aplice în special prelucrării datelor cu caracter personal în domeniul audiovizualului, precum şi în arhivele de ştiri şi în bibliotecile ziarelor. Prin urmare, statele membre ar trebui să adopte măsuri legislative care să prevadă excepţiile şi derogările necesare în vederea asigurării echilibrului între aceste drepturi fundamentale. Statele membre ar trebui să adopte astfel de excepţii şi derogări în ceea ce priveşte principiile generale, drepturile persoanelor vizate, operatorul şi persoana împuternicită de operator, transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale, autorităţile de supraveghere independente, cooperarea şi coerenţa, precum şi în ceea ce priveşte situaţii specifice de prelucrare a datelor. În cazul în care aceste excepţii sau derogări diferă de la un stat membru la altul, ar trebui să se aplice dreptul statului membru sub incidenţa căruia intră operatorul. Pentru a ţine seama de importanţa dreptului la libertatea de exprimare în fiecare societate democratică, este necesar ca noţiunile legate de această libertate, cum ar fi jurnalismul, să fie interpretate în sens larg. (154)Prezentul regulament permite luarea în considerare a principiului accesului public la documente oficiale în aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi în interes public. Datele cu caracter personal din documentele deţinute de o autoritate publică sau de un organism public ar trebui să poată fi divulgate de autoritatea respectivă sau de organismul respectiv în cazul în care dreptul Uniunii sau dreptul intern sub incidenţa căruia intră autoritatea publică sau organismul public prevede acest lucru. Dreptul Uniunii şi dreptul intern ar trebui să asigure un echilibru între accesul public la documentele oficiale şi reutilizarea informaţiilor din sectorul public, pe de o parte, şi dreptul la protecţia datelor cu caracter personal, pe de altă parte, şi ar putea prin urmare să prevadă echilibrul necesar cu dreptul la protecţia datelor cu caracter personal în temeiul prezentului regulament. Trimiterea la autorităţile şi organismele publice ar trebui, în acest context, să includă toate autorităţile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva 2003/98/CE a Parlamentului European şi a Consiliului (1) lasă intact şi nu aduce atingere în niciun fel nivelului de protecţie a persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal în conformitate cu dreptul Uniunii şi cu cel intern şi, în special, nu modifică drepturile şi obligaţiile prevăzute de prezentul regulament. În special, directiva sus-menţionată nu se aplică documentelor la care accesul este exclus sau restrâns în temeiul regimurilor de acces din motive legate de protecţia datelor cu caracter personal şi nici părţilor din documente accesibile în temeiul respectivelor regimuri care conţin date cu caracter personal a căror reutilizare a fost stabilită prin lege ca fiind incompatibilă cu dreptul privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal. Directiva 2003/98/CE a Parlamentului European şi a Consiliului din 17 noiembrie 2003 privind reutilizarea informaţiilor din sectorul public (JO L 345, 31.12.2003, p. 90).
(155) Dreptul intern sau acordurile colective, inclusiv “acordurile de muncă”, pot prevedea norme specifice care să reglementeze prelucrarea datelor cu caracter personal ale angajaţilor în contextul ocupării unui loc de muncă, în special condiţiile în care datele cu caracter personal în contextul ocupării unui loc de muncă pot fi prelucrate pe baza consimţământului angajatului, în scopul recrutării, al respectării clauzelor contractului de muncă, inclusiv descărcarea de obligaţiile stabilite prin lege sau prin acorduri colective, al gestionării, planificării şi organizării muncii, al egalităţii şi diversităţii la locul de muncă, al asigurării sănătăţii şi securităţii la locul de muncă, precum şi în scopul exercitării şi beneficierii, în mod individual sau colectiv, de drepturile şi beneficiile legate de ocuparea unui loc de muncă, precum şi în scopul încetării raporturilor de muncă.
(156) Prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice ar trebui să facă obiectul unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate în temeiul prezentului regulament. Respectivele garanţii ar trebui să asigure faptul că au fost instituite măsuri tehnice şi organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a datelor. Prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice se efectuează atunci când operatorul a evaluat fezabilitatea pentru îndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiţia să existe garanţii adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Statele membre ar trebui să prevadă garanţii adecvate pentru prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice. Statele membre ar trebui să fie autorizate să ofere, în anumite condiţii şi sub rezerva unor garanţii adecvate pentru persoanele vizate, precizări şi derogări în ceea ce priveşte cererile de informaţii şi dreptul la rectificare, dreptul la ştergere, dreptul de a fi uitat, dreptul la restricţionarea prelucrării,dreptul la portabilitatea datelor, precum şi dreptul la opoziţie în cazul prelucrării datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice. Condiţiile şi garanţiile în cauză pot genera proceduri specifice astfel încât persoanele vizate să îşi exercite respectivele drepturi dacă acest lucru este adecvat în contextul scopurilor vizate de prelucrarea specifică, precum şi măsuri tehnice şi organizaţionale vizând reducerea la minimum a prelucrării datelor cu caracter personal, în conformitate cu principiile proporţionalităţii şi necesităţii. Prelucrarea datelor cu caracter personal în scopuri ştiinţifice ar trebui să fie, de asemenea, conformă cu alte acte legislative relevante, cum ar fi cele privind studiile clinice.
(157) Prin combinarea informaţiilor din registre, cercetătorii pot obţine noi cunoştinţe de mare valoare în ceea ce priveşte bolile cu largă răspândire, cum ar fi bolile cardiovasculare, cancerul şi depresia. Pe baza registrelor, rezultatele cercetărilor pot fi întărite, întrucât acestea se bazează pe o populaţie mai mare. În domeniul ştiinţelor sociale, cercetarea pe baza registrelor le permite cercetătorilor să obţină informaţii esenţiale despre corelarea pe termen lung a unei serii de condiţii sociale, precum şomajul sau educaţia, cu alte condiţii de viaţă. Rezultatele cercetărilor obţinute pe baza registrelor furnizează cunoştinţe solide, de înaltă calitate, care pot constitui baza pentru elaborarea şi punerea în aplicare a unor politici bazate pe cunoaştere şi care pot îmbunătăţi calitatea vieţii pentru un număr de persoane, eficienţa serviciilor sociale. Pentru a facilita cercetarea ştiinţifică, datele cu caracter personal pot fi prelucrate în scopuri de cercetare ştiinţifică, sub rezerva condiţiilor şi a garanţiilor corespunzătoare stabilite în dreptul Uniunii sau în dreptul intern.
(158) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare, prezentul regulament ar trebui să se aplice şi prelucrării respective, ţinând seama de faptul că prezentul regulament nu ar trebui să se aplice persoanelor decedate. Autorităţile publice sau organismele publice sau private care deţin evidenţe de interes public ar trebui, în temeiul dreptului Uniunii sau al dreptului naţional, să aibă o obligaţie legală de a dobândi, a păstra, a evalua, a pregăti, a descrie, a comunica, a promova, a disemina şi a asigura accesul la evidenţe de valoare durabilă de interes public general. Statele membre ar trebui, de asemenea, să poată să prevadă prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare, de exemplu cu scopul de a furniza informaţii specifice referitoare la comportamentul politic în perioada fostelor regimuri de stat totalitare, la genociduri, la crime împotriva umanităţii, în special holocaustul, sau la crime de război.
(159) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică, prezentul regulament ar trebui să se aplice şi prelucrării respective. În sensul prezentului regulament, prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifică ar trebui să fie interpretată în sens larg, incluzând de exemplu dezvoltarea tehnologică şi activităţile demonstrative, cercetarea fundamentală, cercetarea aplicată şi cercetarea finanţată din surse private. Ar trebui, în plus, luat în considerare obiectivul Uniunii de creare a unui Spaţiu european de cercetare, astfel cum este menţionat la articolul 179 alineatul din TFUE. Scopurile de cercetare ştiinţifică ar trebui să includă, de asemenea, studii efectuate în interes public în domeniul sănătăţii publice. Pentru a îndeplini caracteristicile specifice ale prelucrării datelor cu caracter personal în scopuri de cercetare ştiinţifică, ar trebui să se aplice condiţii specifice, în special în ceea ce priveşte publicarea sau divulgarea într-un alt mod a datelor cu caracter personal în contextul scopurilor de cercetare ştiinţifică. În cazul în care rezultatul cercetării ştiinţifice, în special în contextul sănătăţii, constituie un motiv pentru măsuri suplimentare în interesul persoanei vizate, normele generale ale prezentului regulament ar trebui să se aplice având în vedere aceste măsuri.
(160) În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare istorică, prezentul regulament ar trebui să se aplice şi prelucrării respective. Acest lucru ar trebui să includă, de asemenea, cercetarea istorică şi cercetarea în scopuri genealogice, ţinând seama de faptul că prezentul regulament nu ar trebui să se aplice persoanelor decedate.
(161) În scopul acordării consimţământului de a participa la activităţi de cercetare ştiinţifică în cadrul testelor clinice, ar trebui să se aplice dispoziţiile relevante ale Regulamentului (UE) nr. 536/2014 al Parlamentului European şi al Consiliului (1).
(1)Regulamentul (UE) nr. 536/2014 al Parlamentului European şi al Consiliului din 16 aprilie 2014 privind studiile clinice intervenţionale cu medicamente de uz uman şi de abrogare a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).
(162) În cazul în care datele cu caracter personal sunt prelucrate în scopuri statistice, prezentul regulament ar trebui să se aplice prelucrării respective. Dreptul Uniunii sau dreptul intern ar trebui, în limitele prezentului regulament, să determine conţinutul statistic, controlul accesului, specificaţiile pentru prelucrarea datelor cu caracter personal în scopuri statistice şi măsurile adecvate pentru a proteja drepturile şi libertăţile persoanelor vizate şi pentru a asigura confidenţialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior în diferite scopuri, inclusiv în scopuri de cercetare ştiinţifică. Scopuri statistice înseamnă orice operaţiune de colectare şi prelucrare de date cu caracter personal necesară pentru anchetele statistice sau pentru producerea de rezultate statistice. Scopurile statistice presupun că rezultatul prelucrării în scopuri statistice nu constituie date cu caracter personal, ci date agregate şi că acest rezultat sau datele cu caracter personal nu sunt utilizate în sprijinul unor măsuri sau decizii privind o anumită persoană fizică.
(163) Informaţiile confidenţiale pe care autorităţile statistice de la nivelul Uniunii şi de la nivel naţional le colectează în vederea elaborării de statistici europene şi naţionale oficiale ar trebui să fie protejate. Statisticile europene ar trebui concepute, elaborate şi difuzate în conformitate cu principiile statistice prevăzute la articolul 338 alineatul (2) din TFUE, în timp ce statisticile naţionale ar trebui, de asemenea, să fie în conformitate cu dreptul intern. Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului (2) prevede specificaţii suplimentare privind confidenţialitatea datelor statistice pentru statisticile europene.
(2)Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009 privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale Biroului Statistic al Comunităţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităţilor Europene (JO L 87, 31.3.2009, p. 164).
(164) În ceea ce priveşte competenţele autorităţilor de supraveghere de a obţine de la operator sau de la persoana împuternicită de operator accesul la datele cu caracter personal şi accesul în clădirile lor, statele membre pot adopta, pe cale legislativă şi în limitele stabilite de prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor obligaţii echivalente, în măsura în care acest lucru este necesar pentru a asigura un echilibru între dreptul la protecţia datelor cu caracter personal şi obligaţia de păstrare a secretului profesional. Aceasta nu aduce atingere obligaţiilor existente ale statelor membre de a adopta norme privind secretul profesional în situaţiile cerute de dreptul Uniunii.
(165) Prezentul regulament respectă şi nu aduce atingere statutului de care beneficiază, în temeiul dreptului constituţional existent, bisericile şi asociaţiile sau comunităţile religioase din statele membre, astfel cum este recunoscut în articolul 17 din TFUE.
(166) În vederea îndeplinirii obiectivelor prezentului regulament, şi anume protejarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice şi, în special, a dreptului acestora la protecţia datelor cu caracter personal, şi pentru a se garanta libera circulaţie a datelor cu caracter personal pe teritoriul Uniunii, competenţa de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui să fie delegată Comisiei. În special, ar trebui adoptate acte delegate în ceea ce priveşte criteriile şi cerinţele privind mecanismele de certificare, informaţiile care trebuie prezentate prin pictograme standardizate şi procedurile pentru furnizarea unor astfel de pictograme. Este deosebit de important ca, în cadrul activităţii sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experţi. Atunci când pregăteşte şi elaborează acte delegate, Comisia ar trebui să asigure transmiterea simultană, la timp şi în mod corespunzător a documentelor relevante către Parlamentul European şi către Consiliu.
(167) În vederea asigurării unor condiţii uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui învestită cu competenţe de executare în situaţiile stabilite de prezentul regulament. Competenţele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011. În acest context, Comisia ar trebui să ia în considerare măsuri specifice pentru microîntreprinderi şi pentru întreprinderile mici şi mijlocii.
(168) Procedura de examinare ar trebui utilizată pentru adoptarea de acte de punere în aplicare privind: clauzele contractuale standard dintre operatori şi persoanele împuternicite de operatori, precum şi dintre persoanele împuternicite de operatori; codurile de conduită; standardele tehnice şi mecanismele de certificare; nivelul adecvat de protecţie oferit de o ţară terţă, de un teritoriu sau de un anumit sector de prelucrare din ţara terţă respectivă, sau de o organizaţie internaţională; clauzele standard de protecţie a datelor; formatele şi procedurile pentru schimbul electronic de informaţii între operatori, persoanele împuternicite de operatori şi autorităţile de supraveghere pentru regulile corporatiste obligatorii; asistenţa reciprocă; precum şi modalităţile de realizare a schimbului electronic de informaţii între autorităţile de supraveghere, precum şi între autorităţile de supraveghere şi comitetul.
(169) Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când dovezile disponibile arată că o ţară terţă, un teritoriu sau un anumit sector de prelucrare din ţara terţă respectivă, sau o organizaţie internaţională nu asigură un nivel de protecţie adecvat, precum şi din motive imperative de urgenţă.
(170) Deoarece obiectivul prezentului regulament, şi anume asigurarea unui nivel echivalent de protecţie a persoanelor fizice şi libera circulaţie a datelor cu caracter personal în întreaga Uniune, nu poate fi realizat în mod satisfăcător de către statele membre dar, având în vedere amploarea sau efectele acţiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri în conformitate cu principiul subsidiarităţii, astfel cum este definit la articolul 5 din Tratatul privind Uniunea Europeană (“Tratatul UE”). În conformitate cu principiul proporţionalităţii, astfel cum este definit la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivelor menţionate.
(171) Directiva 95/46/CE ar trebui să fie abrogată prin prezentul regulament. Prelucrările în derulare la data aplicării prezentului regulament ar trebui să fie aduse în conformitate cu prezentul regulament în termen de doi ani de la data intrării în vigoare a prezentului În cazul în care prelucrările se bazează pe consimţământ în temeiul Directivei 95/46/CE, nu este necesar ca persoana vizată să îşi dea încă o dată consimţământul în cazul în care modul în care consimţământul a fost dat este în conformitate cu condiţiile din prezentul regulament, astfel încât operatorului să i se permită să continue o astfel de prelucrare după data aplicării prezentului regulament. Deciziile adoptate ale Comisiei şi autorizaţiile autorităţilor de supraveghere emise pe baza Directivei 95/46/CE rămân în vigoare până când vor fi modificate, înlocuite sau abrogate.
(172) Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) 45/2001 şi a emis un aviz la 7 martie 2012.
JO C 192, 30.6.2012, p. 7.
(173) Prezentul regulament ar trebui să se aplice tuturor aspectelor referitoare la protecţia drepturilor şi libertăţilor fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obligaţii specifice cu acelaşi obiectiv ca cel stabilit în Directiva 2002/58/CE a Parlamentului European şi a Consiliului (2), inclusiv obligaţiile privind
operatorul şi drepturile persoanelor fizice. Pentru a se clarifica relaţia dintre prezentul regulament şi Directiva 2002/58/CE, respectiva directivă ar trebui să fie modificată în consecinţă. După adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui să fie revizuită în special pentru a se asigura coerenţa cu prezentul regulament,
Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37). În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare istorică, prezentul regulament ar trebui să se aplice şi prelucrării respective. Acest lucru ar trebui să includă, de asemenea, cercetarea istorică şi cercetarea în scopuri genealogice, ţinând seama de faptul că prezentul regulament nu ar trebui să se aplice persoanelor decedate.