Art. 25. - Art. 25: Protecţia datelor - Directiva 2011/16/UE/15-feb-2011 privind cooperarea administrativă în domeniul fiscal şi de abrogare a Directivei 77/799/CEE

Acte UE

Jurnalul Oficial 64L

În vigoare
Versiune de la: 26 Noiembrie 2025
Art. 25: Protecţia datelor
(1)Orice schimb de informaţii efectuat în temeiul prezentei directive intră sub incidenţa Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului (*2). Totuşi, în scopul aplicării corecte a prezentei directive, statele membre limitează domeniul de aplicare a obligaţiilor şi drepturilor prevăzute la articolul 13, la articolul 14 alineatul (1) şi la articolul 15 din Regulamentul (UE) 2016/679, în măsura în care acest lucru este necesar pentru protejarea intereselor menţionate la articolul 23 alineatul (1) litera (e) din regulamentul respectiv.
(*2)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1).
(2)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului (*3) se aplică în cazul oricărei prelucrări de date cu caracter personal în temeiul prezentei directive de către instituţiile, organele, oficiile şi agenţiile Uniunii. Cu toate acestea, în scopul aplicării corecte a prezentei directive, domeniul de aplicare a obligaţiilor şi drepturilor prevăzute la articolul 15, articolul 16 alineatul (1) şi articolele 17-21 din Regulamentul (UE) 2018/1725 este limitat în măsura în care acest lucru este necesar pentru protejarea intereselor menţionate la articolul 25 alineatul (1) litera (c) din regulamentul respectiv.
(*3)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(3)Instituţiile Financiare Raportoare, intermediarii, Operatorii de Platforme care au Obligaţia de Raportare, Furnizorii de Servicii de Criptoactive Raportori şi autorităţile competente ale statelor membre sunt consideraţi operatori de date care acţionează individual sau în comun. Atunci când Comisia prelucrează date cu caracter personal în scopurile prezentei directive, se consideră că aceasta prelucrează datele cu caracter personal în numele operatorilor şi are obligaţia de a respecta cerinţele prevăzute în Regulamentul (UE) 2018/1725 pentru persoanele împuternicite de operatori. Prelucrarea este reglementată printr-un contract în sensul articolului 28 alineatul (3) din Regulamentul (UE) 2016/679 şi al articolului 29 alineatul (3) din Regulamentul (UE) 2018/1725.

(4)Fără a aduce atingere alineatului (1), fiecare stat membru trebuie să asigure faptul că fiecare dintre Instituţiile Financiare Raportoare, intermediarii, Operatorii de Platforme care au Obligaţia de Raportare sau, după caz, Furnizorii de Servicii de Criptoactive Raportori care se află în jurisdicţia sa:
a)informează fiecare persoană vizată că informaţiile care o privesc vor fi colectate şi transferate în conformitate cu prezenta directivă; şi
b)comunică fiecărei persoane vizate toate informaţiile pe care aceasta are dreptul să le primească de la operatorul de date, în timp util, astfel încât persoana respectivă să aibă suficient timp să îşi exercite drepturile la protecţia datelor şi, în orice caz, înainte de raportarea informaţiilor.
Prin excepţie de la primul paragraf litera (b), fiecare stat membru stabileşte normele care impun Operatorilor de platforme care au obligaţia de raportare obligaţia de a informa Vânzătorii raportabili în legătură cu Contraprestaţia raportată.

(5)Informaţiile prelucrate în conformitate cu prezenta directivă se păstrează pentru o perioadă care nu depăşeşte perioada necesară pentru atingerea obiectivelor prezentei directive şi, în orice caz, în conformitate cu normele de drept intern referitoare la termenele de prescripţie aplicabile fiecărui operator de date.
(6)Statul membru în care a avut loc o încălcare a securităţii datelor raportează fără întârziere Comisiei încălcarea securităţii datelor şi eventuale măsuri de remediere ulterioare. Comisia informează fără întârziere toate statele membre cu privire la încălcarea securităţii datelor care i-a fost raportată sau de care are cunoştinţă şi cu privire la eventuale măsuri de remediere.
Fiecare stat membru poate suspenda schimbul de informaţii către statul membru (statele membre) în care a avut loc încălcarea securităţii datelor, notificând în scris Comisia şi statul membru (statele membre) în cauză. O astfel de suspendare are efect imediat.
Statul membru (statele membre) în care a avut loc încălcarea securităţii datelor investighează, opreşte şi remediază încălcarea securităţii datelor şi solicită Comisiei, printr-o cerere scrisă, suspendarea accesului la CCN în sensul prezentei directive, dacă încălcarea securităţii datelor nu poate fi oprită imediat şi în mod corespunzător. La cererea respectivă, Comisia suspendă accesul la CCN al statului membru (statelor membre) respectiv(e) în sensul prezentei directive.
După raportarea de către statul membru în care a avut loc încălcarea securităţii datelor a remedierii încălcării securităţii datelor, Comisia restabileşte accesul la CCN al statului membru (statelor membre) în cauză în sensul prezentei directive. În cazul în care unul sau mai multe state membre solicită Comisie să verifice în comun dacă încălcarea securităţii datelor a fost remediată cu succes, Comisia restabileşte accesul la CCN al statului membru (statelor membre) respectiv(e) în sensul prezentei directive după verificarea respectivă.
Atunci când are loc o încălcare a securităţii datelor în registrul central sau în CCN în sensul prezentei directive şi când ar putea fi afectat schimbul între statele membre prin intermediul CCN, Comisia informează statele membre cu privire la încălcarea securităţii datelor şi la eventualele măsuri de remediere luate, fără întârzieri nejustificate. Astfel de măsuri de remediere pot include suspendarea accesului la registrul central sau la CCN în sensul prezentei directive până la remedierea încălcării securităţii datelor.
(7)Statele membre, asistate de Comisie, convin asupra modalităţilor practice necesare pentru punerea în aplicare a prezentului articol, inclusiv asupra unor proceduri de gestionare a încălcărilor securităţii datelor care sunt aliniate la bunele practici recunoscute la nivel internaţional, şi, după caz, asupra unui acord comun între operatori de date, a unui acord între operatorul de date şi persoana împuternicită de operator sau a unor modele ale acestora.