Secţiunea 1 - Obligaţii generale - Directiva 680/27-apr-2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului

Acte UE

Jurnalul Oficial 119L

În vigoare
Versiune de la: 23 Mai 2018
Secţiunea 1:Obligaţii generale
Art. 19: Obligaţiile operatorului
(1)Statele membre garantează că, ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezenta directivă. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile menţionate la alineatul (1) includ punerea în aplicare de către operator a unor politici corespunzătoare de protecţie a datelor.
Art. 20: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
(1)Statele membre garantează că, având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare, precum şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât şi la cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minim a datelor şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentei directive şi a proteja drepturile persoanelor vizate.
(2)Statele membre garantează că operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate prin care să se asigure că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Obligaţia respectivă se aplică volumului de date cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, măsurile respective trebuie să asigure că, în mod implicit, datele cu caracter personal nu sunt accesibile, fără intervenţia persoanei fizice, unui număr nedefinit de persoane fizice.
Art. 21: Operatori asociaţi
(1)Statele membre garantează faptul că, atunci când doi sau mai mulţi operatori stabilesc în comun scopurile şi mijloacele de prelucrare, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile care revin fiecăruia în vederea respectării prezentei directive, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a informaţiilor prevăzute la articolul 13, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor sunt stabilite de dreptul Uniunii sau de dreptul intern care li se aplică. Acordul desemnează punctul de contact pentru persoanele vizate. Statele membre pot desemna care dintre operatorii asociaţi poate acţiona ca punct unic de contact pentru exercitarea de către persoanele vizate a drepturilor lor.
(2)Indiferent de termenii acordului menţionat la alineatul (1), statele membre pot să prevadă dispoziţii potrivit cărora persoana vizată îşi exercită drepturile cu privire la şi în raport cu fiecare dintre operatori în conformitate cu dispoziţiile adoptate în temeiul prezentei directive.
Art. 22: Persoana împuternicită de către operator
(1)Statele membre garantează că, atunci când o prelucrare urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care să ofere garanţii suficiente pentru punerea în aplicare a măsurilor tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentei directive şi să asigure protecţia drepturilor persoanei vizate.
(2)Statele membre garantează că persoana împuternicită de către operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii scrise generale, persoana împuternicită de către operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de către operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.
(3)Statele membre garantează că prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de către operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate, precum şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede, în special, că persoana împuternicită de operator:
a)acţionează numai la instrucţiunile operatorului;
b)garantează faptul că persoanele autorizate să prelucreze date cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie legală de confidenţialitate corespunzătoare;
c)asistă operatorul prin orice mijloace adecvate pentru a asigura respectarea dispoziţiilor privind drepturile persoanei vizate;
d)la alegerea operatorului, şterge sau returnează toate datele cu caracter personal operatorului după încetarea furnizării serviciilor de prelucrare a datelor şi elimină copiile existente, cu excepţia cazului în care dreptului Uniunii sau dreptul intern prevede stocarea datelor cu caracter personal;
e)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea prezentului articol;
f)respectă condiţiile menţionate la alineatele (2) şi (3) pentru recrutarea unei alte persoane împuternicite de către operator.
(4)Contractul sau un alt act juridic menţionat la alineatul (3) se întocmeşte în scris şi poate fi pus la dispoziţie în format electronic.
(5)În cazul în care o persoană împuternicită de către operator stabileşte, cu încălcarea prezentei directive, scopurile şi mijloacele de prelucrare, persoana împuternicită este considerată ca fiind operator în ceea ce priveşte prelucrarea respectivă.
Art. 23: Desfăşurarea activităţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de către operator
Statele membre garantează că persoana împuternicită de către operator şi orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de către operator care are acces la datele cu caracter personal prelucrează datele respective numai la cererea operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impun aceasta.
Art. 24: Evidenţe ale activităţilor de prelucrare
(1)Statele membre garantează că operatorul menţine o evidenţă a tuturor categoriilor de activităţi de prelucrare aflate în responsabilitatea sa. Respectiva evidenţă cuprinde toate informaţiile următoare:
a)numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat şi ale responsabilului cu protecţia datelor;
b)scopurile prelucrării;
c)categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
d)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
e)acolo unde este cazul, utilizarea creării de profiluri;
f)acolo unde este cazul, categoriile de transferuri de date cu caracter personal către o ţară terţă sau o organizaţie internaţională;
g)indicarea temeiului juridic al operaţiunii de prelucrare, inclusiv transferurile, pentru care sunt destinate datele cu caracter personal;
h)acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date cu caracter personal;
i)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 29 alineatul (1).
(2)Statele membre garantează că fiecare persoană împuternicită de către operator păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare desfăşurate în numele operatorului, evidenţă care cuprinde:
a)numele şi datele de contact ale persoanei sau persoanelor împuternicite de către operator, ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane) şi, după caz, cele ale responsabilului cu protecţia datelor;

b)categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
c)acolo unde este cazul, transferurile de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională, inclusiv, identificarea ţării terţe sau a organizaţiei internaţionale respective, atunci când au primit instrucţiuni explicite în acest sens de la operator;
d)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 29 alineatul (1).
(3)Evidenţele menţionate la alineatele (1) şi (2) se păstrează în scris, inclusiv în format electronic.
Operatorul şi persoana împuternicită de acesta pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.
Art. 25: Înregistrarea
(1)Statele membre se asigură că se înregistrează cel puţin următoarele operaţiuni de prelucrare din cadrul sistemelor de prelucrare automată: colectarea, modificarea, consultarea, divulgarea inclusiv transferurile, combinarea şi ştergerea. Înregistrările consultărilor şi ale divulgărilor fac posibilă determinarea motivelor, a datei şi a momentului acestor operaţiuni şi, în măsura în care este posibil, identificarea persoanei care a consultat sau a divulgat date cu caracter personal şi identitatea destinatarilor acestor date cu caracter personal.
(2)Înregistrările sunt utilizate numai pentru verificarea legalităţii prelucrării, monitorizare proprie, asigurarea integrităţii şi a securităţii datelor cu caracter personal şi în cadrul unor proceduri penale.
(3)Operatorul şi persoana împuternicită de către operator pun înregistrările la dispoziţia autorităţii de supraveghere, la cererea acesteia.
Art. 26: Cooperarea cu autoritatea de supraveghere
Statele membre garantează că operatorul şi persoana împuternicită de către operator cooperează cu autoritatea de supraveghere, la cererea acesteia, în îndeplinirea sarcinilor acesteia.
Art. 27: Evaluarea impactului asupra protecţiei datelor
(1)În cazul în care un tip de prelucrare, în special care implică utilizarea de noi tehnologii, şi, ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, este susceptibil să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, statele membre garantează că operatorul, înainte de prelucrare, efectuează o evaluare a impactului operaţiunilor de prelucrare preconizate asupra protecţiei datelor cu caracter personal.
(2)Evaluarea menţionată la alineatul (1) cuprinde cel puţin o descriere generală a operaţiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor şi libertăţilor persoanelor vizate, măsurile preconizate în vederea abordării riscurilor, garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze respectarea prezentei directive, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale celorlalte persoane interesate.
Art. 28: Consultarea prealabilă a autorităţii de supraveghere
(1)Statele membre garantează că operatorul sau persoana împuternicită de către operator consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidenţă a datelor care urmează a fi creat, în cazul în care:
a)o evaluare a impactului asupra protecţiei datelor, prevăzută la articolul 27, indică faptul că prelucrarea ar genera un risc ridicat în absenţa măsurilor luate de operator pentru atenuarea riscului sau
b)un tip de prelucrare, în special în cazul în care se utilizează noi tehnologii, mecanisme sau proceduri, implică un risc ridicat la adresa drepturilor şi libertăţilor persoanelor vizate.
(2)Statele membre garantează că autoritatea de supraveghere este consultată în cadrul procesului de pregătire a unei propuneri de măsură legislativă care să fie adoptată de un parlament naţional sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrare.
(3)Statele membre garantează că autoritatea de supraveghere poate stabili o listă a operaţiunilor de prelucrare care fac obiectul consultării prealabile, în conformitate cu alineatul (1).
(4)Statele membre garantează că operatorul transmite autorităţii de supraveghere evaluarea impactului asupra protecţiei datelor în temeiul articolului 27 şi, la cererea acesteia, orice altă informaţie care permite autorităţii de supraveghere să evalueze conformitatea prelucrării şi în special riscurile la adresa protecţiei datelor cu caracter personal ale persoanei vizate şi garanţiile aferente.
(5)Statele membre garantează că atunci când autoritatea de supraveghere consideră că prelucrarea preconizată, menţionată la alineatul (1) din prezentul articol, ar încălca dispoziţiile adoptate în temeiul prezentei directive, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă consiliere în scris operatorului, în termen de cel mult şase săptămâni de la primirea cererii de consultare, şi, dacă este cazul, persoanei împuternicite de către operator, şi îşi poate recurge la oricare dintre competenţele menţionate la articolul 47. Termenul menţionat poate fi prelungit cu o lună, ţinându-se seama de complexitatea prelucrării preconizate. Autoritatea de supraveghere informează operatorul şi, dacă este cazul, persoana împuternicită de către operator, cu privire la prelungirea termenului respectiv, inclusiv cu privire la motivele prelungirii, în termen de o lună de la primirea cererii de consultare.