Capitolul iv - Operatorul şi persoana împuternicită de către operator - Directiva 680/27-apr-2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
CAPITOLUL IV:Operatorul şi persoana împuternicită de către operator
Art. 19: Obligaţiile operatorului
(1)Statele membre garantează că, ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezenta directivă. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile menţionate la alineatul (1) includ punerea în aplicare de către operator a unor politici corespunzătoare de protecţie a datelor.
Art. 20: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
(1)Statele membre garantează că, având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare, precum şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât şi la cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minim a datelor şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentei directive şi a proteja drepturile persoanelor vizate.
(2)Statele membre garantează că operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate prin care să se asigure că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Obligaţia respectivă se aplică volumului de date cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, măsurile respective trebuie să asigure că, în mod implicit, datele cu caracter personal nu sunt accesibile, fără intervenţia persoanei fizice, unui număr nedefinit de persoane fizice.
Art. 21: Operatori asociaţi
(1)Statele membre garantează faptul că, atunci când doi sau mai mulţi operatori stabilesc în comun scopurile şi mijloacele de prelucrare, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile care revin fiecăruia în vederea respectării prezentei directive, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a informaţiilor prevăzute la articolul 13, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor sunt stabilite de dreptul Uniunii sau de dreptul intern care li se aplică. Acordul desemnează punctul de contact pentru persoanele vizate. Statele membre pot desemna care dintre operatorii asociaţi poate acţiona ca punct unic de contact pentru exercitarea de către persoanele vizate a drepturilor lor.
(2)Indiferent de termenii acordului menţionat la alineatul (1), statele membre pot să prevadă dispoziţii potrivit cărora persoana vizată îşi exercită drepturile cu privire la şi în raport cu fiecare dintre operatori în conformitate cu dispoziţiile adoptate în temeiul prezentei directive.
Art. 22: Persoana împuternicită de către operator
(1)Statele membre garantează că, atunci când o prelucrare urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care să ofere garanţii suficiente pentru punerea în aplicare a măsurilor tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentei directive şi să asigure protecţia drepturilor persoanei vizate.
(2)Statele membre garantează că persoana împuternicită de către operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii scrise generale, persoana împuternicită de către operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de către operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.
(3)Statele membre garantează că prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de către operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate, precum şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede, în special, că persoana împuternicită de operator:
a)acţionează numai la instrucţiunile operatorului;
b)garantează faptul că persoanele autorizate să prelucreze date cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie legală de confidenţialitate corespunzătoare;
c)asistă operatorul prin orice mijloace adecvate pentru a asigura respectarea dispoziţiilor privind drepturile persoanei vizate;
d)la alegerea operatorului, şterge sau returnează toate datele cu caracter personal operatorului după încetarea furnizării serviciilor de prelucrare a datelor şi elimină copiile existente, cu excepţia cazului în care dreptului Uniunii sau dreptul intern prevede stocarea datelor cu caracter personal;
e)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea prezentului articol;
f)respectă condiţiile menţionate la alineatele (2) şi (3) pentru recrutarea unei alte persoane împuternicite de către operator.
(4)Contractul sau un alt act juridic menţionat la alineatul (3) se întocmeşte în scris şi poate fi pus la dispoziţie în format electronic.
(5)În cazul în care o persoană împuternicită de către operator stabileşte, cu încălcarea prezentei directive, scopurile şi mijloacele de prelucrare, persoana împuternicită este considerată ca fiind operator în ceea ce priveşte prelucrarea respectivă.
Art. 23: Desfăşurarea activităţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de către operator
Statele membre garantează că persoana împuternicită de către operator şi orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de către operator care are acces la datele cu caracter personal prelucrează datele respective numai la cererea operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impun aceasta.
Art. 24: Evidenţe ale activităţilor de prelucrare
(1)Statele membre garantează că operatorul menţine o evidenţă a tuturor categoriilor de activităţi de prelucrare aflate în responsabilitatea sa. Respectiva evidenţă cuprinde toate informaţiile următoare:
a)numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat şi ale responsabilului cu protecţia datelor;
b)scopurile prelucrării;
c)categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
d)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
e)acolo unde este cazul, utilizarea creării de profiluri;
f)acolo unde este cazul, categoriile de transferuri de date cu caracter personal către o ţară terţă sau o organizaţie internaţională;
g)indicarea temeiului juridic al operaţiunii de prelucrare, inclusiv transferurile, pentru care sunt destinate datele cu caracter personal;
h)acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date cu caracter personal;
i)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 29 alineatul (1).
(2)Statele membre garantează că fiecare persoană împuternicită de către operator păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare desfăşurate în numele operatorului, evidenţă care cuprinde:
a)numele şi datele de contact ale persoanei sau persoanelor împuternicite de către operator, ale fiecărui operator în numele căruia acţionează această persoană (aceste persoane) şi, după caz, cele ale responsabilului cu protecţia datelor;
b)categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
c)acolo unde este cazul, transferurile de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională, inclusiv, identificarea ţării terţe sau a organizaţiei internaţionale respective, atunci când au primit instrucţiuni explicite în acest sens de la operator;
d)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 29 alineatul (1).
(3)Evidenţele menţionate la alineatele (1) şi (2) se păstrează în scris, inclusiv în format electronic.
Operatorul şi persoana împuternicită de acesta pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.
Art. 25: Înregistrarea
(1)Statele membre se asigură că se înregistrează cel puţin următoarele operaţiuni de prelucrare din cadrul sistemelor de prelucrare automată: colectarea, modificarea, consultarea, divulgarea inclusiv transferurile, combinarea şi ştergerea. Înregistrările consultărilor şi ale divulgărilor fac posibilă determinarea motivelor, a datei şi a momentului acestor operaţiuni şi, în măsura în care este posibil, identificarea persoanei care a consultat sau a divulgat date cu caracter personal şi identitatea destinatarilor acestor date cu caracter personal.
(2)Înregistrările sunt utilizate numai pentru verificarea legalităţii prelucrării, monitorizare proprie, asigurarea integrităţii şi a securităţii datelor cu caracter personal şi în cadrul unor proceduri penale.
(3)Operatorul şi persoana împuternicită de către operator pun înregistrările la dispoziţia autorităţii de supraveghere, la cererea acesteia.
Art. 26: Cooperarea cu autoritatea de supraveghere
Statele membre garantează că operatorul şi persoana împuternicită de către operator cooperează cu autoritatea de supraveghere, la cererea acesteia, în îndeplinirea sarcinilor acesteia.
Art. 27: Evaluarea impactului asupra protecţiei datelor
(1)În cazul în care un tip de prelucrare, în special care implică utilizarea de noi tehnologii, şi, ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, este susceptibil să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, statele membre garantează că operatorul, înainte de prelucrare, efectuează o evaluare a impactului operaţiunilor de prelucrare preconizate asupra protecţiei datelor cu caracter personal.
(2)Evaluarea menţionată la alineatul (1) cuprinde cel puţin o descriere generală a operaţiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor şi libertăţilor persoanelor vizate, măsurile preconizate în vederea abordării riscurilor, garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze respectarea prezentei directive, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale celorlalte persoane interesate.
Art. 28: Consultarea prealabilă a autorităţii de supraveghere
(1)Statele membre garantează că operatorul sau persoana împuternicită de către operator consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidenţă a datelor care urmează a fi creat, în cazul în care:
a)o evaluare a impactului asupra protecţiei datelor, prevăzută la articolul 27, indică faptul că prelucrarea ar genera un risc ridicat în absenţa măsurilor luate de operator pentru atenuarea riscului sau
b)un tip de prelucrare, în special în cazul în care se utilizează noi tehnologii, mecanisme sau proceduri, implică un risc ridicat la adresa drepturilor şi libertăţilor persoanelor vizate.
(2)Statele membre garantează că autoritatea de supraveghere este consultată în cadrul procesului de pregătire a unei propuneri de măsură legislativă care să fie adoptată de un parlament naţional sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrare.
(3)Statele membre garantează că autoritatea de supraveghere poate stabili o listă a operaţiunilor de prelucrare care fac obiectul consultării prealabile, în conformitate cu alineatul (1).
(4)Statele membre garantează că operatorul transmite autorităţii de supraveghere evaluarea impactului asupra protecţiei datelor în temeiul articolului 27 şi, la cererea acesteia, orice altă informaţie care permite autorităţii de supraveghere să evalueze conformitatea prelucrării şi în special riscurile la adresa protecţiei datelor cu caracter personal ale persoanei vizate şi garanţiile aferente.
(5)Statele membre garantează că atunci când autoritatea de supraveghere consideră că prelucrarea preconizată, menţionată la alineatul (1) din prezentul articol, ar încălca dispoziţiile adoptate în temeiul prezentei directive, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă consiliere în scris operatorului, în termen de cel mult şase săptămâni de la primirea cererii de consultare, şi, dacă este cazul, persoanei împuternicite de către operator, şi îşi poate recurge la oricare dintre competenţele menţionate la articolul 47. Termenul menţionat poate fi prelungit cu o lună, ţinându-se seama de complexitatea prelucrării preconizate. Autoritatea de supraveghere informează operatorul şi, dacă este cazul, persoana împuternicită de către operator, cu privire la prelungirea termenului respectiv, inclusiv cu privire la motivele prelungirii, în termen de o lună de la primirea cererii de consultare.
Art. 29: Securitatea prelucrării
(1)Statele membre garantează că, având în vedere stadiul actual al tehnologiei şi costurile implementării şi ţinând seama de natura,domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce priveşte prelucrarea categoriilor speciale de date cu caracter personal menţionate la articolul 10.
(2)În ceea ce priveşte prelucrarea automată, fiecare stat membru garantează că operatorul sau persoana împuternicită de către operator pune în aplicare, în urma unei evaluări a riscurilor, măsuri menite:
a)să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare utilizate pentru prelucrare ("controlul accesului la echipamente");
b)să împiedice orice citire, copiere, modificare sau eliminare neautorizată a suporturilor de date ("controlul suporturilor de date");
c)să împiedice introducerea neautorizată de date cu caracter personal şi inspectarea, modificarea sau ştergerea neautorizată a datelor cu caracter personal stocate ("controlul stocării");
d)să împiedice utilizarea sistemelor de prelucrare automată de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor ("controlul utilizatorului");
e)să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată au acces numai la datele cu caracter personal pentru care au autorizare ("controlul accesului la date");
f)să asigure că este posibilă verificarea şi identificarea organismelor cărora le-au fost transmise sau puse la dispoziţie sau s-ar putea să le fie transmise sau puse la dispoziţie date cu caracter personal utilizându-se echipamente de comunicare a datelor ("controlul comunicării");
g)să asigure că este posibil ulterior să se verifice şi să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată, momentul introducerii datelor cu caracter personal şi entitatea care le-a introdus ("controlul introducerii datelor");
h)să împiedice citirea, copierea, modificarea sau ştergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date ("controlul transportării");
i)să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi ("recuperarea");
j)să asigure funcţionarea sistemului, raportarea defecţiunilor de funcţionare (fiabilitate) şi imposibilitatea coruperii datelor cu caracter personal stocate din cauza funcţionării defectuoase a sistemului ("integritate").
Art. 30: Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal
(1)Statele membre garantează că, în cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere fără întârzieri nejustificate şi, în cazul în care este posibil, în cel mult 72 de ore după ce a luat cunoştinţă de aceasta, cu excepţia cazului în care încălcarea securităţii datelor cu caracter personal nu este susceptibilă să genereze un risc la adresa drepturilor şi libertăţilor persoanelor fizice. În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este însoţită de o explicaţie motivată pentru întârziere.
(2)Persoana împuternicită de către operator înştiinţează operatorul fără întârzieri nejustificate după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
(3)Notificarea menţionată la alineatul (1) trebuie, cel puţin:
a)să descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ de persoane vizate în cauză, precum şi categoriile şi numărul aproximativ de înregistrări de date cu caracter personal în cauză;
b)să comunice numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
c)să descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
d)să descrie măsurile luate sau propuse de operator pentru a remedia încălcarea securităţii datelor cu caracter personal, inclusiv, dacă este cazul, măsuri pentru a atenua eventualele efecte adverse ale acesteia.
(4)În cazul în care şi în măsura în care furnizarea informaţiilor în acelaşi timp nu este posibilă, informaţiile pot fi furnizate treptat, fără întârzieri nejustificate.
(5)Statele membre garantează că operatorul păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, menţionate la alineatul (1), care cuprind o descriere a situaţiei în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Această documentaţie trebuie să permită autorităţii de supraveghere să verifice respectarea prezentului articol.
(6)Statele membre garantează că, în cazul în care încălcarea securităţii datelor implică date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau către un astfel de operator, informaţiile prevăzute la alineatul (3) se comunică operatorului din respectivul stat membru fără întârzieri nejustificate.
Art. 31: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1)Statele membre garantează că, în cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securităţii datelor cu caracter personal.
(2)În informarea transmisă persoanei vizate, prevăzută la alineatul (1) din prezentul articol, se include o descriere într-un limbaj simplu şi clar a caracterului încălcării securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi măsurile menţionate la articolul 30 alineatul (3) literele (b), (c) şi (d).
(3)Informarea persoanei vizate, menţionată la alineatul (1), nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:
a)operatorul a pus în aplicare măsuri tehnologice şi organizatorice adecvate de protecţie, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b)operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat la adresa drepturilor şi libertăţilor persoanelor vizate menţionat la alineatul (1) nu mai este susceptibil să se materializeze;
c)aceasta ar necesita un efort disproporţionat. În acest caz, informarea se înlocuieşte printr-o informare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
(4)În cazul în care operatorul nu a informat deja persoana vizată cu privire la încălcarea securităţii datelor cu caracter personal, autoritatea de supraveghere, luând în considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite să facă acest lucru sau poate decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.
(5)Informarea persoanei vizate menţionată la alineatul (1) din prezentul articol poate fi amânată, restricţionată sau omisă, sub rezerva condiţiilor şi a motivelor menţionate la articolul 13 alineatul (3).
Art. 32: Desemnarea responsabilului cu protecţia datelor
(1)Statele membre garantează că operatorul desemnează un responsabil cu protecţia datelor. Statele membre pot scuti de această obligaţie instanţele şi alte autorităţi judiciare independente atunci când acţionează în exerciţiul funcţiei lor judiciare.
(2)Responsabilul cu protecţia datelor este desemnat pe baza calităţilor sale profesionale şi, în special, a cunoştinţelor de specialitate în domeniul legislaţiei şi practicilor privind protecţia datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 34.
(3)Un unic responsabil cu protecţia datelor poate fi desemnat pentru mai multe autorităţi competente, luând în considerare structura organizatorică şi dimensiunea acestora.
(4)Statele membre garantează că operatorul publică datele de contact ale responsabilului cu protecţia datelor şi le transmite autorităţii de supraveghere.
Art. 33: Funcţia responsabilului cu protecţia datelor
(1)Statele membre impun operatorului să se asigure că responsabilul cu protecţia datelor este consultat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal.
(2)Operatorul sprijină responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 34, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesul la datele cu caracter personal şi la operaţiunile de prelucrare, şi să îşi menţină cunoştinţele de specialitate.
Art. 34: Sarcinile responsabilului cu protecţia datelor
Statele membre garantează că operatorul încredinţează responsabilului cu protecţia datelor cel puţin următoarele sarcini:
(a)informarea şi consilierea operatorului şi a angajaţilor care efectuează prelucrarea cu privire la obligaţiile care le revin în temeiul prezentei directive şi al altor dispoziţii de drept al Uniunii sau de drept intern privind protecţia datelor;
(b)monitorizarea respectării prezentei directive, a altor dispoziţii de drept al Uniunii sau de drept intern privind protecţia datelor şi a politicilor operatorului în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
(c)furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 27;
(d)cooperarea cu autoritatea de supraveghere;
(e)asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 28, precum şi, dacă este cazul, acordarea consultanţei cu privire la orice altă chestiune.