Directiva 95/46/CE/24-oct-1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date
Acte UE
Editia Speciala a Jurnalului Oficial
Ieşit din vigoare Versiune de la: 1 Ianuarie 2007
Directiva 95/46/CE/24-oct-1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date
Dată act: 24-oct-1995
Emitent: Parlamentul European;Consiliul Uniunii Europene
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul de instituire a Comunităţii Europene, în special articolul 100a,
având în vedere propunerea Comisiei (1),
(1)JO C 277, 5.11.1990, p. 3. JO C 311, 27.11.1992, p. 30.
având în vedere avizul Comitetului Economic şi Social (2),
(2)JOC 159, 17.6.1991, p. 38.
hotărând în conformitate cu procedura menţionată la articolul 189b din tratat (3),
(3)Avizul Parlamentului European din 11 martie 1992 (JO C 94, 13.4.1992, p. 198), confirmat la 2 decembrie 1993 (JO C 342, 20.12.1993, p. 30); Poziţia comună a Consiliului din 20 februarie 1995 (JO C 93, 13.4.1995, p. 1) şi Decizia Parlamentului European din 15 iunie 1995 (JO C 166, 3.7.1995).
(1)Întrucât obiectivele Comunităţii, prevăzute în tratat, astfel cum a fost modificat prin Tratatul privind Uniunea Europeană, includ crearea unei uniuni tot mai strânse între popoarele Europei, promovând relaţii mai strânse între statele membre care aparţin Comunităţii, asigurând progresul economic şi social printr-o acţiune comună de eliminare a barierelor care împart Europa, încurajând îmbunătăţirea constantă a condiţiilor de viaţă a popoarelor, menţinând şi întărind pacea şi libertatea şi promovând democraţia pe baza drepturilor fundamentale recunoscute în constituţiile şi legislaţiile statelor membre, precum şi în Convenţia europeană pentru apărarea drepturilor omului şi libertăţilor fundamentale;
(2)Întrucât sistemele de prelucrare a datelor sunt în serviciul omului; întrucât, acestea trebuie, indiferent de naţionalitatea sau reşedinţa persoanelor fizice, să le respecte drepturile şi libertăţile fundamentale, în special dreptul la viaţă privată, şi să contribuie la progresul economic şi social, la dezvoltarea comerţului şi la bunăstarea persoanelor;
(3)Întrucât instituirea şi funcţionarea unei pieţe interne în care este asigurată, în conformitate cu articolul 7a din tratat, libera circulaţie a bunurilor, persoanelor, serviciilor şi capitalurilor necesită nu numai libera circulaţie a datelor cu caracter personal de la un stat membru la altul, ci şi garantarea drepturilor fundamentale ale persoanei;
(4)Întrucât în Comunitate se recurge din ce în ce mai frecvent la prelucrarea datelor cu caracter personal în diferitele sfere ale activităţii economice şi sociale; întrucât progresul în tehnologia informaţională facilitează considerabil prelucrarea şi schimbul acestor date;
(5)Întrucât integrarea economică şi socială care rezultă din instituirea şi funcţionarea pieţei interne în sensul articolului 7a din tratat conduce în mod necesar la o creştere substanţială a fluxului transfrontalier de date cu caracter personal între cei implicaţi, în calitate de participanţi privaţi sau publici la activitatea economică şi socială din statele membre; întrucât schimbul de date cu caracter personal între întreprinderile stabilite în diferite state membre este ţinut să crească; întrucât autorităţile naţionale din diferite state membre sunt solicitate, în temeiul dreptului comunitar, să colaboreze şi să schimbe date cu caracter personal astfel încât să-şi poată îndeplini atribuţiile sau să îndeplinească sarcini pe seama unei autorităţi din alt stat membru în contextul unui spaţiu fără frontiere interne care constituie piaţa internă;
(6)Întrucât, în plus, intensificarea cooperării ştiinţifice şi tehnice şi introducerea coordonată de noi reţele de telecomunicaţii în Comunitate necesită şi facilitează fluxurile transfrontaliere de date cu caracter personal;
(7)Întrucât diferenţa dintre nivelurile de protecţie a drepturilor şi libertăţilor persoanelor, în special a dreptului la viaţă privată în ceea ce priveşte prelucrarea datelor cu caracter personal permisă în statele membre poate împiedica transmiterea unor astfel de date de pe teritoriul unui stat membru pe cel al altui stat membru; întrucât această diferenţă poate constitui, prin urmare, un obstacol în desfăşurarea unor activităţi economice la nivel comunitar, poate denatura concurenţa şi poate împiedica autorităţile să-şi îndeplinească responsabilităţile conform dreptului comunitar; întrucât diferenţa dintre nivelurile de protecţie se datorează disparităţilor între actele cu putere de lege şi actele administrative interne;
(8)Întrucât, pentru a îndepărta obstacolele din calea circulaţiei datelor cu caracter personal, nivelul protecţiei drepturilor şi libertăţilor persoanei în ceea ce priveşte prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre; întrucât acest obiectiv este vital pentru piaţa internă, dar nu poate fi atins numai de statele membre, în special având în vedere dimensiunea divergenţelor existente în prezent între legislaţiile interne ale statelor membre şi necesitatea de coordonare a legislaţiilor statelor membre astfel încât să reglementeze fluxul transfrontalier de date cu caracter personal în mod coerent, şi conform cu obiectivele pieţei interne menţionate în articolul 7a din tratat; întrucât acţiunea Comunităţii de apropiere a legislaţiilor este prin urmare necesară;
(9)Întrucât, dată fiind protecţia echivalentă care rezultă din apropierea legislaţiilor interne, statele membre nu vor mai putea împiedica libera circulaţie a datelor cu caracter personal din considerente de protecţie a drepturilor şi libertăţilor persoanei, în special a dreptului la viaţă privată; întrucât statele membre vor avea o marjă de manevră care, în contextul punerii în aplicare a directivei, poate fi folosită de partenerii economici şi sociali; întrucât statele membre vor putea specifica în legislaţia internă condiţiile generale care reglementează legalitatea prelucrării datelor; întrucât procedând astfel, statele membre depun toate eforturile pentru îmbunătăţirea protecţiei asigurate în prezent de legislaţia lor; întrucât, în limitele acestei marje de manevră şi în conformitate cu dreptul comunitar, pot apărea diferenţe în aplicarea directivei, ceea ce ar putea afecta circulaţia datelor atât în cadrul statelor membre, cât şi în Comunitate;
(10)întrucât obiectivul legislaţiei interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile şi libertăţile fundamentale, inclusiv dreptul la viaţă privată care este recunoscut atât prin articolul 8 din Convenţia Europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale, cât şi în principiile generale ale dreptului comunitar; întrucât, din acest motiv, apropierea acestor legislaţii nu trebuie să aibă ca rezultat scăderea protecţiei pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecţie în Comunitate;
(11)întrucât principiile protecţiei drepturilor şi libertăţilor persoanelor, inclusiv a dreptului la viaţă privată, conţinute şi în prezenta directivă le precizează şi le amplifică pe acelea conţinute în Convenţia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal;
(12)întrucât principiile protecţiei trebuie să se aplice tuturor prelucrărilor de date cu caracter personal efectuate de orice persoană ale cărei activităţi sunt reglementate de dreptul comunitar; întrucât trebuie excluse prelucrările de date efectuate de o persoană fizică în exercitarea unor activităţi exclusiv personale sau domestice, precum corespondenţa şi păstrarea repertoarului de adrese;
(13)întrucât activităţile menţionate la titlurile V şi VI din Tratatul privind Uniunea Europeană legate de siguranţa publică, apărarea, securitatea statului sau activităţile statului din domeniul penal nu intră în domeniul de aplicare a dreptului comunitar, fără a aduce atingere obligaţiilor care le revin statelor membre în conformitate cu articolul 56 alineatul (2), articolul 57 sau articolul 100 A din tratat; întrucât prelucrarea datelor cu caracter personal care este necesară pentru ocrotirea bunăstării economice a statelor nu intră în domeniul de aplicare a prezentei directive, dacă prelucrarea respectivă se referă la chestiuni de securitate a statului;
(14)întrucât, ţinând seama de importanţa evoluţiei, în cadrul societăţii informaţionale, a tehnicilor utilizate pentru captarea, transmiterea, manipularea, înregistrarea, stocarea sau comunicarea datelor constituite din sunete şi imagini privind persoane fizice, prezenta directivă se aplică prelucrării unor astfel de date;
(15)întrucât prelucrarea datelor este reglementată de prezenta directivă numai dacă este automatizată sau dacă datele prelucrate sunt cuprinse sau sunt destinate să fie cuprinse într-un sistem de evidenţă structurat în conformitate cu criteriile specifice privind persoanele, astfel încât să permită accesul uşor la datele cu caracter personal în cauză;
(16)întrucât prelucrarea datelor constituite din sunete şi imagini, cum este cazul supravegherilor video, nu intră în domeniul de aplicare a prezentei directive, dacă sunt efectuate în scopuri de siguranţă publică, apărare, securitate naţională ori în cursul activităţilor statului din domeniul dreptului penal sau în cursul altor activităţi care nu intră în domeniul de aplicare a dreptului comunitar;
(17)întrucât în ceea ce priveşte prelucrarea datelor constituite din sunete şi imagini în scopuri jurnalistice, literare sau artistice, în special în domeniul audiovizual, principiile directivei se aplică în mod restrictiv, în conformitate cu dispoziţiile articolului 9;
(18)întrucât, pentru a garanta că persoanele nu sunt private de protecţia la care au dreptul în conformitate cu prezenta directivă, orice prelucrare a datelor cu caracter personal în Comunitate trebuie efectuată în conformitate cu legislaţia unuia dintre statele membre; întrucât, în acest sens, prelucrarea efectuată sub responsabilitatea unui operator stabilit într-un stat membru se supune legislaţiei statului respectiv;
(19)întrucât stabilirea pe teritoriul unui stat membru presupune exercitarea efectivă şi reală a unei activităţi într-o formă de instalare stabilă; întrucât forma juridică a stabilirii, fie că este doar sucursală, fie că este filială cu personalitate juridică, nu este factorul determinant în această privinţă; întrucât, dacă un singur operator are sediul pe teritoriul mai multor state membre, în special prin intermediul filialelor, acesta trebuie să se asigure, pentru a evita orice eludare a reglementărilor de drept intern, că fiecare sediu îndeplineşte obligaţiile prevăzute de dreptul intern aplicabil activităţilor sale;
(20)întrucât faptul că prelucrarea datelor este efectuată de o persoană stabilită într-o ţară terţă nu trebuie să împiedice protecţia persoanelor prevăzută în prezenta directivă; întrucât, în aceste cazuri, prelucrarea este reglementată de legislaţia statelor membre în care sunt amplasate mijloacele de prelucrare şi trebuie să existe garanţii că drepturile şi obligaţiile prevăzute în prezenta directivă sunt respectate în practică;
(21)întrucât prezenta directivă nu aduce atingere normelor de teritorialitate aplicabile în materie penală;
(22)întrucât statele membre trebuie să precizeze în legislaţia lor sau la punerea în aplicare a măsurilor adoptate în temeiul prezentei directive, circumstanţele generale în care prelucrarea este legală; întrucât în special articolul 5 coroborat cu articolele 7 şi 8 permite statelor membre, independent de normele generale, să prevadă condiţii de prelucrare speciale pentru sectoare specifice şi pentru diferitele categorii de date menţionate la articolul 8;
(23)întrucât statele membre sunt împuternicite să asigure punerea în aplicare a protecţiei persoanei atât prin intermediul unui act general cu putere de lege privind protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal, cât şi prin acte cu putere de lege în anumite sectoare cum ar fi cele referitoare, de exemplu, la institutele de statistică;
(24)întrucât prezenta directivă nu aduce atingere legislaţiilor privind protecţia persoanelor juridice în ceea ce priveşte prelucrarea datelor care le privesc;
(25)întrucât principiile protecţiei trebuie să se reflecte, pe de o parte, în obligaţiile impuse persoanelor, autorităţilor publice, întreprinderilor, agenţiilor sau altor organisme care prelucrează date, în special în materie de calitatea datelor, siguranţa tehnică, notificarea autorităţii de supraveghere, circumstanţele în care poate fi efectuată prelucrarea şi, pe de altă parte, în dreptul conferit persoanelor ale căror date fac obiectul prelucrării de a fi informate cu privire la aceasta, de a putea avea acces la date, de a putea solicita corectarea lor şi chiar de a se opune prelucrării în anumite circumstanţe;
(26)întrucât principiile protecţiei trebuie să se aplice oricărei informaţii privind o persoană identificată sau identificabilă; întrucât, pentru a determina dacă o persoană este identificabilă este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată; întrucât principiile protecţiei nu se aplică datelor anonime astfel încât persoana vizată să nu mai fie identificabilă; întrucât codurile de conduită în sensul articolului 27 pot fi un instrument util pentru a furniza indicaţii asupra modului în care datele pot fi transformate în date anonime şi stocate într-o formă în care nu mai pot permite identificarea persoanei vizate;
(27)întrucât protecţia persoanelor trebuie să se aplice atât prelucrării automatizate, cât şi prelucrării manuale a datelor; întrucât sfera protecţiei în cauză nu trebuie să depindă în fapt de tehnicile utilizate, în caz contrar creându-se un risc serios de eludare a dispoziţiilor; întrucât, în ceea ce priveşte prelucrarea manuală, prezenta directivă acoperă totuşi numai sistemele de evidenţă a datelor, nu şi dosarelor nestructurate; întrucât, în special, conţinutul unui sistem de evidenţă trebuie să fie structurat în conformitate cu criterii specifice privind persoanele, care să permită accesul uşor la datele cu caracter personal; întrucât, în conformitate cu definiţia de la articolul 2 litera (c), diferitele criterii de determinare a elementelor unui set structurat de date cu caracter personal şi diferitele criterii care reglementează accesul la un astfel de set pot fi stabilite de fiecare stat membru;
întrucât dosarele sau seriile de dosare, precum şi copertele acestora care nu sunt structurate în conformitate cu criterii specifice nu intră în nici un caz în domeniul de aplicare a prezentei directive;
(28)întrucât orice prelucrare de date cu caracter personal trebuie să fie legală şi onestă faţă de persoanele vizate; întrucât, în special, datele trebuie să fie adecvate, pertinente şi neexcesive în ceea ce priveşte scopurile în care sunt prelucrate; întrucât scopurile trebuie să fie explicite şi legitime şi să fie determinate la data colectării datelor; întrucât scopurile prelucrării după colectare nu trebuie să fie incompatibile cu scopurile specificate iniţial;
(29)întrucât prelucrarea ulterioară a datelor cu caracter personal în scopuri istorice, statistice sau ştiinţifice nu este incompatibilă cu scopurile pentru care au fost colectate anterior datele, în măsura în care statele membre prevăd garanţiile adecvate; întrucât aceste garanţii trebuie să împiedice, în special, folosirea datelor în sprijinul unor măsuri sau decizii împotriva unei anumite persoane;
(30)întrucât, pentru a fi legală, prelucrarea datelor cu caracter personal trebuie, în plus, să fie efectuată cu consimţământul persoanei vizate sau să fie necesară pentru încheierea sau executarea unui contract care obligă persoanele vizate, fie să respecte o obligaţie legală, fie să execute o sarcină de interes public sau care rezultă din exercitarea autorităţii publice, fie, chiar să realizeze un interes legitim al unei persoane fizice sau juridice, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile persoanei vizate; întrucât, în special, pentru a menţine echilibrul între interesele în cauză garantând în acelaşi timp concurenţa efectivă, statele membre pot preciza condiţiile în care datele cu caracter personal pot fi utilizate şi comunicate terţilor în contextul activităţilor legitime de gestionare curentă ale societăţilor comerciale şi ale altor organisme; întrucât, în mod similar, statele membre pot preciza condiţiile în care datele cu caracter personal pot fi comunicate terţilor pentru prospectare comercială, prospectare efectuată fie de o asociaţie cu scop caritabil, fie de alte asociaţii sau fundaţii, de exemplu cu caracter politic, cu respectarea dispoziţiilor care permit persoanelor vizate să se opună prelucrării datelor referitoare la ele, gratuit şi fără să trebuiască să îşi expună motivele;
(31)întrucât prelucrarea datelor cu caracter personal trebuie, de asemenea, să fie privită ca legală dacă este realizată în scopul de a proteja un interes care este esenţial pentru viaţa persoanei vizate;
(32)întrucât este de competenţa legislaţiei interne să stabilească dacă acel operator care îndeplineşte o sarcină de interes public sau în exercitarea autorităţii publice trebuie să fie o administraţie publică sau altă persoană fizică sau juridică de drept public sau de drept privat, cum ar fi o asociaţie profesională;
(33)întrucât datele care pot, prin natura lor, să aducă atingere libertăţilor fundamentale sau vieţii private, nu ar trebui să fie prelucrate fără consimţământul explicit al persoanei vizate; întrucât, cu toate acestea, trebuie prevăzute derogări în mod expres de la această interdicţie, în cazul nevoilor specifice, în special atunci când prelucrarea datelor se realizează în anumite scopuri referitoare la sănătatea persoanelor supuse unei obligaţii de secret profesional sau pentru realizarea activităţilor legitime de anumite asociaţii sau fundaţii al căror scop este să permită exercitarea libertăţilor fundamentale;
(34)întrucât statele membre trebuie, de asemenea, să fie autorizate să deroge de la interdicţia privind prelucrarea categoriilor de date sensibile atunci când aceasta se justifică din motive de interes public important în domenii cum ar fi sănătatea publică şi protecţia socială - în special în scopul asigurării calităţii şi rentabilităţii în ceea ce priveşte procedurile folosite pentru soluţionarea cererilor de prestaţii şi servicii în sistemul asigurărilor de sănătate - cercetarea ştiinţifică şi statistica guvernamentală; întrucât este totuşi de datoria lor să prevadă garanţii specifice şi corespunzătoare în scopul protejării drepturilor fundamentale şi vieţii private a persoanelor;
(35)întrucât, în plus, prelucrarea datelor cu caracter personal de către autorităţile publice pentru atingerea unor scopuri, care sunt stabilite în dreptul constituţional sau în dreptul internaţional public, în beneficiul asociaţiilor religioase recunoscute oficial se realizează pentru un motiv de interes public important;
(36)întrucât, dacă în cursul activităţilor electorale funcţionarea sistemului democratic presupune, în anumite state membre, ca partidele politice să colecteze date privind opinia politică a persoanelor, prelucrarea unor astfel de date poate fi autorizată din motive legate de un interes public important, cu condiţia să se prevadă garanţiile necesare;
(37)întrucât prelucrarea datelor cu caracter personal în scopuri jurnalistice, literare sau artistice, în special în domeniul audiovizualului, trebuie să beneficieze de derogări sau de restricţii de la cerinţele anumitor dispoziţii ale prezentei directive în măsura în care ele sunt necesare în vederea punerii drepturilor fundamentale ale persoanei în acord cu libertatea de exprimare şi în special cu libertatea a primi sau de a difuza informaţii, aşa cum este garantată în special prin articolul 10 din Convenţia europeană de apărare a drepturilor omului şi a libertăţilor fundamentale; întrucât statele membre, în scopul menţinerii unui echilibru între drepturile fundamentale, trebuie să stabilească derogările şi restricţiile, necesare în ceea ce priveşte măsurile generale privind legalitatea prelucrării datelor, măsurile privind transferul de date în ţări terţe, precum şi competenţele autorităţilor de supraveghere; întrucât acest lucru nu trebuie totuşi să conducă statele membre la stabilirea unor derogări de la măsurile menite să garanteze securitatea prelucrării; întrucât ar fi oportun, de asemenea, să se confere a posteriori cel puţin autorităţii de supraveghere anumite competenţe în domeniu, constând de exemplu în publicarea cu regularitate a unui raport sau în sesizarea autorităţilor judiciare;
(38)întrucât, dacă prelucrarea datelor este corectă, persoanele vizate ar trebui să aibă posibilitatea de a afla despre existenţa prelucrărilor şi să beneficieze, atunci când datele sunt colectate de la acestea, de o informare precisă şi completă, ţinând seama de circumstanţele colectării;
(39)întrucât anumite prelucrări implică date pe care operatorul nu le-a colectat direct de la subiect; întrucât, mai mult decât atât, datele pot fi comunicate în mod legitim unui terţ, chiar atunci când această comunicare nu a fost prevăzută în momentul colectării datelor de la persoana vizată; întrucât, în toate aceste cazuri, persoana vizată trebuie informată atunci când se înregistrează datele sau cel târziu atunci când datele sunt comunicate pentru prima dată unui terţ;
(40)întrucât, cu toate acestea, nu este necesară impunerea acestei obligaţii dacă persoana vizată este deja informată; întrucât, în plus, această obligaţie nu a fost prevăzută dacă această înregistrare sau comunicare este prevăzută în mod expres de lege sau dacă informarea persoanei vizate se dovedeşte imposibilă sau implică eforturi disproporţionate, aşa cum se întâmplă în cazul prelucrărilor în scopuri istorice, statistice sau ştiinţifice; întrucât, în această privinţă, poate fi luat în considerare numărul persoanelor vizate, vechimea datelor, precum şi măsurile compensatorii care pot fi adoptate;
(41)întrucât orice persoană trebuie să poată beneficia de dreptul de acces la datele cu caracter personal care fac obiectul prelucrării, pentru a se asigura în special de exactitatea datelor şi de legalitatea prelucrării acestora; întrucât, din aceleaşi motive, orice persoană vizată trebuie să aibă dreptul de a cunoaşte logica pe care s-a bazat prelucrarea automată a datelor care o privesc, cel puţin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1); întrucât acest drept nu trebuie să aducă atingere secretului comercial sau proprietăţii intelectuale, în special dreptului de autor care protejează software; întrucât aceste consideraţii nu trebuie să conducă totuşi la situaţia de a i se refuza persoanei interesate orice informaţie;
(42)întrucât, în interesul persoanei vizate sau în vederea protejării drepturilor şi libertăţilor celorlalţi, statele membre pot restrânge drepturile de acces la informaţii; întrucât pot preciza, de exemplu, că accesul la datele cu caracter medical poate fi obţinut numai printr-un specialist din domeniul sănătăţii;
(43)întrucât statele membre pot impune, în mod similar, restricţii cu privire la drepturile de acces şi de informare, precum şi la anumite obligaţii ale operatorului, în măsura în care sunt necesare pentru a ocroti, de exemplu, securitatea naţională, apărarea, siguranţa publică sau un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, precum şi cu privire la cercetarea şi urmărirea penală sau la încălcarea deontologiei profesionale reglementate; întrucât este oportun să se enumere, ca excepţii şi restricţii, sarcinile de control, inspecţie sau reglementare necesare în ultimele trei domenii menţionate anterior cu privire la siguranţa publică, interesele economic sau financiar şi prevenirea infracţiunilor; întrucât enumerarea sarcinilor în cele trei domenii nu afectează legitimitatea excepţiilor şi restricţiilor din motive de securitate şi apărare a statului;
(44)întrucât statele membre pot fi puse, în temeiul dispoziţiilor dreptului comunitar, în situaţia de a deroga de la dispoziţiile prezentei directive privind dreptul de acces, informarea persoanelor şi calitatea datelor, în vederea protejării unora dintre obiectivele menţionate anterior;
(45)întrucât, în cazul în care unele date ar putea face obiectul prelucrării legale întemeiate pe interesul public, al exercitării autorităţii publice sau al interesului legitim al unei persoane fizice sau juridice, orice persoană vizată ar trebui totuşi să aibă dreptul de a se opune, din motive solide şi legitime legate de situaţia sa particulară, prelucrării datelor care o privesc; întrucât statele membre au, cu toate acestea, posibilitatea să prevadă dispoziţii de drept intern contrare;
(46)întrucât protecţia drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte prelucrarea datelor cu caracter personal necesită luarea unor măsuri tehnice şi organizatorice adecvate atât în momentul proiectării sistemului de prelucrare cât şi în cel al prelucrării în sine, în special în scopul menţinerii securităţii şi prevenirii oricărei prelucrări neautorizate; întrucât este de datoria statelor membre să vegheze la respectarea acestor măsuri de către operatori; întrucât aceste măsuri trebuie să asigure un nivel adecvat de securitate ţinând seama de cele mai recente tehnici din sector şi de costurile punerii lor în aplicare în raport cu riscurile inerente prelucrării şi cu natura datelor de protejat;
(47)întrucât, dacă se transmite un mesaj care conţine date cu caracter personal printr-un serviciu de telecomunicaţii sau de poştă electronică al cărui unic scop este de a transmite mesaje de acest tip, operatorul datelor cu caracter personal cuprinse într-un mesaj este în mod normal considerată persoana care expediază mesajul, nu cea care oferă serviciul de transmitere a acestuia; întrucât, cu toate acestea, persoanele care oferă aceste servicii sunt în mod normal considerate operatori ai prelucrării datelor cu caracter personal suplimentare necesare funcţionării serviciului;
(48)întrucât notificarea autorităţilor de supraveghere este destinată să organizeze publicitatea scopurilor şi caracteristicilor principale ale prelucrării pentru ca aceasta să poată controla dacă prelucrarea datelor este în conformitate cu măsurile interne adoptate în temeiul prezentei directive;
(49)întrucât, pentru a evita formalităţile administrative inadecvate, statele membre pot prevedea exonerări sau simplificări ale notificării în cazurile în care prelucrarea datelor nu poate aduce atingere drepturilor şi libertăţilor persoanelor vizate, cu condiţia ca aceasta să se realizeze în conformitate cu o măsură luată de un stat membru care îi precizează limitele; întrucât exonerările sau simplificările pot, în mod similar, fi prevăzute de către statele membre atunci când o persoană împuternicită de operator se asigură că prelucrarea realizată nu poate să aducă atingere drepturilor şi libertăţilor persoanelor vizate; întrucât o astfel de persoană împuternicită cu protejarea datelor, fie că este sau nu un angajat al operatorului, trebuie să fie în măsură sa îşi exercite atribuţiile în deplină independenţă;
(50)întrucât pot fi prevăzute exonerări sau simplificări în cazul prelucrărilor de date al căror unic scop este păstrarea unui registru destinat, în conformitate cu dreptul intern, să ofere informaţii publicului şi să fie deschis spre consultare publicului sau oricărei alte persoane care demonstrează un interes legitim;
(51)întrucât, cu toate acestea, simplificarea sau exonerarea de obligaţia de notificare nu îl scuteşte pe operator de alte obligaţii care decurg din prezenta directivă;
(52)întrucât, în acest context, controlul a posteriori de către autorităţile competente trebuie să fie, în general, considerat o măsură suficientă;
(53)întrucât anumite prelucrări pot să prezinte totuşi riscuri specifice pentru drepturile şi libertăţile persoanelor vizate prin însăşi natura lor, domeniul de aplicare sau scopurile lor, cum ar fi excluderea persoanei de la beneficiul unui drept, unei prestaţii sau unui contract, sau prin utilizarea specifică a unei tehnologii noi; întrucât le revine statelor membre, dacă doresc acest lucru, obligaţia de a preciza astfel de riscuri în legislaţia lor;
(54)întrucât numărul celor care prezintă astfel de riscuri specifice trebuie să fie foarte restrâns în ceea ce priveşte totalul prelucrărilor efectuate în societate; întrucât statele membre trebuie să prevadă, pentru aceste prelucrări, o verificare prealabilă punerii lor în practică, efectuată de autoritatea de supraveghere sau de persoana împuternicită cu protejarea datelor în cooperare cu aceasta; întrucât, în urma acestei verificări prealabile, autoritatea de supraveghere poate, în conformitate cu dreptul intern, emite un aviz sau poate autoriza prelucrarea datelor; întrucât o astfel de verificare poate fi, de asemenea, efectuată în timpul elaborării fie a unei măsuri legislative a parlamentului naţional, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care să definească natura prelucrării şi să stabilească garanţiile corespunzătoare;
(55)întrucât atunci când operatorul nu respectă drepturile persoanelor vizate legislaţiile interne trebuie să prevadă căi de atac în justiţie; întrucât daunele pe care o persoană le poate suferi ca urmare a unei prelucrări ilegale trebuie să fie reparate de către operator, care poate fi exonerat de răspundere dacă dovedeşte că daunele nu îi sunt imputabile, în special atunci când constată existenţa unei erori a persoanei vizate sau în caz de forţă majoră; întrucât trebuie aplicate sancţiuni oricărei persoane, atât de drept privat, cât şi de drept public, care nu respectă dispoziţiile de drept intern adoptate în temeiul prezentei directive;
(56)întrucât pentru dezvoltarea comerţului internaţional sunt necesare fluxuri transfrontaliere de date cu caracter personal; întrucât protecţia persoanei garantată în Comunitate prin prezenta directivă nu se opune transferului datelor cu caracter personal în ţări terţe, asigurând un nivel de protecţie adecvat; întrucât caracterul adecvat al nivelului de protecţie oferit de o ţară terţă trebuie apreciat având în vedere toate circumstanţele referitoare la un transfer sau o categorie de transferuri;
(57)întrucât, pe de altă parte, trebuie interzis transferul datelor cu caracter personal către o ţară terţă care nu asigură un nivel de protecţie adecvat;
(58)întrucât trebuie să poată fi prevăzute derogări de la această interdicţie în anumite circumstanţe în care persoana vizată şi-a dat consimţământul, în care transferul este necesar în legătură cu un contract sau cu o acţiune în justiţie, în care apărarea unui interes public important o impune, de exemplu în cazul schimburilor internaţionale de date între administraţiile fiscale sau vamale ori între serviciile competente în materie de securitate socială sau în care transferul se efectuează dintr-un registru stabilit prin act cu putere de lege şi destinat să fie consultat de către public sau de către persoane având un interes legitim; întrucât, în acest caz, un astfel de transfer nu ar trebui să privească totalitatea datelor sau categoriilor de date conţinute în registrul menţionat; întrucât atunci când un registrul este destinat să fie consultat de către persoane având un interes legitim, transferul nu ar trebui să poată fi efectuat decât la cererea acestor persoane sau atunci când acestea sunt destinatarii;
(59)întrucât pot fi luate măsuri speciale pentru a compensa nivelul de protecţie insuficient dintr-o ţară terţă atunci când operatorul oferă garanţii corespunzătoare; întrucât, în plus, trebuie prevăzute proceduri de negociere între Comunitate şi aceste ţări terţe;
(60)întrucât, în orice caz, transferurile către ţările terţe se efectuează numai cu respectarea deplină a dispoziţiilor adoptate de statele membre în temeiul prezentei directive, în special articolul 8;
(61)întrucât statele membre şi Comisia, în domeniile lor de competenţă, trebuie să încurajeze asociaţiile comerciale şi alte organizaţii reprezentative interesate să elaboreze coduri de conduită destinate să favorizeze, ţinând seama de particularităţile prelucrării datelor efectuate în anumite sectoare, punerea în aplicare a prezentei directive cu respectarea dispoziţiile de drept intern adoptate pentru aplicarea acesteia;
(62)întrucât instituirea în statele membre a unor autorităţi de supraveghere care să-şi exercite atribuţiile în deplină independenţă este un element esenţial al protecţiei persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal;
(63)întrucât aceste autorităţi trebuie să dispună de mijloacele necesare pentru a-şi îndeplini sarcinile, indiferent dacă acestea sunt puteri de investigare sau de intervenţie, în special atunci când autorităţile primesc plângeri, sau competenţe de a acţiona în justiţie; întrucât acestea trebuie să contribuie la transparenţa prelucrării datelor, efectuată în statul membru de provenienţă;
(64)întrucât autorităţile din diferite state membre sunt ţinute să-şi acorde reciproc asistenţă în îndeplinirea sarcinilor, astfel încât să se asigure respectarea deplină a normelor de protecţie în întreaga Uniune Europeană;
(65)întrucât la nivelul Comunităţii trebuie înfiinţat un grup de lucru privind protecţia persoanei în ceea ce priveşte prelucrarea datelor cu caracter personal, care trebuie să-şi exercite funcţiile în deplină independenţă; întrucât, ţinând seama de această particularitate, acesta trebuie să consilieze Comisia şi să contribuie în special la aplicarea unitară a normelor interne adoptate în temeiul prezentei directive;
(66)întrucât, în ceea ce priveşte transferul de date către ţări terţe, aplicarea prezentei directive necesită atribuirea de competenţe de execuţie Comisiei şi instituirea unei proceduri în conformitate cu modalităţile stabilite în Decizia 87/373/CEE (1) a Consiliului;
(1)JOL 197, 18.7.1987, p. 33.
(67)întrucât la 20 decembrie 1994 s-a ajuns la un acord privind un modus vivendi între Parlamentul European, Consiliu şi Comisie privind punerea în aplicare a măsurilor pentru actele adoptate în conformitate cu procedura stabilită la articolul 189 B din tratat;
(68)întrucât principiile prevăzute în prezenta directivă cu privire la protecţia drepturilor şi libertăţilor persoanelor, în special a dreptului la viaţă privată, în ceea ce priveşte prelucrarea datelor cu caracter personal, vor putea fi completate sau clarificate cu norme speciale conform acestor principii, în special pentru anumite sectoare;
(69)întrucât este oportun să li se acorde statelor membre un termen care să nu depăşească trei ani de la intrarea în vigoarea a măsurilor interne de transpunere a prezentei directive, pentru a le permite aplicarea treptat a noilor dispoziţii de drept intern oricărei prelucrări de date deja implementate; întrucât, pentru a facilita aplicarea lor eficientă din punct de vedere al costurilor, statele membre sunt autorizate să prevadă o perioadă suplimentară care expiră după 12 ani de la data adoptării prezentei directive, astfel încât să se asigure conformitatea sistemelor de evidenţă manuale existente cu anumite dispoziţii ale directivei; întrucât, dacă datele conţinute în astfel de sisteme de evidenţă fac obiectul unei prelucrări manuale efective în decursul acestei perioade de tranziţie suplimentare, aducerea lor în conformitate cu aceste dispoziţii trebuie să se efectueze în momentul prelucrării;
(70)întrucât nu este oportun ca persoana vizată să-şi dea încă o dată consimţământul pentru a permite operatorului să continue să efectueze, după intrarea în vigoare a dispoziţiilor de drept intern adoptate în aplicarea prezentei directive, o prelucrare a datelor sensibile necesare în executarea unui contract încheiat pe baza consimţământului liber şi informat înainte de intrarea în vigoare a dispoziţiilor menţionate anterior;
(71)întrucât prezenta directivă nu împiedică un stat membru să reglementeze activităţile de prospectare a comercială care au în vedere consumatorii care au reşedinţa pe teritoriul acestuia, în măsura în care o astfel de reglementare nu implică protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal;
(72)întrucât prezenta directivă permite să se ia în considerare principiul dreptului de acces public la documente administrative atunci când se pun în aplicare principiile stabilite în prezenta directivă,
ADOPTĂ PREZENTA DIRECTIVĂ:
-****-
Art. 1: Obiectul directivei
(1)Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor şi libertăţilor fundamentale ale persoanei şi în special a dreptului la viaţa privată în ceea ce priveşte prelucrarea datelor cu caracter personal.
(2)Statele membre nu pot limita sau interzice libera circulaţie a datelor cu caracter personal între statele membre din motive legate de protecţia asigurată în conformitate cu alineatul (1).
Art. 2: Definiţii
În sensul prezentei directive:
a)"date cu caracter personal" înseamnă orice informaţie cu referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, psihice, economice, culturale sau sociale;
b)"prelucrarea datelor cu caracter personal" (prelucrare) înseamnă orice operaţiune sau serie de operaţiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ştergerea sau distrugerea;
c)"sistem de evidenţă a datelor cu caracter personal" (sistem de evidenţă) înseamnă orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
d)"operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau orice alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin acte cu putere de lege sau norme administrative interne sau comunitare, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul intern sau comunitar;
e)"persoana împuternicită de către operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau orice alt organism care prelucrează datele cu caracter personal pe seama operatorului;
f)"terţ" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;
g)"destinatar" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau orice alt organism căruia îi sunt transmise datele, indiferent dacă este sau nu terţ; cu toate acestea, autorităţile cărora li se comunică date în cadrul unei anumite anchete nu trebuie să fie considerate destinatari;
h)"consimţământul persoanei vizate" înseamnă orice manifestare de voinţă, liberă, specifică şi informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.
Art. 3: Domeniul de aplicare
(1)Prezenta directivă se aplică prelucrării automate, în totalitate sau parţial, precum şi prelucrării neautomate a datelor cu caracter personal, conţinute sau care urmează să fie conţinute într-un sistem de evidenţă a datelor cu caracter personal.
(2)Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:
- puse în practică pentru exercitarea activităţilor din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V şi VI din Tratatul privind Uniunea Europeană şi, în orice caz, prelucrărilor care au ca obiect siguranţa publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) şi activităţile statului în domeniul dreptului penal;
- efectuate de către o persoană fizică în cursul unei activităţi exclusiv personale sau domestice.
Art. 4: Dreptul intern aplicabil
(1)Fiecare stat membru aplică dispoziţiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când:
a)prelucrarea este efectuată în cadrul activităţilor operatorului cu sediul pe teritoriul statului membru; dacă acelaşi operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligaţiile prevăzute în dreptul intern aplicabil;
b)operatorul nu este stabilit pe teritoriul statului membru, ci într-un loc în care se aplică dreptul intern al acestuia, în temeiul dreptului internaţional public;
c)operatorul nu este stabilit pe teritoriul Comunităţii, dar în scopul prelucrării datelor cu caracter personal recurge la mijloace automate sau neautomate, situate pe teritoriul statului membru respectiv, cu excepţia cazului în care aceste mijloace sunt folosite numai în vederea tranzitului pe teritoriul Comunităţii.
(2)În situaţiile menţionate la alineatul (1) litera (c), operatorul trebuie să desemneze un reprezentant stabilit pe teritoriul statului membru în cauză, fără să aducă atingere acţiunilor în justiţie care ar putea fi introduse împotriva operatorului însuşi.
Art. 5
Statele membre precizează, în limitele dispoziţiilor prezentului capitol, condiţiile în care operaţiunile de prelucrare a datelor cu caracter personal sunt legale.
Art. 6
(1)Statele membre stabilesc că datele cu caracter personal trebuie să fie:
a)prelucrate în mod corect şi legal,
b)colectate în scopuri determinate, explicite şi legitime şi să nu mai fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau ştiinţifice nu este considerată incompatibilă atât timp cât statele membre prevăd garanţii corespunzătoare;
c)adecvate, pertinente şi neexcesive în ceea ce priveşte scopurile pentru care sunt colectate şi prelucrate ulterior;
d)exacte şi, dacă este necesar, actualizate; trebuie luate toate măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate sau pentru care vor fi prelucrate ulterior, să fie şterse sau rectificate;
e)păstrate într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanţiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menţionată, în scopuri istorice, statistice sau ştiinţifice.
(2)Operatorul are obligaţia să asigure respectarea alineatului (1).
Art. 7
Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:
a)persoana vizată şi-a dat consimţământul neechivoc sau
b)prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului sau
c)prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului sau
d)prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate sau
e)prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul sau terţul căruia îi sunt comunicate datele sau
f)prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulţi terţi, cu condiţia ca acest interes să nu prejudicieze interesul sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protecţie în temeiul articolului 1 alineatul (1).
Art. 8: Prelucrarea unor categoriilor speciale de date
(1)Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenenţa sindicală, precum şi prelucrarea datelor privind sănătatea sau viaţa sexuală.
(2)Alineatul (1) nu se aplică în oricare din următoarele situaţii:
a)persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date, cu excepţia cazului în care legislaţia statului membru prevede ca interdicţia prevăzută la alineatul (1) să nu poată fi ridicată prin consimţământul persoanei vizate sau
b)prelucrarea este necesară în scopul respectării obligaţiilor şi drepturilor specifice ale operatorului în materie de drept al muncii, în măsura în care este autorizat de legislaţia internă care prevede garanţii adecvate sau
c)prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-şi dea consimţământul sau
d)prelucrarea este efectuată, în cursul activităţilor lor legitime şi cu garanţii adecvate, de o fundaţie, o asociaţie sau orice alt organism cu scop nelucrativ şi cu specific politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii acestui organism sau la persoane cu care are contacte permanente în legătură cu scopurile sale şi ca datele să nu fie comunicate terţilor fără consimţământul persoanelor vizate sau
e)prelucrarea se referă la date care sunt făcute publice de către persoanele vizate în mod manifest sau sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în justiţie.
(3)Alineatul (1) nu se aplică atunci când prelucrarea datelor este necesară în scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijirii sau tratamente ori de gestionare a serviciilor de sănătate şi atunci când datele sunt prelucrate de un cadru medical supus, în conformitate cu dreptul intern ori cu normele stabilite de autorităţile naţionale competente, secretului profesional sau de altă persoană supusă, de asemenea, unei obligaţii echivalente în ceea ce priveşte secretul.
(4)Sub rezerva unor garanţii corespunzătoare, statele membre pot prevedea, pentru un motiv de interes public important, derogări suplimentare faţă de cele prevăzute în alineatul (2) fie în legislaţia internă, fie prin decizia autorităţii de supraveghere.
(5)Prelucrarea datelor referitoare la infracţiuni, condamnări penale sau măsuri de securitate se poate efectua numai sub controlul autorităţii publice sau dacă garanţiile corespunzătoare şi specifice sunt prevăzute de dreptul intern, sub rezerva derogărilor pe care statul membru le poate acorda în temeiul dispoziţiilor de drept intern care prevăd garanţii corespunzătoare şi specifice. Cu toate acestea, un registru complet al condamnărilor penale nu poate fi ţinut decât sub controlul autorităţii publice.
Statele membre pot să prevadă ca datele referitoare la sancţiunile administrative sau sentinţele civile să fie, de asemenea, prelucrate tot sub controlul autorităţii publice.
(6)Derogările de la alineatul (1) prevăzute la alineatele (4) şi (5) sunt notificate Comisiei.
(7)Statele membre stabilesc condiţiile în care poate fi prelucrat un număr de identificare sau orice alt identificator cu aplicabilitate generală care poate face obiectul prelucrării.
Art. 9: Prelucrarea datelor cu caracter personal şi libertatea de exprimare
Statele membre prevăd exonerări şi derogări de la dispoziţiile prezentului capitol, ale capitolului IV şi ale capitolului VI pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, în măsura în care se dovedesc necesare pentru a pune dreptul la viaţă privată în acord cu normele care reglementează libertatea de exprimare.
Art. 10: Informaţiile în cazurile de colectare a datelor de la persoana vizată
Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puţin informaţiile menţionate mai jos, cu excepţia cazului în care persoana este deja informată cu privire la aceste date:
a)identitatea operatorului şi, dacă este cazul, a reprezentantului;
b)scopul prelucrării căreia îi sunt destinate datele;
c)orice alte informaţii suplimentare, cum ar fi:
- destinatarii sau categoriile de destinatari ai datelor;
- dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum şi consecinţele posibile ale evitării răspunsului;
- existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal,
în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
Art. 11: Informaţii în cazul în care datele nu au fost obţinute de la persoana vizată
(1)Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terţi, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puţin informaţiile menţionate mai jos, cu excepţia cazului în care persoana vizată este deja informată cu privire la aceste date:
a)identitatea operatorului şi, dacă este cazul, a reprezentantului său;
b)scopurile prelucrării;
c)orice alte informaţii suplimentare, cum ar fi:
- categoriile de date în cauză;
- destinatarii sau categoriile de destinatari ai datelor;
- existenţa dreptului de acces la datele care o privesc şi de rectificare a datelor cu caracter personal;
în măsura în care, ţinând seama de circumstanţele specifice în care sunt colectate datele, astfel de informaţii suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
(2)Alineatul (1) nu se aplică atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori ştiinţifică, informarea persoanei vizate se dovedeşte a fi imposibilă, implică eforturi disproporţionate sau dacă legislaţia prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, statele membre prevăd garanţii corespunzătoare.
Art. 12: Dreptul de acces
Statele membre garantează oricărei persoane vizate dreptul de a obţine de la operator:
a)fără constrângere, la intervale rezonabile şi fără întârzieri sau cheltuieli excesive:
- confirmarea că datele care o privesc sunt sau nu sunt prelucrate, precum şi informaţii referitoare la scopul prelucrării, categoriile de date avute în vedere şi destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;
- comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării şi a altor informaţii disponibile cu privire la originea datelor;
- informaţii cu privire la principiile de funcţionare a mecanismului prin care se efectuează prelucrarea automată a datelor care o privesc, cel puţin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1);
b)după caz, rectificarea, ştergerea sau blocarea datelor a căror prelucrare nu respectă dispoziţiile prezentei directive, în special datorită caracterului incomplet sau inexact a datelor;
c)notificare terţilor cărora le-au fost comunicate datele cu privire la orice rectificare, ştergere sau blocare efectuată în conformitate cu litera (b), dacă această notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat.
Art. 13: Excepţii şi restricţii
(1)Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligaţiilor şi drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 şi articolul 21, dacă o astfel de restricţie constituie o măsură necesară pentru a proteja:
a)securitatea statului;
b)apărarea;
c)siguranţa publică;
d)prevenirea, investigarea, detectarea şi punerea sub urmărire a infracţiunilor sau a încălcării eticii în cazul profesiunilor reglementate;
e)un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar şi fiscal;
f)o funcţie de monitorizare, inspecţie sau de reglementare legată, chiar şi ocazional, de exercitarea autorităţii publice în cazurile menţionate la literele (c), (d) şi (e);
g)protecţia persoanei vizate sau a drepturilor şi libertăţilor altora.
(2)Sub rezerva garanţiilor legale corespunzătoare, în special în sensul că datele nu sunt folosite pentru luarea unor măsuri sau decizii împotriva unei anumite persoane, statele membre pot, în cazul în care nu există în mod clar riscuri de încălcare a vieţii private a persoanei vizate, să restrângă printr-o măsură legislativă drepturile prevăzute la articolul 12 atunci când datele sunt prelucrate exclusiv în scopul cercetării ştiinţifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depăşeşte perioada necesară în scopul unic de realizare a statisticilor.
Art. 14: Dreptul de opoziţie al persoanei vizate
Statele membre acordă persoanei vizate dreptul:
a)cel puţin în cazurile prevăzute în articolul 7 literele (e) şi (f), să se opună în orice moment, din considerente întemeiate şi legitime legate de situaţia sa particulară, prelucrării datelor în cauză, exceptând cazul când dreptul intern prevede altfel.
Dacă opoziţia este justificată, prelucrarea efectuată de operator nu se mai aplică acestor date;
b)de a se opune, la cerere şi gratuit, prelucrării datelor cu caracter personal care o privesc de către operator în scopul prospectării sau de a fi informat înainte ca datele cu caracter personal să fie comunicate pentru prima dată terţilor în scopul prospectării şi de a i se oferi în mod expres dreptul de a se opune, gratuit, unei astfel de comunicări sau utilizări.
Statele membre iau toate măsurile necesare pentru a garanta că persoanele vizate au cunoştinţă de existenţa dreptului prevăzut la litera (b) primul paragraf.
Art. 15: Decizii individuale automatizate
(1)Statele membre recunosc fiecărei persoane dreptul de a nu face obiectul unei decizii care să producă efecte juridice asupra sa ori să o afecteze în mod semnificativ şi care să fie întemeiată numai pe prelucrarea automatizată a datelor destinată să evalueze anumite aspecte personalităţii sale, cu ar fi randamentul profesional, credibilitatea, încrederea pe care o prezintă, conduita etc.
(2)Sub rezerva altor dispoziţii din prezenta directivă, statele membre prevăd că o persoană poate face obiectul unei decizii de felul celei menţionate la alineatul (1) dacă o astfel de decizie:
a)este luată în cursul încheierii sau executării unui contract, cu condiţia ca cererea de încheiere sau de executare a contractului introdusă de persoana vizată să fi fost satisfăcută sau ca unele măsurile adecvate, cum ar fi posibilitatea de a-şi susţine punctul de vedere, să garanteze apărarea interesului său legitim sau
b)este autorizată printr-un act cu putere de lege care stabileşte măsurile de garantare a apărării interesului legitim al persoanei vizate.
Art. 16: Confidenţialitatea prelucrărilor
Orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de către operator, inclusiv persoana împuternicită, care are acces la datele cu caracter personal nu trebuie să le prelucreze decât la instrucţiunile operatorului, cu excepţia cazului în care este obligat prin lege.
Art. 17: Securitatea prelucrărilor
(1)Statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice şi organizatorice de protecţie adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o reţea, precum şi împotriva oricărei alte forme de prelucrare ilegală.
Având în vedere cele mai noi tehnici din sector şi costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce priveşte riscurile prezentate de prelucrare şi caracterul datelor de protejat.
(2)Statele membre prevăd ca operatorul, dacă prelucrarea este efectuată pe seama sa, să aleagă o persoană care să prezintă suficiente garanţii referitoare la măsurile de securitate tehnică şi de organizare privind prelucrarea care urmează să fie efectuată şi să vegheze la respectarea acestor măsuri.
(3)Efectuarea prelucrărilor prin persoane împuternicite trebuie să fie reglementată printr-un contract sau act juridic care leagă persoana împuternicită de operator şi care prevede, în special, că:
- persoana împuternicită acţionează numai la instrucţiunile operatorului;
- obligaţiile prevăzute în alineatul (1), aşa cum sunt definite de legislaţia statului membru în care este stabilită persoana împuternicită, îi revin şi acesteia.
(4)În scopul păstrării probelor, elementele contractului sau actului juridic care se referă la protecţia datelor şi la cerinţele referitoare la măsurile prevăzute în alineatul (1) se consemnează în scris sau în altă formă echivalentă.
Art. 18: Obligaţia de a notifica autoritatea de supraveghere
(1)Statele membre prevăd notificarea de către operator sau, dacă este cazul, de către persoana împuternicită a autorităţii de supraveghere prevăzute în articolul 28 înainte de efectuarea prelucrării total sau parţial automatizate destinate să servească unui scop sau mai multor scopuri legate între ele.
(2)Statele membre nu pot să prevadă simplificarea notificării sau a derogării de la această obligaţie decât în cazurile şi în condiţiile următoare:
- atunci când, pentru categoriile de prelucrări care, ţinând seama de datele de prelucrat, nu pot să aducă atingere drepturilor şi libertăţilor persoanelor vizate, precizează scopul prelucrărilor, datele sau categoriile de date supuse prelucrării, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cărora le sunt comunicate şi perioada de stocare a datelor şi/sau
- atunci când operatorul, în conformitate cu dreptul intern căruia i se supune, numeşte un funcţionar pentru protecţia datelor cu caracter personal, responsabil în special:
- de asigurarea în mod independent a aplicării interne a dispoziţiilor de drept intern adoptate în temeiul prezentei directive;
- de păstrarea registrului cu prelucrările efectuate de operator, conţinând informaţiile prevăzute în articolul 21 alineatul (2),
şi garantând astfel că prelucrările nu pot să aducă atingere drepturilor şi libertăţilor persoanelor vizate.
(3)Statele membre pot prevedea ca alineatul (1) să nu se aplice prelucrărilor al căror unic scop este păstrarea unui registru care, conform actelor cu putere de lege şi normelor administrative, să furnizeze informaţii publicului şi este deschis spre consultare publicului sau oricărei persoane care demonstrează un interes legitim.
(4)Statele membre pot prevedea o derogare de la obligaţia de notificare sau o simplificare a notificării prelucrările prevăzute în articolul 8 alineatul (2) litera (d).
(5)Statele membre pot stipula ca toate sau anumite prelucrări neautomatizate ale datelor cu caracter personal să fie notificate sau să facă obiectul unei notificări simplificate.
Art. 19: Conţinutul notificării
(1)Statele membre precizează informaţiile care urmează să fie prezentate în notificare. Acestea cuprind cel puţin:
a)numele şi adresa operatorului şi a persoanei împuternicite, dacă este cazul;
b)scopul sau scopurile prelucrării;
c)o descriere a categoriei sau categoriilor de persoane vizate şi a datelor sau categoriilor de date privitoare la acestea;
d)destinatarii sau categoriile de destinatari cărora li se pot comunica datele;
e)propunerile de transferuri de date către ţări terţe;
f)o descriere generală care să permită o evaluare preliminară a caracterului adecvat al măsurilor luate în temeiul articolului 17 pentru a asigura securitatea prelucrării.
(2)Statele membre precizează procedurile de notificare către autoritatea de supraveghere a oricărei schimbări care afectează informaţiile prevăzute în alineatul (1).
Art. 20: Controlul prealabil
(1)Statele membre precizează care sunt prelucrările care pot prezenta riscuri specifice în ceea ce priveşte drepturile şi libertăţile persoanelor vizate şi veghează ca aceste prelucrări să fie examinate înainte de a le pune în practică.
(2)Astfel de verificări prealabile se efectuează de către autoritatea de supraveghere după primirea unei notificări de la operator sau de către funcţionarul responsabil de protecţia datelor care, în caz de dubiu, trebuie să consulte autoritatea de supraveghere.
(3)Statele membre pot, de asemenea, întreprinde astfel de verificări în contextul elaborării fie a unei măsuri a parlamentului naţional, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care să definească natura prelucrării şi să stabilească garanţiile adecvate.
Art. 21: Publicitatea prelucrărilor
(1)Statele membre iau măsuri pentru a asigura publicitatea prelucrărilor.
(2)Statele membre prevăd ca autoritatea de supraveghere să ţină un registru cu prelucrările notificate în conformitate cu articolul 18.
Registrul conţine cel puţin informaţiile enumerate în articolul 19 alineatul (1) literele (a)-(e).
Registrul poate fi consultat de orice persoană.
(3)În ceea ce priveşte prelucrările nesupuse notificării, statele membre prevăd punerea la dispoziţie oricărei persoane, la cerere de către operator sau de altă autoritate desemnată de statele membre, cel puţin a informaţiilor menţionate la articolul 19 alineatul (1) literele (a)-(e), într-o formă adecvată.
Statele membre prevăd ca prezenta dispoziţie să nu se aplice prelucrărilor care au ca obiect unic ţinerea unui registru care, în conformitate cu dispoziţiile legale şi de reglementare, este destinat să furnizeze informaţii publicului şi este deschis spre consultare atât publicului, cât şi oricărei alte persoane care face dovada unui interes legitim.
Art. 22: Acţiuni
Fără să aducă atingere oricărei căi administrative de atac care poate fi prevăzută, inter alia, în faţa autorităţii de supraveghere menţionată la articolul 28, anterior sesizării autorităţii judecătoreşti, statele membre prevăd dreptul oricărei persoane la o cale atac în justiţie în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării în cauză.
Art. 23: Răspundere
(1)Statele membre prevăd ca orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale sau a oricărei acţiuni incompatibile cu dispoziţiile de drept intern adoptate în temeiul prezentei directive are dreptul să obţină reparaţii de la operator pentru prejudiciul suferit.
(2)Operatorul poate fi exonerat de răspundere, total sau parţial dacă dovedeşte că nu îi este imputabilă fapta care a provocat prejudiciul.
Art. 24: Sancţiuni
Statele membre adoptă măsurile adecvate pentru a asigura aplicarea integrală a dispoziţiilor prezentei directive şi, în special, stabileşte sancţiunile care urmează să fie aplicate în caz de încălcare a dispoziţiilor adoptate în temeiul prezentei directive.
Art. 25: Principii
(1)Statele membre prevăd ca transferul către o ţară terţă a datelor cu caracter personal care fac obiectul prelucrării sau sunt destinate prelucrării după transfer nu poate avea loc decât dacă, sub rezerva respectării dispoziţiilor de drept intern adoptate în temeiul celorlalte dispoziţii ale prezentei directive, ţara terţă în cauză asigură un nivel de protecţie adecvat.
(2)Caracterul adecvat al nivelului de protecţie oferit de o ţară terţă se evaluează având în vedere toate circumstanţele referitoare la un transfer sau la o categorie de transferuri de date; în special sunt luate în considerare natura datelor, scopul şi durata prelucrării sau prelucrărilor propuse, ţările de origine şi ţările de destinaţie, normele de drept atât generale, cât şi sectoriale în vigoare în ţara terţă în cauză, precum şi normele profesionale şi măsurilor de securitate respectate în ţara respectivă.
(3)Statele membre şi Comisia se informează reciproc în cazurile în care consideră că o ţară terţă nu asigură un nivel de protecţie adecvat în sensul alineatului (2).
(4)Atunci când Comisia constată, în conformitate cu procedura prevăzută în articolul 31 alineatul (2), că o ţară terţă nu asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol, statele membre iau măsurile necesare pentru a preveni orice transfer de date de acelaşi tip către ţara terţă în cauză.
(5)La momentul oportun, Comisia intră în negocieri în vederea remedierii situaţiei apărute în urma constatărilor făcute în temeiul alineatului (4).
(6)Comisia poate constata, în conformitate cu procedura prevăzută în articolul 31 alineatul (2), că o ţară terţă asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol, în temeiul legislaţiei interne sau al angajamentelor sale internaţionale, luate în special la încheierea negocierilor menţionate la alineatul (5), în vederea protejării vieţii private şi a libertăţilor şi drepturilor fundamentale ale persoanelor.
Statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.
Art. 26: Derogări
(1)Prin derogare de la articolul 25 şi sub rezerva dispoziţiilor contrare din dreptul intern care reglementează cazuri particulare, statele membre prevăd ca un transfer de date cu caracter personal către o ţară terţă care nu asigură un nivel de protecţie adecvat în sensul articolului 25 alineatul (2) să poată avea loc cu condiţia ca:
a)persoana vizată să îşi dea consimţământul ferm la transferul avut în vedere sau
b)transferul să fie necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aducerea la îndeplinire a măsurilor precontractuale luate ca răspuns la cererea persoanei vizate sau
c)transferul să fie necesar pentru încheierea sau executarea unui contract încheiat sau care urmează să fie încheiat în interesul persoanei vizate între operator şi un terţ sau
d)transferul să fie necesar sau impus prin lege pentru apărarea unui interes public important, sau pentru constatarea, exercitarea sau apărarea unui drept în justiţie sau
e)transferul să fie necesar apărării interesului vital al persoanei vizate sau
f)transferul să fie făcut dintr-un registru public care, în conformitate cu dispoziţiile legale sau de reglementare, este destinat informării publicului şi este deschis spre consultare publicului sau oricărei persoane care demonstrează un interes legitim, în măsura în care se îndeplinesc condiţiile prevăzute prin lege pentru consultări în cazurile particulare.
(2)Fără a aduce atingere alineatului (1), un stat membru poate autoriza un transfer sau o serie de transferuri de date cu caracter personal către o ţară terţă care nu asigură un nivel de protecţie adecvat în sensul articolului 25 alineatul (2), atunci când operatorul oferă garanţii suficiente privind atât protecţia vieţii private şi a drepturilor şi libertăţilor fundamentale ale persoanelor, cât şi exercitarea drepturilor corespunzătoare; aceste garanţii pot rezulta în special din clauze contractuale adecvate.
(3)Statul membru informează Comisia şi alte state membre despre autorizaţiile pe care le acordă în temeiul alineatului (2).
În cazul în care un stat membru sau Comisia îşi exprimă opoziţia din motive justificate care implică protecţia vieţii private şi a drepturilor şi libertăţilor fundamentale ale persoanelor, Comisia adoptă măsurile adecvate, în conformitate cu procedurile prevăzute în articolul 31 alineatul (2).
Statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.
(4)În cazul în care Comisia decide, în conformitate cu procedurile prevăzute în articolul 31 alineatul (2), că anumite clauze contractuale standard oferă garanţii suficiente în sensul alineatului (2), statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.
Art. 27
(1)Statele membre şi Comisia încurajează elaborarea unor coduri de conduită destinate să contribuie la buna aplicare a dispoziţiilor de drept intern adoptate de statele membre în temeiul prezentei directive, în funcţie de particularităţile diferitelor sectoare.
(2)Statele membre prevăd ca asociaţiile profesionale şi alte organisme reprezentând alte categorii de operatori care au elaborat proiecte de coduri naţionale sau care au intenţia de a modifica sau de a proroga codurile naţionale existente să le poată supune spre examinare autorităţii naţionale.
Statele membre prevăd ca această autoritate să se asigure, printre altele, că proiectele de coduri care îi sunt prezentate sunt în conformitate cu dispoziţiile de drept intern adoptate în temeiul prezentei directive. Dacă apreciază că este oportun, autoritatea colectează observaţiile persoanelor vizate sau ale reprezentanţilor acestora.
(3)Proiectele de coduri comunitare şi modificările sau prorogările codurilor comunitare existente pot fi prezentate grupului de lucru prevăzut în articolul 29. Grupul de lucru se pronunţă, printre altele, asupra conformităţii proiectelor prezentate cu dispoziţiile de drept intern adoptate în temeiul prezentei directive. Dacă apreciază că este cazul, autoritatea colectează observaţiile persoanelor vizate sau ale reprezentanţilor lor. Comisia poate asigura o publicitate adecvată pentru codurile care au fost aprobate de grupul de lucru.
CAPITOLUL VI:AUTORITATEA DE SUPRAVEGHERE ŞI GRUPUL DE LUCRU PENTRU PROTECŢIA PERSOANELOR ÎN CEEA CE PRIVEŞTE PRELUCRAREA DATELOR CU CARACTER PERSONAL
Art. 28: Autoritatea de supraveghere
(1)Fiecare stat membru prevede una sau mai multe autorităţi publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispoziţiilor adoptate de statele membre în temeiul prezentei directive.
Aceste autorităţi acţionează în condiţii de independenţă deplină în exercitarea atribuţiilor cu care sunt învestite.
(2)Fiecare stat membru prevede ca autorităţile de supraveghere să fie consultate la elaborarea normelor şi actelor administrative referitoare la protecţia drepturilor şi libertăţilor persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal.
(3)Fiecare autoritate este, în special, investită cu:
- competenţe de investigare, cum ar fi cea de acces la datele care fac obiectul unei prelucrări şi cea de a colecta toate informaţiile necesare pentru îndeplinirea îndatoririlor de supraveghere;
- competenţe efective de intervenţie, cum ar fi, de exemplu, competenţa de a emite avize înainte de începerea prelucrării, în conformitate cu articolul 20, şi de a asigura publicarea adecvată a acestor avize sau de a ordona blocarea, ştergerea sau distrugerea datelor, de a impune interdicţia temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naţionale sau alte instituţii politice,
- competenţa de a acţiona în justiţie, în cazul încălcării dispoziţiile de drept intern adoptate în temeiul prezentei directive sau de a sesiza autorităţile judecătoreşti asupra acestor încălcări.
Deciziile autorităţilor de supraveghere care dau naştere unor plângeri pot face obiectul unei acţiuni în justiţie.
(4)Fiecare autoritate de supraveghere poate fi sesizată de orice persoană sau de orice asociaţie care o reprezintă printr-o cerere de protecţie a drepturilor şi libertăţilor sale în ceea ce priveşte prelucrarea datelor cu caracter personal. Persoana vizată este informată despre soluţia dată plângerii sale.
Fiecare autoritate de supraveghere poate fi sesizată printr-o plângere depusă de orice persoană cu privire la legalitatea prelucrării datelor, atunci când se aplică dispoziţiile de drept intern adoptate în temeiul articolului 13 din prezenta directivă. Persoana este informată, în orice caz, că s-a efectuat o verificare.
(5)Fiecare autoritate de supraveghere întocmeşte, cu regularitate, un raport privind activităţile desfăşurate. Raportul este publicat.
(6)Fiecare autoritate de supraveghere are competenţa, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provin competenţele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să îşi exercite competenţele la cererea unei autorităţi a unui alt stat membru.
Autorităţile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informaţii utile.
(7)Statele membre prevăd ca membrii şi personalul autorităţii de supraveghere să se supună, chiar după încetarea activităţii acestora, obligaţiei privind secretul profesional în ceea ce priveşte informaţiile confidenţiale la care au acces.
Art. 29: Grupul de lucru pentru protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal
(1)Se instituie un grup de lucru pentru protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal, denumit în continuare "grup de lucru".
Grupul de lucru are caracter consultativ şi acţionează independent.
(2)Grupul de lucru este compus dintr-un reprezentant al autorităţii sau al autorităţilor de supraveghere desemnate de fiecare stat membru, dintr-un reprezentant al autorităţii sau al autorităţilor create pentru instituţiile şi organismele comunitare şi dintr-un reprezentant al Comisiei.
Fiecare membru al grupului de lucru este desemnat de instituţia, autoritatea sau autorităţile pe care le reprezintă. Dacă un stat membru a desemnat mai multe autorităţi de supraveghere, acestea procedează la nominalizarea unui reprezentant comun. Acelaşi lucru se aplică autorităţilor create pentru instituţiile şi organismele comunitare.
(3)Grupul de lucru decide cu majoritatea simplă a reprezentanţilor autorităţilor de supraveghere.
(4)Grupul de lucru îşi alege preşedintele. Durata mandatului preşedintelui este doi ani. Mandatul poate fi reînnoit.
(5)Secretariatul grupului de lucru este asigurat de Comisie.
(6)Grupul de lucru îşi adoptă regulamentul de procedură.
(7)Grupul de lucru ia în discuţie subiectele înscrise pe ordinea de zi de către preşedinte, fie din iniţiativa acestuia, fie la cererea unui reprezentant al autorităţilor de supraveghere sau la cererea Comisiei.
Art. 30
(1)Grupul de lucru:
a)examinează orice chestiune referitoare la punerea în aplicare a dispoziţiilor de drept intern adoptate în temeiul prezentei directive, pentru a contribui la aplicarea unitară a acestor măsuri;
b)emite un aviz către Comisie privind nivelul de protecţie în Comunitate şi în ţările terţe;
c)consiliază Comisia în ceea ce priveşte orice proiect de modificare a prezentei directive, orice proiect de măsuri suplimentare sau specifice care trebuie luate pentru apărarea drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, precum şi orice alt proiect de măsuri comunitare care are incidenţă asupra acestor drepturi şi libertăţi;
d)emite un aviz asupra codurilor de conduită întocmite la nivel comunitar.
(2)Dacă grupul de lucru constată că între legislaţiile şi practicile statelor membre apar divergenţe care pot să afecteze echivalenţa protecţiei persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal în Comunitate, informează Comisia cu privire la aceasta.
(3)Grupul de lucru poate face recomandări din proprie iniţiativă privind orice chestiune legată de protecţia persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal în Comunitate.
(4)Avizele şi recomandările grupului de lucru sunt înaintate Comisiei şi comitetului prevăzut în articolul 31.
(5)Comisia informează grupul de lucru despre acţiunile întreprinse ca răspuns la avizele şi recomandările sale. În acest sens, întocmeşte un raport care este înaintat Parlamentului European şi Consiliului. Raportul se publică.
(6)Grupul de lucru întocmeşte un raport anual privind situaţia protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor în Comunitate şi în ţările terţe, pe care îl înaintează Comisiei, Parlamentului European şi Consiliului. Raportul se publică.
Art. 31
(1)Comisia este asistata de un comitet.
(2)Atunci când se face trimitere la prezentul articol, se aplica articolele 4 si 7 din Decizia 1999/468/CE (*), cu respectarea dispozitiilor articolului 8.
(*)Decizia 1999/468/CE a Consiliului din 28 iunie 1999 de stabilire a normelor privind exercitarea competentelor de executare conferite Comisiei (JO L 184, 17.7.1999, p. 23).
Perioada prevazuta la articolul 4 alineatul (3) din Decizia 1999/468/CE se stabileste la trei luni.
(3)Comitetul îsi stabileste regulamentul de procedura.
Art. 32
(1)Statele membre pun în aplicare actele cu putere de lege şi actele administrative necesare pentru a se conforma prezentei directive cel târziu la expirarea unei perioade de trei ani de la data adoptării sale.
Atunci când statele membre adoptă aceste dispoziţii, ele cuprind o trimitere la prezenta directivă sau sunt însoţite de o asemenea trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.
(2)Statele membre asigură ca prelucrările în derulare la data intrării în vigoare a dispoziţiilor de drept intern adoptate în temeiul prezentei directive se conformează acestor dispoziţii în termen de trei ani de la această dată.
Prin derogare de la paragraful precedent, statele membre pot să prevadă ca prelucrarea datelor deja stocate în sisteme de evidenţă manuale la data intrării în vigoare a dispoziţiilor de drept intern adoptate în temeiul prezentei directive să se conformeze articolelor 6, 7 şi 8 din prezenta directivă în termen de 12 ani de la data adoptării. Statele membre îi acordă totuşi persoanei vizate dreptul de a obţine, la cerere şi în special în momentul exercitării dreptului de acces, rectificarea, ştergerea sau blocarea datelor incomplete, inexacte sau stocate într-un mod incompatibil cu scopurile legitime urmărite de operator.
(3)Prin derogare de la alineatul (2), statele membre pot prevedea, sub rezerva unor garanţii adecvate, ca datele păstrate în scopul unic al cercetării istorice, să nu fie aduse la conformitate cu articolele 6, 7 şi 8 din prezenta directivă.
(4)Comisiei îi sunt comunicate de statele membre textele dispoziţiilor de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.
Art. 33
Comisia prezintă periodic Consiliului şi Parlamentului European, începând cel târziu la trei ani de la data menţionată la articolul 3 2 alineatul (1), un raport cu privire la stadiul punerii în aplicare a prezentei directive şi, dacă este cazul, prezintă propuneri de modificare. Raportul se publică.
Comisia examinează, în special, aplicarea prezentei directive la prelucrarea datelor constituite din sunete şi imagini, referitoare la persoane fizice, şi prezintă propunerile corespunzătoare care se dovedesc a fi necesare ţinând seama de realizările din domeniul tehnologiei informaţiilor şi având în vedere evoluţia societăţii informaţionale.
-****-
Adoptată la Luxemburg, 24 octombrie 1995.
Pentru Parlamentul European Preşedintele K. HANSCH Pentru Consiliu Preşedintele L. ATIENZA SERNA |
Publicat în Ediţia Specială a Jurnalului Oficial cu numărul 0 din data de 1 ianuarie 2007