Secţiunea 1 - Obligaţii generale - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
SECŢIUNEA 1:Obligaţii generale
Art. 26: Responsabilitatea operatorului
(1)Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile menţionate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecţie a datelor.
(3)Aderarea la mecanismele de certificare aprobate, menţionate la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element care să demonstreze respectarea obligaţiilor de către operator.
Art. 27: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
(1)Având în vedere stadiul actual al tehnologiei, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.
(2)Operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane.
(3)Un mecanism de certificare aprobat în conformitate cu articolul 42 din Regulamentul (UE) 2016/679 poate fi utilizat drept element care să demonstreze îndeplinirea cerinţelor prevăzute la alineatele (1) şi (2) din prezentul articol.
Art. 28: Operatorii asociaţi
(1)În cazul în care doi sau mai mulţi operatori sau unul sau mai mulţi operatori împreună cu unul sau mai mulţi operatori, alţii decât instituţii şi organe ale Uniunii, stabilesc în comun scopurile şi mijloacele prelucrării, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în materie de protecţie a datelor, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecărui operator de a furniza informaţiile prevăzute la articolele 15 şi 16, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor asociaţi sunt stabilite în dreptul Uniunii sau în dreptul intern al statului membru care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.
(2)Acordul menţionat la alineatul (1) reflectă în mod adecvat rolurile şi raporturile respective ale operatorilor asociaţi faţă de persoanele vizate. Esenţa acestui acord este făcută cunoscută persoanei vizate.
(3)Indiferent de clauzele acordului menţionat la alineatul (1), persoana vizată îşi poate exercita drepturile de care beneficiază în temeiul prezentului regulament în legătură cu sau împotriva fiecăruia dintre operatori.
Art. 29: Persoana împuternicită de operator
(1)În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.
(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.
(3)Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:
a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni susţinute de documente din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului statului membru care i se aplică; în acest caz, persoana împuternicită de operator notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care legislaţia respectivă interzice această informare din motive importante legate de interesul public;
b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie legală adecvată de confidenţialitate;
c)adoptă toate măsurile necesare în conformitate cu articolul 33;
d)respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane împuternicite de operator;
e)ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;
f)ajută operatorul să asigure respectarea obligaţiilor prevăzute la articolele 33-41, ţinând seama de caracterul prelucrării şi de informaţiile aflate la dispoziţia persoanei împuternicite de operator;
g)la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.
În ceea ce priveşte primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
(4)În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentului regulament. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite.
(5)În cazul în care o persoană împuternicită de un operator nu este o instituţie sau un organ al Uniunii, aderarea la un cod de conduită aprobat, menţionat la articolul 40 alineatul (5) din Regulamentul (UE) 2016/679, sau la un mecanism de certificare aprobat, menţionat la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element prin care să se demonstreze existenţa unor garanţii suficiente, astfel cum sunt menţionate la alineatele (1) şi (4) din prezentul articol.
(6)Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauzele contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată persoanei împuternicite de operator, care nu este o instituţie sau un organ al UE, în temeiul articolului 42 din Regulamentul (UE) 2016/679.
(7)Comisia poate să prevadă clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi în conformitate cu procedura de examinare menţionată la articolul 96 alineatul (2).
(8)Autoritatea Europeană pentru Protecţia Datelor poate să adopte clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4).
(9)Contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) se formulează în scris, inclusiv în format electronic.
(10)Fără a aduce atingere articolelor 65 şi 66, în cazul în care o persoană împuternicită de operator încalcă prezentul regulament prin stabilirea scopurilor prelucrării şi a mijloacelor de prelucrare, persoana împuternicită de operator este considerată a fi un operator în ceea ce priveşte prelucrarea respectivă.
Art. 30: Desfăşurarea activităţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de către operator
Persoana împuternicită de operator şi orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator, care are acces la date cu caracter personal, nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul unui stat membru îl obligă să facă acest lucru.
Art. 31: Evidenţele activităţilor de prelucrare
(1)Fiecare operator păstrează o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea sa. Respectiva evidenţă cuprinde toate informaţiile următoare:
a)numele şi datele de contact ale operatorului, ale responsabilului cu protecţia datelor şi, dacă este cazul, ale persoanei împuternicite de către operator şi ale operatorului asociat;
b)scopurile prelucrării;
c)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
d)categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din statele membre, ţări terţe sau organizaţii internaţionale;
e)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;
g)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 33.
(2)Fiecare persoană împuternicită de operator păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare desfăşurate în numele operatorului, care cuprinde:
a)numele şi datele de contact ale persoanei sau persoanelor împuternicite de către operator, ale fiecărui operator în numele căruia acţionează această persoană şi ale responsabilului cu protecţia datelor;
b)categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
c)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi documentaţia care dovedeşte existenţa unor garanţii adecvate;
d)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 33.
(3)Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic.
(4)Instituţiile şi organele Uniunii pun evidenţele la dispoziţia Autorităţii Europene pentru Protecţia Datelor, la cerere.
(5)Cu excepţia cazului în care nu este adecvat, ţinând cont de dimensiunea instituţiei sau a organului Uniunii, instituţiile şi organele Uniunii îşi păstrează evidenţele activităţilor de prelucrare într-un registru central. Acestea pun registrul la dispoziţia publicului.
Art. 32: Cooperarea cu Autoritatea Europeană pentru Protecţia Datelor
Instituţiile şi organele Uniunii cooperează, la cerere, cu Autoritatea Europeană pentru Protecţia Datelor în îndeplinirea sarcinilor sale.