Capitolul ii - PRINCIPII GENERALE - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
CAPITOLUL II:PRINCIPII GENERALE
Art. 4: Principii legate de prelucrarea datelor cu caracter personal
(1)Datele cu caracter personal sunt:
a)prelucrate în mod legal, echitabil şi transparent faţă de persoana vizată ("legalitate, echitate şi transparenţă");
b)colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată, în conformitate cu articolul 13, incompatibilă cu scopurile iniţiale ("limitări în funcţie de scop");
c)adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate ("reducerea la minimum a datelor");
d)exacte şi, dacă este necesar, actualizate; trebuie să se ia toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere ("exactitate");
e)păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele cu caracter personal; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 13, sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi libertăţilor persoanei vizate ("limitări legate de stocare");
f)prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").
(2)Operatorul este responsabil de respectarea alineatului (1) şi poate demonstra această respectare ("responsabilitate").
Art. 5: Legalitatea prelucrării
(1)Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:
a)prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestită instituţia sau organul Uniunii;
b)prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;
c)prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
d)persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
e)prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice.
(2)Temeiurile pentru prelucrarea menţionată la alineatul (1) literele (a) şi (b) sunt prevăzute în dreptul Uniunii.
Art. 6: Prelucrarea într-un alt scop compatibil
În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimţământul persoanei vizate sau pe dreptul Uniunii care constituie o măsură necesară şi proporţională într-o societate democratică pentru a proteja obiectivele menţionate la articolul 25 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate iniţial, ia în considerare, printre altele:
(a)orice legătură dintre scopurile în care datele cu caracter personal au fost colectate şi scopurile prelucrării ulterioare preconizate;
(b)contextul în care datele cu caracter personal au fost colectate, în special în ceea ce priveşte relaţia dintre persoanele vizate şi operator;
(c)natura datelor cu caracter personal, în special în cazul prelucrării unor categorii speciale de date cu caracter personal, în conformitate cu articolul 10, sau în cazul în care sunt prelucrate date cu caracter personal referitoare la condamnări penale şi infracţiuni, în conformitate cu articolul 11;
(d)posibilele consecinţe asupra persoanelor vizate ale prelucrării ulterioare preconizate;
(e)existenţa unor garanţii adecvate, care pot include criptarea sau pseudonimizarea.
Art. 7: Condiţii privind consimţământul
(1)În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal.
(2)În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Nicio parte a respectivei declaraţii care constituie o încălcare a prezentului regulament nu este obligatorie.
(3)Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia.
(4)Atunci când se evaluează dacă consimţământul este dat în mod liber, se ţine seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiţionată de consimţământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.
Art. 8: Condiţii aplicabile în ceea ce priveşte consimţământul copilului în legătură cu serviciile societăţii informaţionale
(1)În cazul în care se aplică articolul 5 alineatul (1) litera (d), în ceea ce priveşte oferirea de servicii ale societăţii informaţionale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puţin vârsta de 13 ani. Dacă copilul are sub vârsta de 13 ani, respectiva prelucrare este legală numai dacă şi în măsura în care consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului.
(2)Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părinteşti asupra copilului a acordat sau a autorizat consimţământul, ţinând seama de tehnologiile disponibile.
(3)Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un copil.
Art. 9: Transmiterile de date cu caracter personal către destinatari stabiliţi în Uniune, alţii decât instituţiile şi organele Uniunii
(1)Fără a aduce atingere articolelor 4-6 şi 10, datele cu caracter personal se transmit destinatarilor stabiliţi în Uniune, alţii decât instituţii şi organe ale Uniunii, numai dacă:
a)destinatarul demonstrează că datele sunt necesare pentru îndeplinirea unei sarcini de interes public sau în exercitarea autorităţii publice cu care este învestit destinatarul; sau
b)destinatarul stabileşte că transmiterea datelor este necesară într-un scop specific de interes public, iar operatorul, în cazul în care are motive să presupună că interesele legitime ale persoanei vizate ar putea fi prejudiciate, stabileşte că transmiterea datelor cu caracter personal pentru acel scop specific este proporţională, după ce a evaluat, într-un mod demonstrabil, diversele interese concurente.
(2)În cazul în care operatorul iniţiază transmiterea în temeiul prezentului articol, acesta trebuie să demonstreze că transmiterea datelor cu caracter personal este necesară şi proporţională cu scopul transmiterii, prin aplicarea criteriilor stabilite la alineatul (1) litera (a) sau (b).
(3)Instituţiile şi organele Uniunii asigură echilibrul între dreptul la protecţia datelor cu caracter personal şi dreptul de acces la documente în conformitate cu dreptul Uniunii.
Art. 10: Prelucrarea de categorii speciale de date cu caracter personal
(1)Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea sau a datelor privind viaţa sexuală sau orientarea sexuală a unei persoane fizice.
(2)Alineatul (1) nu se aplică în următoarele situaţii:
a)persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri precizate, cu excepţia cazului în care dreptul Uniunii prevede ca interdicţia menţionată la alineatul (1) să nu poată fi ridicată prin consimţământul persoanei vizate;
b)prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale, în măsura în care această prelucrare este autorizată de dreptul Uniunii care prevede garanţii adecvate pentru drepturile fundamentale şi interesele persoanei vizate;
c)prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-şi da consimţământul;
d)prelucrarea este efectuată, în cadrul activităţilor sale legitime şi cu garanţii adecvate, de către un organism cu scop nelucrativ care constituie o entitate integrată într-o instituţie sau un organ al Uniunii, care urmăreşte un obiectiv politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii sau la foştii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale şi ca datele să nu fie comunicate terţilor fără consimţământul persoanelor vizate;
e)prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;
f)prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept sau ori de câte ori Curtea de Justiţie acţionează în exerciţiul funcţiei sale judiciare;
g)prelucrarea este necesară din motive de interes public major, în temeiul unei dispoziţii din dreptul Uniunii care este proporţională cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi prevede măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate;
h)prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării condiţiilor şi garanţiilor prevăzute la alineatul (3);
i)prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii care prevăd măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional; sau
j)prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în baza dispoziţiilor dreptului Uniunii care sunt proporţionale cu obiectivul urmărit, respectă esenţa dreptului la protecţia datelor şi prevăd măsuri corespunzătoare şi specifice pentru protejarea drepturilor fundamentale şi a intereselor persoanei vizate.
(3)Datele cu caracter personal menţionate la alineatul (1) se pot prelucra pentru scopurile menţionate la alineatul (2) litera (h) în cazul în care datele respective sunt prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente, sau de către o altă persoană care este, de asemenea, supusă unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al unor normelor stabilite de organisme naţionale competente.
Art. 11: Prelucrarea datelor cu caracter personal referitoare la condamnări penale şi infracţiuni
Prelucrarea de date cu caracter personal referitoare la condamnări penale şi infracţiuni sau la măsuri de securitate conexe în temeiul articolului 5 alineatul (1) se efectuează numai sub controlul autorităţii de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii care prevede garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate.
Art. 12: Prelucrarea care nu necesită identificare
(1)În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligaţia de a păstra, obţine sau prelucra informaţii suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament.
(2)Dacă, în cazurile menţionate la alineatul (1) din prezentul articol, operatorul poate demonstra că nu este în măsură să identifice persoana vizată, operatorul informează persoana vizată în mod corespunzător, în cazul în care este posibil. În astfel de cazuri, articolele 17-22 nu se aplică, cu excepţia cazului în care persoana vizată, în scopul exercitării drepturilor sale în temeiul respectivelor articole, oferă informaţii suplimentare care permit identificarea sa.
Art. 13: Garanţii privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice
Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice are loc cu condiţia existenţei unor garanţii corespunzătoare, în conformitate cu prezentul regulament, pentru drepturile şi libertăţile persoanelor vizate. Respectivele garanţii asigură faptul că au fost instituite măsuri tehnice şi organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Respectivele măsuri pot include pseudonimizarea, cu condiţia ca respectivele scopuri să fie îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod.