Capitolul iv - OPERATORUL ŞI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
CAPITOLUL IV:OPERATORUL ŞI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR
Art. 26: Responsabilitatea operatorului
(1)Ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.
(2)Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile menţionate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecţie a datelor.
(3)Aderarea la mecanismele de certificare aprobate, menţionate la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element care să demonstreze respectarea obligaţiilor de către operator.
Art. 27: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
(1)Având în vedere stadiul actual al tehnologiei, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.
(2)Operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane.
(3)Un mecanism de certificare aprobat în conformitate cu articolul 42 din Regulamentul (UE) 2016/679 poate fi utilizat drept element care să demonstreze îndeplinirea cerinţelor prevăzute la alineatele (1) şi (2) din prezentul articol.
Art. 28: Operatorii asociaţi
(1)În cazul în care doi sau mai mulţi operatori sau unul sau mai mulţi operatori împreună cu unul sau mai mulţi operatori, alţii decât instituţii şi organe ale Uniunii, stabilesc în comun scopurile şi mijloacele prelucrării, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în materie de protecţie a datelor, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecărui operator de a furniza informaţiile prevăzute la articolele 15 şi 16, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor asociaţi sunt stabilite în dreptul Uniunii sau în dreptul intern al statului membru care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.
(2)Acordul menţionat la alineatul (1) reflectă în mod adecvat rolurile şi raporturile respective ale operatorilor asociaţi faţă de persoanele vizate. Esenţa acestui acord este făcută cunoscută persoanei vizate.
(3)Indiferent de clauzele acordului menţionat la alineatul (1), persoana vizată îşi poate exercita drepturile de care beneficiază în temeiul prezentului regulament în legătură cu sau împotriva fiecăruia dintre operatori.
Art. 29: Persoana împuternicită de operator
(1)În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi să asigure protecţia drepturilor persoanei vizate.
(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.
(3)Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:
a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni susţinute de documente din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului statului membru care i se aplică; în acest caz, persoana împuternicită de operator notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care legislaţia respectivă interzice această informare din motive importante legate de interesul public;
b)se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie legală adecvată de confidenţialitate;
c)adoptă toate măsurile necesare în conformitate cu articolul 33;
d)respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane împuternicite de operator;
e)ţinând seama de natura prelucrării, oferă asistenţă operatorului prin măsuri tehnice şi organizatorice adecvate, în măsura în care acest lucru este posibil, pentru îndeplinirea obligaţiei operatorului de a răspunde cererilor privind exercitarea de către persoana vizată a drepturilor prevăzute în capitolul III;
f)ajută operatorul să asigure respectarea obligaţiilor prevăzute la articolele 33-41, ţinând seama de caracterul prelucrării şi de informaţiile aflate la dispoziţia persoanei împuternicite de operator;
g)la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.
În ceea ce priveşte primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor.
(4)În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentului regulament. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite.
(5)În cazul în care o persoană împuternicită de un operator nu este o instituţie sau un organ al Uniunii, aderarea la un cod de conduită aprobat, menţionat la articolul 40 alineatul (5) din Regulamentul (UE) 2016/679, sau la un mecanism de certificare aprobat, menţionat la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element prin care să se demonstreze existenţa unor garanţii suficiente, astfel cum sunt menţionate la alineatele (1) şi (4) din prezentul articol.
(6)Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauzele contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată persoanei împuternicite de operator, care nu este o instituţie sau un organ al UE, în temeiul articolului 42 din Regulamentul (UE) 2016/679.
(7)Comisia poate să prevadă clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4) din prezentul articol şi în conformitate cu procedura de examinare menţionată la articolul 96 alineatul (2).
(8)Autoritatea Europeană pentru Protecţia Datelor poate să adopte clauze contractuale standard pentru aspectele menţionate la alineatele (3) şi (4).
(9)Contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) se formulează în scris, inclusiv în format electronic.
(10)Fără a aduce atingere articolelor 65 şi 66, în cazul în care o persoană împuternicită de operator încalcă prezentul regulament prin stabilirea scopurilor prelucrării şi a mijloacelor de prelucrare, persoana împuternicită de operator este considerată a fi un operator în ceea ce priveşte prelucrarea respectivă.
Art. 30: Desfăşurarea activităţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de către operator
Persoana împuternicită de operator şi orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator, care are acces la date cu caracter personal, nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul unui stat membru îl obligă să facă acest lucru.
Art. 31: Evidenţele activităţilor de prelucrare
(1)Fiecare operator păstrează o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea sa. Respectiva evidenţă cuprinde toate informaţiile următoare:
a)numele şi datele de contact ale operatorului, ale responsabilului cu protecţia datelor şi, dacă este cazul, ale persoanei împuternicite de către operator şi ale operatorului asociat;
b)scopurile prelucrării;
c)o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;
d)categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din statele membre, ţări terţe sau organizaţii internaţionale;
e)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi documentaţia care dovedeşte existenţa unor garanţii adecvate;
f)acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;
g)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 33.
(2)Fiecare persoană împuternicită de operator păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare desfăşurate în numele operatorului, care cuprinde:
a)numele şi datele de contact ale persoanei sau persoanelor împuternicite de către operator, ale fiecărui operator în numele căruia acţionează această persoană şi ale responsabilului cu protecţia datelor;
b)categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;
c)dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective şi documentaţia care dovedeşte existenţa unor garanţii adecvate;
d)acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 33.
(3)Evidenţele menţionate la alineatele (1) şi (2) se formulează în scris, inclusiv în format electronic.
(4)Instituţiile şi organele Uniunii pun evidenţele la dispoziţia Autorităţii Europene pentru Protecţia Datelor, la cerere.
(5)Cu excepţia cazului în care nu este adecvat, ţinând cont de dimensiunea instituţiei sau a organului Uniunii, instituţiile şi organele Uniunii îşi păstrează evidenţele activităţilor de prelucrare într-un registru central. Acestea pun registrul la dispoziţia publicului.
Art. 32: Cooperarea cu Autoritatea Europeană pentru Protecţia Datelor
Instituţiile şi organele Uniunii cooperează, la cerere, cu Autoritatea Europeană pentru Protecţia Datelor în îndeplinirea sarcinilor sale.
Art. 33: Securitatea prelucrării
(1)Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând, printre altele, după caz:
a)pseudonimizarea şi criptarea datelor cu caracter personal;
b)capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare;
c)capacitatea de a restabili disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
d)un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării.
(2)La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate, în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(3)Operatorul şi persoana împuternicită de acesta iau măsuri pentru a se asigura că orice persoană fizică ce acţionează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii.
(4)Aderarea la un mecanism de certificare aprobat, astfel cum se prevede la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată drept element care să demonstreze îndeplinirea cerinţelor prevăzute la alineatul (1) din prezentul articol.
Art. 34: Notificarea Autorităţii Europene pentru Protecţia Datelor în cazul încălcării securităţii datelor cu caracter personal
(1)În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru Autorităţii Europene pentru Protecţia Datelor, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea către Autoritatea Europeană pentru Protecţia Datelor nu are loc în termen de 72 de ore, aceasta este însoţită de o explicaţie privind motivele întârzierii.
(2)Persoana împuternicită de operator înştiinţează operatorul fără întârzieri nejustificate după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
(3)Notificarea menţionată la alineatul (1), cel puţin:
a)descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
b)comunică numele şi datele de contact ale responsabilului cu protecţia datelor;
c)descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
d)descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
(4)Atunci când şi în măsura în care nu este posibil să se furnizeze informaţiile în acelaşi timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.
(5)Operatorul informează responsabilul cu protecţia datelor cu privire la încălcarea securităţii datelor cu caracter personal.
(6)Operatorul păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Această documentaţie permite Autorităţii Europene pentru Protecţia Datelor să verifice respectarea prezentului articol.
Art. 35: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1)În cazul în care încălcarea securităţii datelor cu caracter personal este de natură să ducă la apariţia unui risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
(2)În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul articol se include o descriere într-un limbaj clar şi simplu a caracterului încălcării securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi măsurile menţionate la articolul 34 alineatul (3) literele (b), (c) şi (d).
(3)Informarea persoanei vizate menţionată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiţii este îndeplinită:
a)operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b)operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertăţile persoanelor vizate menţionat la alineatul (1) nu mai poate să se materializeze;
c)ar necesita un efort disproporţionat. În această situaţie, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
(4)În cazul în care operatorul nu a comunicat deja persoanei vizate încălcarea securităţii datelor cu caracter personal, Autoritatea Europeană pentru Protecţia Datelor, după ce a luat în considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să ducă la apariţia unui risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.
Art. 36: Confidenţialitatea comunicaţiilor electronice
Instituţiile şi organele Uniunii asigură confidenţialitatea comunicaţiilor electronice, în special prin securizarea propriilor reţele de comunicaţii electronice.
Art. 37: Protecţia informaţiilor transmise către, stocate în, aferente, prelucrate de şi colectate de la echipamentele terminale ale utilizatorilor
Instituţiile şi organele Uniunii protejează informaţiile transmise către, stocate în, aferente, prelucrate şi colectate de la echipamentele terminale ale utilizatorilor, accesând site-urile internet disponibile public şi aplicaţiile pentru dispozitive mobile ale acestora în conformitate cu articolul 5 alineatul (3) din Directiva 2002/58/CE.
Art. 38: Anuare de utilizatori
(1)Datele cu caracter personal cuprinse în anuarele de utilizatori şi accesul la aceste anuare se limitează la ceea ce este strict necesar pentru scopurile specifice ale anuarului respectiv.
(2)Instituţiile şi organele Uniunii iau toate măsurile necesare pentru a împiedica folosirea datelor cu caracter personal conţinute în aceste anuare în scopuri de marketing direct, indiferent dacă datele sunt accesibile sau nu publicului.
Art. 39: Evaluarea impactului asupra protecţiei datelor
(1)Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este de natură să ducă la apariţia unui risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare.
(2)La realizarea unei evaluări a impactului asupra protecţiei datelor, operatorul solicită consiliere din partea responsabilului cu protecţia datelor.
(3)Evaluarea impactului asupra protecţiei datelor menţionată la alineatul (1) se impune mai ales în cazul:
a)unei evaluări sistematice şi cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, şi care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
b)prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 10, sau a unor date cu caracter personal privind condamnări penale şi infracţiuni, menţionată la articolul 11; sau
c)unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.
(4)Autoritatea Europeană pentru Protecţia Datelor întocmeşte şi publică o listă a tipurilor de operaţiuni de prelucrare care fac obiectul cerinţei de efectuare a unei evaluări a impactului asupra protecţiei datelor în conformitate cu alineatul (1).
(5)Autoritatea Europeană pentru Protecţia Datelor poate, de asemenea, să întocmească şi să pună la dispoziţia publicului o listă a tipurilor de operaţiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecţiei datelor.
(6)Înainte de adoptarea listelor menţionate la alineatele (4) şi (5) de la prezentul articol, Autoritatea Europeană pentru Protecţia Datelor solicită Comitetului european pentru protecţia datelor instituit în temeiul articolului 68 din Regulamentul (UE) 2016/679 să examineze aceste liste în conformitate cu articolul 70 alineatul (1) litera (e) din regulamentul menţionat în cazul în care acestea vizează operaţiuni de prelucrare efectuate de un operator care acţionează împreună cu unul sau mai mulţi operatori alţii decât instituţiile şi organele Uniunii.
(7)Evaluarea conţine cel puţin:
a)o descriere sistematică a operaţiunilor de prelucrare preconizate şi a scopurilor prelucrării;
b)o evaluare a necesităţii şi proporţionalităţii operaţiunilor de prelucrare în legătură cu aceste scopuri;
c)o evaluare a riscurilor pentru drepturile şi libertăţile persoanelor vizate menţionate la alineatul (1); şi
d)măsurile preconizate în vederea abordării riscurilor, inclusiv garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze conformitatea cu dispoziţiile prezentului regulament, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale altor persoane interesate.
(8)La evaluarea impactului operaţiunilor de prelucrare efectuate de persoanele împuternicite de operatori relevante, altele decât instituţiile şi organele Uniunii, se are în vedere în mod corespunzător respectarea de către persoanele împuternicite respective a codurilor de conduită aprobate menţionate la articolul 40 din Regulamentul (UE) 2016/679, în special în vederea unei evaluări a impactului asupra protecţiei datelor.
(9)Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanţilor acestora privind prelucrarea prevăzută, fără a aduce atingere protecţiei intereselor publice ori securităţii operaţiunilor de prelucrare.
(10)Atunci când prelucrarea efectuată în temeiul articolului 5 alineatul (1) litera (a) sau (b) are drept temei juridic un act legislativ adoptat în baza tratatelor, care reglementează operaţiunea de prelucrare specifică sau setul de operaţiuni în cauză, şi atunci când s-a efectuat deja o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări generale a impactului prealabile adoptării respectivului act legislativ, alineatele (1)-(6) din prezentul articol nu se aplică, cu excepţia cazului în care acel act legislativ prevede acest lucru.
(11)Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecţiei datelor, cel puţin atunci când are loc o modificare a riscului reprezentat de operaţiunile de prelucrare.
Art. 40: Consultarea prealabilă
(1)Operatorul consultă Autoritatea Europeană pentru Protecţia Datelor înainte de prelucrare în cazul în care o evaluare a impactului asupra protecţiei datelor efectuată în temeiul articolului 39 arată că prelucrarea ar duce, în absenţa garanţiilor, măsurilor de securitate şi mecanismelor de atenuare a riscului, la apariţia unui risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile având în vedere tehnologiile disponibile şi costurile implementării. Operatorul solicită consiliere din partea responsabilului cu protecţia datelor cu privire la necesitatea consultării prealabile.
(2)Atunci când Autoritatea Europeană pentru Protecţia Datelor consideră că prelucrarea prevăzută, astfel cum este menţionată la alineatul (1), ar încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecţia Datelor oferă consiliere în scris operatorului şi, după caz, persoanei împuternicite de operator, în termen de cel mult opt săptămâni de la primirea cererii de consultare, şi îşi poate exercita oricare dintre competenţele menţionate la articolul 58. Această perioadă poate fi prelungită cu şase săptămâni, ţinându-se seama de complexitatea prelucrării prevăzute. Autoritatea Europeană pentru Protecţia Datelor informează operatorul şi, după caz, persoana împuternicită de operator în termen de o lună de la primirea cererii de consultare cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până când Autoritatea Europeană pentru Protecţia Datelor a obţinut informaţiile pe care le-a solicitat în scopul consultării.
(3)Cu ocazia consultării Autorităţii Europene pentru Protecţia Datelor în temeiul alineatului (1), operatorul furnizează Autorităţii Europene pentru Protecţia Datelor:
a)dacă este cazul, responsabilităţile respective ale operatorului, ale operatorilor asociaţi şi ale persoanelor împuternicite de operator implicate în activităţile de prelucrare;
b)scopurile şi mijloacele prelucrării preconizate;
c)măsurile şi garanţiile prevăzute pentru protecţia drepturilor şi libertăţilor persoanelor vizate, în conformitate cu prezentul regulament;
d)datele de contact ale responsabilului cu protecţia datelor;
e)evaluarea impactului asupra protecţiei datelor prevăzută la articolul 39; şi
f)orice alte informaţii solicitate de Autoritatea Europeană pentru Protecţia Datelor.
(4)Comisia poate, prin intermediul unui act de punere în aplicare, să stabilească o listă de cazuri în care operatorii se consultă cu Autoritatea Europeană pentru Protecţia Datelor şi obţin o autorizaţie prealabilă de la aceasta în ceea ce priveşte prelucrarea datelor cu caracter personal pentru îndeplinirea unei sarcini executate de operator în interes public, inclusiv prelucrarea unor astfel de date în legătură cu protecţia socială şi sănătatea publică.
Art. 41: Informare şi consultare
(1)Instituţiile şi organele Uniunii informează Autoritatea Europeană pentru Protecţia Datelor în cazul elaborării de măsuri administrative şi de norme interne referitoare la prelucrarea datelor cu caracter personal de către o instituţie sau un organ al Uniunii, singur sau împreună cu altele.
(2)Instituţiile şi organele Uniunii consultă Autoritatea Europeană pentru Protecţia Datelor atunci când elaborează normele interne menţionate la articolul 25.
Art. 42: Consultare legislativă
(1)În urma adoptării unor propuneri de acte legislative, a unor recomandări sau a unor propuneri adresate Consiliului în temeiul articolului 218 din TFUE sau atunci când elaborează acte delegate sau acte de punere în aplicare, Comisia consultă Autoritatea Europeană pentru Protecţia Datelor atunci când există un impact asupra protecţiei drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal.
(2)În cazul în care un act menţionat la alineatul (1) este deosebit de important pentru protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, Comisia poate, de asemenea, să consulte Comitetul european pentru protecţia datelor. În astfel de cazuri, Autoritatea Europeană pentru Protecţia Datelor şi Comitetul european pentru protecţia datelor îşi coordonează activitatea în vederea emiterii unui aviz comun.
(3)Consilierea menţionată la alineatele (1) şi (2) se furnizează în scris, în termen de maximum opt săptămâni de la primirea cererii de consultare menţionate la alineatele (1) şi (2). În cazuri urgente sau oportune, Comisia poate să reducă termenul stabilit.
(4)Prezentul articol nu se aplică în cazul în care Comisia este obligată, în conformitate cu Regulamentul (UE) 2016/679, să consulte Comitetul european pentru protecţia datelor.
Art. 43: Desemnarea responsabilului cu protecţia datelor
(1)Fiecare instituţie sau organ al Uniunii desemnează un responsabil cu protecţia datelor.
(2)Instituţiile şi organele Uniunii pot desemna un responsabil unic cu protecţia datelor pentru mai multe dintre ele, ţinând seama de structura organizatorică şi de dimensiunea acestora.
(3)Responsabilul cu protecţia datelor este desemnat pe baza calităţilor profesionale şi, în special, a cunoştinţelor de specialitate în dreptul şi practicile din domeniul protecţiei datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 45.
(4)Responsabilul cu protecţia datelor este un membru al personalului instituţiei sau organului Uniunii. Având în vedere dimensiunea lor şi dacă opţiunea în temeiul alineatului (2) nu este exercitată, instituţiile şi organele Uniunii pot desemna un responsabil cu protecţia datelor care îşi îndeplineşte atribuţiile în baza unui contract de servicii.
(5)Instituţiile şi organele Uniunii publică datele de contact ale responsabilului cu protecţia datelor şi le comunică Autorităţii Europene pentru Protecţia Datelor.
Art. 44: Funcţia responsabilului cu protecţia datelor
(1)Instituţiile şi organele Uniunii se asigură că responsabilul cu protecţia datelor este implicat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal.
(2)Instituţiile şi organele Uniunii sprijină responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 45, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesul la date cu caracter personal şi la operaţiunile de prelucrare a acestora, şi oferindu-i posibilitatea de a-şi actualiza cunoştinţele de specialitate.
(3)Instituţiile şi organele Uniunii se asigură că responsabilul cu protecţia datelor nu primeşte niciun fel de instrucţiuni în ceea ce priveşte îndeplinirea acestor sarcini. Acesta nu este demis sau sancţionat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecţia datelor răspunde direct în faţa celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.
(4)Persoanele vizate pot contacta responsabilul cu protecţia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor şi la exercitarea drepturilor lor în temeiul prezentului regulament.
(5)Responsabilul cu protecţia datelor şi personalul acestuia au obligaţia de a respecta secretul sau confidenţialitatea în ceea ce priveşte îndeplinirea sarcinilor lor, în conformitate cu dreptul Uniunii.
(6)Responsabilul cu protecţia datelor poate îndeplini şi alte sarcini şi atribuţii. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini şi atribuţii nu generează un conflict de interese.
(7)Responsabilul cu protecţia datelor poate fi consultat de către operator sau de către persoana împuternicită de acesta, de către Comitetul pentru personal şi de către orice persoană fizică, în orice problemă privind interpretarea sau aplicarea prezentului regulament, fără să se recurgă la căile oficiale. Nimeni nu poate suferi un prejudiciu ca urmare a unui fapt adus la cunoştinţa responsabilului competent cu protecţia datelor, despre care se susţine că ar reprezenta o încălcare a dispoziţiilor prezentului regulament.
(8)Responsabilul cu protecţia datelor este desemnat pentru un mandat de trei până la cinci ani şi este eligibil pentru o nouă numire. Acesta nu poate fi eliberat din funcţia de responsabil cu protecţia datelor de către instituţia sau organul Uniunii care l-a desemnat, dacă nu mai îndeplineşte condiţiile necesare pentru exercitarea atribuţiilor sale, decât cu acordul Autorităţii Europene pentru Protecţia Datelor.
(9)După desemnarea responsabilului cu protecţia datelor, numele acestuia se comunică Autorităţii Europene pentru Protecţia Datelor de către instituţia sau organul Uniunii care l-a desemnat.
Art. 45: Sarcinile responsabilului cu protecţia datelor
(1)Responsabilul cu protecţia datelor are următoarele sarcini:
a)informarea şi consilierea operatorului sau a persoanei împuternicite de operator, precum şi a angajaţilor care se ocupă de prelucrare cu privire la obligaţiile care le revin în temeiul prezentului regulament şi al altor dispoziţii de drept al Uniunii referitoare la protecţia datelor;
b)asigurarea în mod independent a aplicării interne a prezentului regulament şi monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii în vigoare referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;
c)asigurarea informării tuturor persoanelor vizate cu privire la drepturile şi obligaţiile ce le revin în temeiul prezentului regulament;
d)furnizarea de consiliere, la cerere, în ceea ce priveşte necesitatea unei notificări sau a unei comunicări a unei încălcări a datelor cu caracter personal, în temeiul articolelor 34 şi 35;
e)furnizarea de consiliere, la cerere, în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea realizării acestei evaluări în temeiul articolului 39 şi consultarea Autorităţii Europene pentru Protecţia Datelor în cazul în care există îndoieli cu privire la necesitatea efectuării unei evaluări a impactului asupra protecţiei datelor;
f)furnizarea de consiliere, la cerere, în ceea ce priveşte necesitatea unei consultări prealabile a Autorităţii Europene pentru Protecţia Datelor în temeiul articolului 40; consultarea acesteia în cazul în care există îndoieli cu privire la necesitatea unei consultări prealabile;
g)onorarea cererilor Autorităţii Europene pentru Protecţia Datelor; în cadrul sferei sale de competenţă, cooperarea şi consultarea cu Autoritatea Europeană pentru Protecţia Datelor, la cererea acesteia din urmă sau din proprie iniţiativă;
h)garantarea faptului că operaţiunile de prelucrare nu afectează negativ drepturile şi libertăţile persoanelor vizate.
(2)Responsabilul cu protecţia datelor poate face recomandări operatorului şi persoanei împuternicite de acesta în vederea îmbunătăţirii concrete a protecţiei datelor şi le poate acorda consultanţă cu privire la aspecte referitoare la aplicarea dispoziţiilor privind protecţia datelor. Mai mult, din proprie iniţiativă sau la cererea operatorului ori a persoanei împuternicite de acesta, a Comitetului pentru personal în cauză sau a oricărei alte persoane fizice, poate să cerceteze problemele şi faptele legate direct de sarcinile sale, care i-au fost aduse la cunoştinţă, prezentând un raport persoanei care a solicitat cercetarea sau operatorului ori persoanei împuternicite de acesta.
(3)Fiecare instituţie sau organ al Uniunii adoptă norme complementare de punere în aplicare cu privire la responsabilul cu protecţia datelor. Normele de aplicare se referă în special la sarcinile, atribuţiile şi competenţele responsabilului cu protecţia datelor.