Capitolul ix - PRELUCRAREA DATELOR OPERAŢIONALE CU CARACTER PERSONAL DE CĂTRE ORGANELE, OFICIILE ŞI AGENŢIILE UNIUNII ATUNCI CÂND ACESTEA DESFĂŞOARĂ ACTIVITĂŢI CARE INTRĂ SUB INCIDENŢA PĂRŢII A TREIA TITLUL V CAPITOLUL 4 SAU CAPITOLUL 5 DIN TFUE - Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE
Acte UE
Jurnalul Oficial 295L
În vigoare Versiune de la: 21 Noiembrie 2018
CAPITOLUL IX:PRELUCRAREA DATELOR OPERAŢIONALE CU CARACTER PERSONAL DE CĂTRE ORGANELE, OFICIILE ŞI AGENŢIILE UNIUNII ATUNCI CÂND ACESTEA DESFĂŞOARĂ ACTIVITĂŢI CARE INTRĂ SUB INCIDENŢA PĂRŢII A TREIA TITLUL V CAPITOLUL 4 SAU CAPITOLUL 5 DIN TFUE
Art. 70: Domeniul de aplicare al prezentului capitol
Prezentul capitol se aplică exclusiv prelucrării datelor operaţionale cu caracter personal de către organele, oficiile şi agenţiile Uniunii atunci când acestea desfăşoară activităţi care intră sub incidenţa părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE, fără a aduce atingere normelor specifice de protecţie a datelor aplicabile acestor organe, oficii sau agenţii ale Uniunii.
Art. 71: Principii legate de prelucrarea datelor operaţionale cu caracter personal
(1)Datele operaţionale cu caracter personal:
a)sunt prelucrate în mod legal şi echitabil ("legalitate şi echitate");
b)sunt colectate într-un scop determinat, explicit şi legitim şi nu sunt prelucrate într-un mod incompatibil cu acest scop ("limitarea scopului");
c)sunt adecvate, pertinente şi neexcesive în raport cu scopul în care sunt prelucrate ("reducerea la minimum a datelor");
d)sunt exacte şi, dacă este necesar, actualizate; se iau toate măsurile rezonabile pentru a se garanta că datele operaţionale cu caracter personal care sunt inexacte, având în vedere scopul pentru care sunt prelucrate, sunt şterse sau rectificate fără întârziere ("exactitatea");
e)sunt păstrate într-o formă care permite identificarea persoanelor vizate fără a se depăşi timpul necesar realizării scopului în care sunt prelucrate datele operaţionale cu caracter personal ("limitarea timpului de păstrare");
f)sunt prelucrate într-un mod care asigură un grad adecvat de securitate a datelor operaţionale cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, fiind luate măsuri tehnice sau organizatorice corespunzătoare ("integritate şi confidenţialitate").
(2)Se permite prelucrarea de către acelaşi operator sau de către un alt operator, în oricare dintre scopurile stabilite în actul juridic de instituire a organului, a oficiului sau a agenţiei Uniunii pe lângă scopul pentru care au fost colectate datele operaţionale cu caracter personal, în măsura în care:
a)operatorul este autorizat să prelucreze astfel de date operaţionale cu caracter personal în scopul respectiv în conformitate cu dreptul Uniunii; şi
b)prelucrarea este necesară şi proporţională în raport cu scopul secundar respectiv, în conformitate cu dreptul Uniunii.
(3)Prelucrarea de către acelaşi operator sau de către un alt operator poate include arhivarea în interes public sau în scopuri ştiinţifice, statistice sau istorice, pentru scopurile stabilite în actul juridic de instituire a respectivului organ, oficiu sau agenţie a Uniunii, cu condiţia unor garanţii adecvate privind respectarea drepturilor şi a libertăţilor persoanelor vizate.
(4)Operatorul este responsabil de respectarea alineatelor (1), (2) şi (3) şi este în măsură să demonstreze că aceste dispoziţii au fost respectate.
Art. 72: Legalitatea prelucrării datelor operaţionale cu caracter personal
(1)Prelucrarea datelor operaţionale cu caracter personal este legală numai dacă şi în măsura în care prelucrarea în cauză este necesară pentru executarea unei sarcini realizate de către organele, oficiile şi agenţiile Uniunii atunci când desfăşoară activităţi care intră sub incidenţa părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE şi se întemeiază pe dreptul Uniunii.
(2)În actele juridice specifice ale Uniunii prin care se reglementează prelucrarea în temeiul prezentului capitol se precizează cel puţin obiectivele prelucrării, datele operaţionale cu caracter personal ce urmează să fie prelucrate, scopul prelucrării şi perioada de păstrare a datelor operaţionale cu caracter personal sau periodicitatea cu care este examinată necesitatea ca datele operaţionale respective cu caracter personal să fie păstrate în continuare.
Art. 73: Deosebirea dintre diferitele categorii de persoane vizate
După caz şi în măsura posibilului, operatorul face o distincţie clară între datele operaţionale cu caracter personal ale diferitelor categorii de persoane vizate, precum categoriile enumerate în actele juridice de instituire a organelor, oficiilor şi agenţiilor Uniunii.
Art. 74: Deosebirea diferitelor tipuri de date operaţionale cu caracter personal şi verificarea calităţii datelor operaţionale cu caracter personal
(1)Operatorul face deosebirea, în măsura posibilului, între datele operaţionale cu caracter personal ce se bazează pe fapte şi datele operaţionale cu caracter personal ce se bazează pe o apreciere personală.
(2)Operatorul ia toate măsurile rezonabile pentru a se asigura că datele operaţionale cu caracter personal care sunt inexacte, incomplete sau perimate nu sunt transmise sau puse la dispoziţie. În acest scop, operatorul verifică, în măsura în care este posibil şi relevant, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziţie, de exemplu consultând autoritatea competentă de la care provin datele. În măsura în care acest lucru este posibil, de fiecare dată când transmite date operaţionale cu caracter personal, operatorul adaugă informaţiile necesare care să-i permită destinatarului să evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate al datelor operaţionale cu caracter personal, precum şi măsura în care acestea sunt actuale.
(3)În cazul în care se constată că au fost transmise date operaţionale cu caracter personal incorecte sau au fost transmise date operaţionale cu caracter personal în mod ilegal, acest lucru se comunică de îndată destinatarului. În acest caz, datele operaţionale cu caracter personal respective sunt rectificate ori şterse sau prelucrarea lor este limitată în conformitate cu articolul 82.
Art. 75: Condiţii specifice de prelucrare
(1)Atunci când dreptul Uniunii aplicabilă operatorului care transmite datele prevede condiţii specifice de prelucrare, operatorul informează destinatarul datelor operaţionale cu caracter personal cu privire la aceste condiţii şi la obligaţia de a le respecta.
(2)Operatorul respectă condiţiile specifice de prelucrare prevăzute de autoritatea naţională competentă care transmite datele în conformitate cu articolul 9 alineatele (3) şi (4) din Directiva (UE) 2016/680.
Art. 76: Prelucrarea categoriilor speciale de date operaţionale cu caracter personal
(1)Prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice şi afilierea sindicală, precum şi prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor operaţionale cu caracter personal privind starea sănătăţii sau viaţa sexuală ori orientarea sexuală a unei persoane fizice este autorizată numai atunci când este strict necesară în scopuri operaţionale şi se încadrează în mandatul respectivului organ, oficiu sau agenţie a Uniunii şi sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate. Este interzisă discriminarea persoanelor fizice pe baza acestor date cu caracter personal.
(2)Responsabilul cu protecţia datelor este informat imediat cu privire la cazurile în care se aplică prezentul articol.
Art. 77: Procesul decizional individual automatizat, inclusiv crearea de profiluri
(1)O decizie bazată numai pe prelucrarea automatizată, inclusiv întocmirea unui profil, care produce un efect juridic advers privind persoana vizată sau care o afectează în mod semnificativ, este interzisă, cu excepţia cazului în care acest lucru este autorizat de dreptul Uniunii care îl vizează pe operator şi care oferă garanţii adecvate privind drepturile şi libertăţile persoanei vizate, cel puţin privind dreptul la o intervenţie umană din partea operatorului.
(2)Deciziile menţionate la alineatul (1) din prezentul articol nu se întemeiază pe categoriile speciale de date cu caracter personal menţionate la articolul 76, cu excepţia cazului în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăţilor şi a intereselor legitime ale persoanei vizate.
(3)În conformitate cu dreptul Uniunii, este interzisă crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza categoriilor speciale de date cu caracter personal menţionate la articolul 76.
Art. 78: Comunicarea şi modalităţile de exercitare a drepturilor persoanei vizate
(1)Operatorul ia măsuri rezonabile pentru a transmite persoanei vizate toate informaţiile menţionate la articolul 79 şi îi transmite acesteia toate comunicările în legătură cu articolele 80-84 şi cu articolul 92 referitoare la prelucrare, într-o formă concisă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Informaţiile se transmit prin orice mijloace adecvate, inclusiv prin mijloace electronice. Ca regulă generală, operatorul transmite informaţiile în acelaşi format în care a fost primită cererea.
(2)Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 79-84.
(3)Operatorul informează în scris persoana vizată cu privire la modul în care a dat curs cererii acesteia, fără întârzieri nejustificate şi, în orice caz, în termen de trei luni de la primirea cererii din partea persoanei vizate.
(4)Operatorul transmite gratuit informaţiile vizate la articolul 79 şi realizează gratuit comunicările şi măsurile prevăzute la articolele 80-84 şi la articolul 92. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate refuza să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.
(5)În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menţionată la articolul 80 sau 82, operatorul poate solicita să-i prezinte informaţii suplimentare, necesare pentru a confirma identitatea persoanei vizate.
Art. 79: Informaţii care se pun la dispoziţia persoanei vizate sau se comunică acesteia
(1)Operatorul pune la dispoziţia persoanei vizate cel puţin următoarele informaţii:
a)identitatea şi datele de contact ale organului, oficiului sau agenţiei Uniunii;
b)datele de contact ale responsabilului cu protecţia datelor;
c)scopul în care sunt prelucrate datele operaţionale cu caracter personal;
d)dreptul de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor şi datele de contact ale acesteia;
e)existenţa dreptului de a solicita operatorului acces la datele operaţionale cu caracter personal referitoare la persoana vizată şi rectificarea sau ştergerea datelor respective sau restricţionarea prelucrării lor.
(2)În plus faţă de informaţiile menţionate la alineatul (1), operatorul îi comunică persoanei vizate, în anumite cazuri prevăzute de legislaţia Uniunii, următoarele informaţii suplimentare, pentru a-i permite acesteia să-şi exercite drepturile:
a)temeiul juridic al prelucrării;
b)perioada în care vor fi păstrate datele operaţionale cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili această perioadă;
c)dacă este cazul, categoriile de destinatari ai datelor operaţionale cu caracter personal, inclusiv în ţări terţe sau organizaţii internaţionale;
d)în cazul în care este necesar, informaţii suplimentare, în special atunci când datele operaţionale cu caracter personal sunt colectate fără ştirea persoanei vizate.
(3)Operatorul poate amâna, restricţiona sau omite furnizarea de informaţii persoanei vizate în conformitate cu alineatul (2) în măsura în care şi atât timp cât o astfel de măsură constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice în cauză, pentru:
a)a evita obstrucţionarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;
b)a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor;
c)a proteja securitatea publică a statelor membre;
d)a proteja securitatea naţională a statelor membre;
e)a proteja drepturile şi libertăţile altora, de exemplu ale victimelor şi martorilor.
Art. 80: Dreptul de acces al persoanei vizate
Persoana vizată are dreptul de a obţine din partea operatorului o confirmare dacă se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, are dreptul de a obţine acces la datele operaţionale cu caracter personal şi la următoarele informaţii:
(a)scopurile şi temeiul juridic al prelucrării;
(b)categoriile datelor operaţionale cu caracter personal vizate;
(c)destinatarii sau categoriile de destinatari cărora le-au fost divulgate datele operaţionale cu caracter personal, în special destinatarii din ţări terţe sau organizaţii internaţionale;
(d)acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele operaţionale cu caracter personal sau, dacă nu este posibil, criteriile utilizate pentru a determina această perioadă;
(e)existenţa dreptului de a solicita de la operator rectificarea sau ştergerea datelor operaţionale cu caracter personal sau restricţionarea prelucrării datelor operaţionale cu caracter personal referitoare la persoana vizată;
(f)dreptul de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor şi datele de contact ale acesteia;
(g)comunicarea datelor operaţionale cu caracter personal care sunt în curs de prelucrare şi a oricăror informaţii disponibile cu privire la originea acestora.
Art. 81: Limitarea dreptului de acces
(1)Operatorul poate limita, integral sau parţial, dreptul de acces al persoanei vizate în măsura în care şi atât timp cât o astfel de limitare, parţială sau totală, constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice în cauză, pentru:
a)a evita obstrucţionarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;
b)a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor;
c)a proteja securitatea publică a statelor membre;
d)a proteja securitatea naţională a statelor membre;
e)a proteja drepturile şi libertăţile altora, de exemplu ale victimelor şi martorilor.
(2)În cazurile prevăzute la alineatul (1), operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la orice refuz sau restricţionare a accesului şi la motivele refuzului sau ale restricţionării. Aceste informaţii pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor sau de a introduce o cale de atac în faţa Curţii de Justiţie. Operatorul justifică motivele de fapt sau de drept pe care se întemeiază decizia. Aceste informaţii sunt puse la dispoziţia Autorităţii Europene pentru Protecţia Datelor, la cerere.
Art. 82: Dreptul la rectificarea sau ştergerea datelor operaţionale cu caracter personal şi restricţionarea prelucrării acestora
(1)Orice persoană vizată are dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor operaţionale cu caracter personal inexacte care o privesc. Ţinându-se seama de scopul prelucrării datelor, persoana vizată are dreptul de a obţine completarea datelor operaţionale cu caracter personal care sunt incomplete, inclusiv prin transmiterea unei declaraţii suplimentare.
(2)Operatorul şterge datele operaţionale cu caracter personal fără întârzieri nejustificate, iar persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor operaţionale cu caracter personal care o privesc fără întârzieri nejustificate în cazul în care prelucrarea încalcă dispoziţiile articolului 71, articolului 72 alineatul (1) sau ale articolului 76 sau în cazul în care datele operaţionale cu caracter personal trebuie şterse pentru îndeplinirea unei obligaţii legale ce îi revine operatorului.
(3)În loc de ştergere, operatorul restricţionează prelucrarea în cazul în care:
a)exactitatea datelor cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu poate fi stabilită; sau
b)datele cu caracter personal trebuie să fie păstrate ca mijloace de probă.
În cazul în care prelucrarea este restricţionată în conformitate cu litera (a) de la primul paragraf, operatorul informează persoana vizată înainte de ridicarea restricţiilor de prelucrare.
Datele restricţionate se prelucrează doar în scopul pentru care nu au fost şterse.
(4)Operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ştergere a datelor operaţionale cu caracter personal sau la restricţionarea prelucrării şi motivele refuzului. Operatorul poate restricţiona, integral sau parţial, furnizarea unor astfel de informaţii în măsura în care o astfel de restricţionare constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice vizate pentru:
a)a evita obstrucţionarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;
b)a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor;
c)a proteja securitatea publică a statelor membre;d) a proteja securitatea naţională a statelor membre;
e)a proteja drepturile şi libertăţile altora, de exemplu ale victimelor şi martorilor.
Operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor sau de a introduce o cale de atac în faţa Curţii de Justiţie.
(5)Operatorul comunică rectificarea datelor operaţionale cu caracter personal inexacte autorităţii competente de la care provin datele operaţionale cu caracter personal inexacte.
(6)În cazul în care datele operaţionale cu caracter personal au fost rectificate sau şterse sau a fost restricţionată prelucrarea lor în temeiul alineatului (1), (2) sau (3), operatorul aduce la cunoştinţa destinatarilor aceste fapte şi îi informează că trebuie să rectifice sau să şteargă datele operaţionale cu caracter personal sau să restricţioneze prelucrarea datelor operaţionale cu caracter personal aflate în responsabilitatea lor.
Art. 83: Dreptul de acces în cadrul anchetelor penale şi al procedurilor penale
În cazul în care datele operaţionale cu caracter personal provin de la o autoritate competentă, organele, oficiile şi agenţiile Uniunii verifică la autoritatea competentă în cauză, înainte de a lua o decizie cu privire la dreptul de acces al persoanei vizate, dacă aceste date cu caracter personal sunt incluse într-o hotărâre judiciară, într-un registru sau într-o cauză judiciară prelucrată în cadrul unor anchete penale şi al unor proceduri penale din statul membru al autorităţii competente în cauză. Dacă răspunsul este afirmativ, se ia o decizie cu privire la dreptul de acces în consultare şi în strânsă cooperare cu autoritatea competentă în cauză.
Art. 84: Exercitarea drepturilor de către persoana vizată şi verificarea de către Autoritatea Europeană pentru Protecţia Datelor
(1)În cazurile menţionate la articolul 79 alineatul (3), articolul 81 şi articolul 82 alineatul (4), drepturile persoanei vizate pot fi exercitate şi prin intermediul Autorităţii Europene pentru Protecţia Datelor.
(2)Operatorul informează persoana vizată cu privire la posibilitatea de a-şi exercita drepturile prin intermediul Autorităţii Europene pentru Protecţia Datelor în temeiul alineatului (1).
(3)Atunci când dreptul menţionat la alineatul (1) este exercitat, Autoritatea Europeană pentru Protecţia Datelor informează persoana vizată cel puţin cu privire la faptul că a realizat toate verificările necesare sau o analiză. Autoritatea Europeană pentru Protecţia Datelor informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac în faţa Curţii de Justiţie.
Art. 85: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit
(1)Având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare şi natura, amploarea, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât şi la momentul prelucrării propriu-zise, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficace principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi ale actului juridic de instituire care îl vizează pe operator, precum şi pentru a proteja drepturile persoanelor vizate.
(2)Operatorul pune în aplicare măsuri tehnice şi organizatorice corespunzătoare pentru a asigura că, în mod implicit, sunt prelucrate numai date operaţionale cu caracter personal care sunt adecvate şi pertinente şi nu sunt excesive în raport cu scopul în care sunt prelucrate. Această obligaţie se aplică volumului de date operaţionale cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de păstrare şi accesibilităţii lor. În special, astfel de măsuri garantează că, în mod implicit, datele operaţionale cu caracter personal nu pot fi accesate de un număr nelimitat de persoane fizice fără intervenţia persoanei vizate.
Art. 86: Operatorii asociaţi
(1)În cazul în care doi sau mai mulţi operatori sau unul sau mai mulţi operatori împreună cu unul sau mai mulţi operatori, alţii decât instituţii şi organe ale Uniunii, stabilesc în comun scopurile şi mijloacele prelucrării, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în materie de protecţie a datelor, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecărui operator de a transmite informaţiile prevăzute la articolul 79, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor asociaţi sunt stabilite în dreptul Uniunii sau în dreptul intern al statelor membre care se aplică operatorilor asociaţi. Acordul poate să desemneze un punct de contact pentru persoanele vizate.
(2)Acordul menţionat la alineatul (1) reflectă în mod corespunzător rolurile respective ale operatorilor asociaţi şi raporturile lor cu persoana vizată. Esenţa acestui acord este făcută cunoscută persoanei vizate.
(3)Indiferent de clauzele acordului menţionat la alineatul (1), persoana vizată îşi poate exercita drepturile în temeiul prezentului regulament cu privire la fiecare dintre operatori şi în raport cu fiecare dintre operatori.
Art. 87: Persoana împuternicită de operator
(1)În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să respecte cerinţele prevăzute în prezentul regulament şi în actul juridic de instituire a operatorului şi să asigure protecţia drepturilor persoanei vizate.
(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificare preconizată privind adăugarea sau înlocuirea altor persoane împuternicite, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.
(3)Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date operaţionale cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:
a)acţionează numai pe baza instrucţiunilor operatorului;
b)se asigură că persoanele autorizate să prelucreze datele operaţionale cu caracter personal s-au angajat să respecte confidenţialitatea sau fac obiectul unei obligaţii statutare corespunzătoare de confidenţialitate;
c)asistă operatorul prin orice mijloace adecvate pentru a asigura respectarea dispoziţiilor privind drepturile persoanei vizate;
d)la alegerea operatorului, şterge sau returnează operatorului toate datele operaţionale cu caracter personal după încetarea serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune păstrarea datelor operaţionale cu caracter personal;
e)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol;
f)respectă condiţiile menţionate la alineatul (2) şi la prezentul alineat pentru recrutarea unei alte persoane împuternicite.
(4)Contractul sau un alt act juridic menţionat la alineatul (3) se întocmeşte în scris, inclusiv în format electronic.
(5)În cazul în care o persoană împuternicită de către operator încalcă prezentul regulament sau actul juridic de instituire a operatorului prin stabilirea scopurilor şi mijloacelor prelucrării, persoana împuternicită este considerată ca fiind operator în ceea ce priveşte prelucrarea respectivă.
Art. 88: Înregistrarea
(1)Operatorul înregistrează oricare dintre următoarele operaţiuni de prelucrare în sistemele de prelucrare automată: colectarea, modificarea, accesul, consultarea, divulgarea (inclusiv transferurile), combinarea şi ştergerea de date operaţionale cu caracter personal. Înregistrările consultărilor şi ale dezvăluirilor fac posibilă determinarea motivelor, a datei şi a orei efectuării acestor operaţiuni, identificarea persoanei care a consultat sau a dezvăluit date operaţionale cu caracter personal şi, în măsura în care este posibil, identitatea destinatarilor acestor date operaţionale cu caracter personal.
(2)Înregistrările sunt utilizate numai pentru verificarea legalităţii prelucrării, monitorizare proprie, asigurarea integrităţii şi a securităţii datelor operaţionale cu caracter personal şi în cadrul unor proceduri penale. Aceste înregistrări sunt şterse după trei ani, cu excepţia cazului în care sunt necesare pentru un control în curs.
(3)Operatorul pune înregistrările la dispoziţia responsabilului cu protecţia datelor din cadrul său şi la dispoziţia Autorităţii Europene pentru Protecţia Datelor, la cerere.
Art. 89: Evaluarea impactului asupra protecţiei datelor
(1)În cazul în care un tip de prelucrare, în special care implică utilizarea de noi tehnologii, şi ţinând seama de natura, amploarea, contextul şi scopurile prelucrării, este susceptibil să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul efectuează, înainte de prelucrare, o evaluare a impactului operaţiunilor de prelucrare preconizate asupra protecţiei datelor operaţionale cu caracter personal.
(2)Evaluarea menţionată la alineatul (1) cuprinde cel puţin o descriere generală a operaţiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor şi libertăţilor persoanelor vizate, măsurile preconizate în vederea eliminării riscurilor, garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor operaţionale cu caracter personal şi să demonstreze respectarea normelor de protecţie a datelor, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale celorlalte persoane interesate.
Art. 90: Consultarea prealabilă a Autorităţii Europene pentru Protecţia Datelor
(1)Operatorul consultă Autoritatea Europeană pentru Protecţia Datelor înainte de prelucrarea care va face parte dintr-un nou sistem de evidenţă care urmează a fi creat, în cazul în care:
a)o evaluare a impactului asupra protecţiei datelor, în temeiul articolului 89, indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri din partea operatorului pentru atenuarea riscului; sau
b)tipul de prelucrare, în special în cazul în care se utilizează noi tehnologii, mecanisme sau proceduri, implică un risc ridicat la adresa drepturilor şi libertăţilor persoanelor vizate.
(2)Autoritatea Europeană pentru Protecţia Datelor poate stabili o listă a operaţiunilor de prelucrare care fac obiectul consultării prealabile în conformitate cu alineatul (1).
(3)Operatorul transmite Autorităţii Europene pentru Protecţia Datelor evaluarea impactului asupra protecţiei datelor menţionată la articolul 89 şi, la cererea acesteia, orice altă informaţie care îi permite Autorităţii Europene pentru Protecţia Datelor să evalueze conformitatea prelucrării şi, în special, riscurile la adresa protecţiei datelor operaţionale cu caracter personal ale persoanei vizate şi garanţiile aferente.
(4)Atunci când Autoritatea Europeană pentru Protecţia Datelor consideră că prelucrarea preconizată, menţionată la alineatul (1), ar încălca dispoziţiile prezentului regulament sau ale actului juridic de instituire a organului, oficiului sau agenţiei Uniunii, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecţia Datelor îi transmite operatorului recomandări scrise în termen de cel mult şase săptămâni de la primirea cererii de consultare. Termenul menţionat poate fi prelungit cu o lună, ţinându-se seama de complexitatea prelucrării preconizate. Autoritatea Europeană pentru Protecţia Datelor informează operatorul cu privire la o astfel de prelungire în termen de o lună de la primirea cererii de consultare, prezentând motivele întârzierii.
Art. 91: Securitatea prelucrării datelor operaţionale cu caracter personal
(1)Având în vedere stadiul actual al tehnologiei şi costurile implementării şi ţinând seama de natura, amploarea, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul şi persoana împuternicită de operator pun în aplicare măsuri tehnice şi organizatorice corespunzătoare în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce priveşte prelucrarea categoriilor speciale de date operaţionale cu caracter personal.
(2)În ceea ce priveşte prelucrarea automată, operatorul şi persoana împuternicită de operator pun în aplicare, în urma unei evaluări a riscurilor, măsuri menite:
a)să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor utilizate pentru prelucrare ("controlul accesului la echipamente");
b)să împiedice citirea, copierea, modificarea sau îndepărtarea neautorizată a suporturilor de date ("controlul suporturilor de date");
c)să împiedice introducerea neautorizată de date operaţionale cu caracter personal şi inspectarea, modificarea sau ştergerea neautorizată a datelor operaţionale cu caracter personal stocate ("controlul stocării");
d)să împiedice utilizarea sistemelor de prelucrare automată de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor ("controlul utilizatorului");
e)să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată au acces numai la datele operaţionale cu caracter personal vizate de autorizaţia lor de acces ("controlul accesului la date");
f)să asigure că este posibilă verificarea şi identificarea organismelor cărora le-au fost transmise sau puse la dispoziţie sau sar putea să le fie transmise sau puse la dispoziţie date operaţionale cu caracter personal utilizându-se comunicarea datelor ("controlul comunicării");
g)să asigure posibilitatea verificării şi determinării ulterioare a datelor operaţionale cu caracter personal care au fost introduse în sisteme de prelucrare automată a datelor, precum şi a datei în care au fost introduse datele operaţionale cu caracter personal şi a persoanei care le-a introdus ("controlul introducerii datelor");
h)să împiedice consultarea, copierea, modificarea sau ştergerea neautorizată a datelor operaţionale cu caracter personal pe parcursul transferurilor de date operaţionale cu caracter personal sau pe parcursul transportului suporturilor de date ("controlul transportului");
i)să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi ("recuperarea");
j)să asigure funcţionarea sistemului, raportarea defecţiunilor de funcţionare ("fiabilitate") şi imposibilitatea coruperii datelor operaţionale cu caracter personal stocate, din cauza funcţionării defectuoase a sistemului ("integritate").
Art. 92: Notificarea Autorităţii Europene pentru Protecţia Datelor a unei încălcări a securităţii datelor cu caracter personal
(1)În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru Autorităţii Europene pentru Protecţia Datelor, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea Autorităţii Europene pentru Protecţia Datelor nu are loc în termen de 72 de ore, aceasta este însoţită de o explicaţie privind motivele întârzierii.
(2)Notificarea menţionată la alineatul (1) trebuie cel puţin:
a)să descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ de persoane vizate, precum şi categoriile şi numărul aproximativ de înregistrări de date operaţionale cu caracter personal vizate;
b)să comunice numele şi datele de contact ale responsabilului cu protecţia datelor;
c)să descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
d)să descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
(3)Atunci când şi în măsura în care nu este posibil să se pună la dispoziţie informaţiile menţionate la alineatul (2) în acelaşi timp, acestea pot fi transmise în mai multe etape, fără întârzieri nejustificate.
(4)Operatorul păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal menţionate la alineatul (1), care cuprind o descriere a situaţiei în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Această documentaţie îi permite Autorităţii Europene pentru Protecţia Datelor să verifice respectarea prezentului articol.
(5)În cazul în care încălcarea securităţii datelor operaţionale cu caracter personal vizează date cu caracter personal care au fost transmise de către autorităţile competente sau autorităţilor competente, operatorul comunică fără întârzieri nejustificate informaţiile menţionate la alineatul (2) autorităţilor competente în cauză.
Art. 93: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1)În cazul în care încălcarea securităţii datelor cu caracter personal este de natură să ducă la apariţia unui risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
(2)Informarea persoanei vizate menţionată la alineatul (1) din prezentul articol include o descriere, într-un limbaj simplu şi clar, a caracterului încălcării securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi recomandările prevăzute la articolul 92 alineatul (2) literele (b), (c) şi (d).
(3)Informarea persoanei vizate menţionată la alineatul (1) nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:
a)operatorul a pus în aplicare măsuri tehnologice şi organizatorice adecvate de protecţie, iar aceste măsuri au fost aplicate datelor operaţionale cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele operaţionale cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b)operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat la adresa drepturilor şi libertăţilor persoanelor vizate menţionat la alineatul (1) nu mai este susceptibil să se materializeze;
c)aceasta ar necesita un efort disproporţionat. În acest caz, informarea se înlocuieşte printr-o informare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
(4)În cazul în care operatorul nu a comunicat deja persoanei vizate încălcarea securităţii datelor cu caracter personal, Autoritatea Europeană pentru Protecţia Datelor poate să îi solicite operatorului, după ce analizează probabilitatea ca încălcarea securităţii datelor cu caracter personal să ducă la apariţia unui risc ridicat, să facă acest lucru sau poate decide că este îndeplinită oricare dintre condiţiile menţionate la alineatul (3).
(5)Informarea persoanei vizate menţionată la alineatul (1) din prezentul articol poate fi amânată, restricţionată sau omisă, sub rezerva condiţiilor şi a motivelor menţionate la articolul 79 alineatul (3).
Art. 94: Transferul de date operaţionale cu caracter personal către ţări terţe şi organizaţii internaţionale
(1)Sub rezerva restricţiilor şi a condiţiilor prevăzute în actele juridice de instituire a organului, oficiului sau agenţiei Uniunii, operatorul poate să transfere datele operaţionale cu caracter personal unei autorităţi dintr-o ţară terţă sau unei organizaţii internaţionale în măsura în care acest transfer este necesar pentru executarea de către operator a sarcinilor sale şi numai dacă sunt îndeplinite condiţiile prevăzute la prezentul articol, şi anume:
a)Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 36 alineatul (3) din Directiva (UE) 2016/680, conform căreia ţara terţă sau un teritoriu sau un sector de prelucrare din ţara terţă respectivă ori organizaţia internaţională în cauză asigură un nivel adecvat de protecţie;
b)în cazul în care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecţie în temeiul literei (a), a fost încheiat un acord internaţional între Uniune şi ţara terţă sau organizaţia internaţională respectivă în temeiul articolului 218 din TFUE, în care se prevăd garanţii adecvate în ceea ce priveşte protecţia vieţii private şi a drepturilor şi libertăţilor fundamentale ale persoanelor fizice;
c)în cazul în care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecţie în temeiul literei (a) sau nu a fost încheiat un acord internaţional în temeiul literei (b), a fost încheiat un acord de cooperare care permite schimburile de date operaţionale cu caracter personal înainte de data aplicării actului juridic de instituire a organului, oficiului sau agenţiei Uniunii în cauză, între respectivul organ, oficiu sau agenţie a Uniunii şi ţara terţă în cauză.
(2)Actele juridice de instituire a organelor, oficiilor şi agenţiilor Uniunii pot menţine sau introduce dispoziţii mai specifice privind condiţiile pentru transferurile internaţionale de date operaţionale cu caracter personal, în special privind transferurile care fac obiectul unor garanţii corespunzătoare şi derogări pentru situaţii specifice.
(3)Operatorul publică şi menţine la zi pe site-ul său de internet o listă care conţine deciziile privind caracterul adecvat menţionate la alineatul (1) litera (a), acordurile, mecanismele administrative şi alte instrumente legate de transferul de date operaţionale cu caracter personal în conformitate cu alineatul (1).
(4)Operatorul ţine o evidenţă detaliată a tuturor transferurilor efectuate în temeiul prezentului articol.
Art. 95: Caracterul secret al anchetelor judiciare şi al procedurilor penale
Actele juridice de instituire a organelor, oficiilor sau agenţiilor Uniunii referitoare la activităţile care intră sub incidenţa părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE pot să oblige Autoritatea Europeană pentru Protecţia Datelor să ţină seama în cel mai strict mod, atunci când îşi exercită competenţele de supraveghere, de caracterul secret al anchetelor judiciare şi al procedurilor penale, în conformitate cu dreptul Uniunii sau cu dreptul intern.