Regulamentul 1725/23-oct-2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (Ce) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE

Acte UE

Jurnalul Oficial 295L

În vigoare

Versiune de la: 21 Noiembrie 2018

Dată act: 23-oct-2018

Emitent: Consiliul Uniunii Europene;Parlamentul European

(1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene ("Carta") şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc. De asemenea, acest drept este garantat şi în temeiul articolului 8 din Convenţia europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale.

(2)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (³) conferă persoanelor fizice drepturi garantate din punct de vedere juridic, defineşte obligaţiile în materie de prelucrare a datelor care le revin operatorilor în instituţiile şi organele comunitare şi prevede instituirea unei autorităţi independente de supraveghere, Autoritatea Europeană pentru Protecţia Datelor, care să răspundă de monitorizarea prelucrării datelor cu caracter personal de către instituţiile şi organele Uniunii. Cu toate acestea, regulamentul menţionat nu se aplică prelucrării datelor cu caracter personal în cursul unei activităţi desfăşurate de către instituţii şi organe ale Uniunii care nu intră în domeniul de aplicare al dreptului Uniunii.

(3)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (⁴) şi Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (⁵) au fost adoptate la 27 aprilie 2016. În timp ce regulamentul stabileşte norme generale menite să protejeze persoanele fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi să asigure libera circulaţie a datelor cu caracter personal în Uniune, directiva stabileşte norme specifice menite să protejeze persoanele fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi să asigure libera circulaţie a acestor date în Uniune în domeniile cooperării judiciare în materie penală şi al cooperării poliţieneşti.

(5)Este în interesul unei abordări coerente a protecţiei datelor cu caracter personal în întreaga Uniune, precum şi al liberei circulaţii a datelor cu caracter personal în Uniune, ca normele de protecţie a datelor ale instituţiilor, organelor, oficiilor şi agenţiilor Uniunii să fie aliniate cât mai mult posibil la normele de protecţie a datelor adoptate pentru sectorul public din statele membre. Ori de câte ori dispoziţiile din prezentul regulament urmează aceleaşi principii ca dispoziţiile Regulamentului (UE) 2016/679, aceste două seturi de dispoziţii ar trebui, în temeiul jurisprudenţei Curţii de Justiţie a Uniunii Europene ("Curtea de Justiţie"), să fie interpretate în mod omogen, în special pentru că structura prezentului regulament ar trebui înţeleasă ca fiind similară structurii Regulamentului (UE) 2016/679.

(6)Persoanele ale căror date cu caracter personal sunt prelucrate de către instituţiile sau organele Uniunii indiferent de context, de exemplu pentru că persoanele menţionate mai sus sunt angajate de către aceste instituţii sau organe, ar trebui să fie protejate. Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal ale persoanelor decedate. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice şi, în special, întreprinderi cu personalitate juridică, inclusiv numele şi tipul de persoană juridică şi datele de contact ale persoanei juridice.

(8)Prezentul regulament ar trebui să se aplice prelucrării datelor cu caracter personal de către toate instituţiile, organele, oficiile şi agenţiile Uniunii. Regulamentul ar trebui să se aplice prelucrării datelor cu caracter personal, efectuate total sau parţial prin mijloace automatizate, precum şi prelucrării, prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă sau care sunt destinate să facă parte dintr-un sistem de evidenţă. Dosarele sau seturile de dosare, precum şi copertele acestora, care nu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare al prezentului regulament.

(9)În Declaraţia nr. 21 cu privire la protecţia datelor cu caracter personal în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti, anexată actului final al Conferinţei interguvernamentale care a adoptat Tratatul de la Lisabona, conferinţa a recunoscut că s-ar putea dovedi necesare norme specifice privind protecţia datelor cu caracter personal şi libera circulaţie a datelor cu caracter personal în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti în temeiul articolului 16 din TFUE, având în vedere natura specifică a acestor domenii. Un capitol distinct din prezentul regulament cuprinzând norme generale ar trebui, prin urmare, să se aplice prelucrării datelor operaţionale cu caracter personal, precum datele cu caracter personal prelucrate în vederea anchetelor penale de către organele, oficiile sau agenţiile Uniunii atunci când desfăşoară activităţi în domeniile cooperării judiciare în materie penală şi al cooperării poliţieneşti.

(10)Directiva (UE) 2016/680 stabileşte norme armonizate pentru protecţia şi libera circulaţie a datelor cu caracter personal prelucrate în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau în scopul executării pedepselor, inclusiv în scopul protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora. În vederea asigurării aceluiaşi nivel de protecţie pentru persoanele fizice prin drepturi opozabile în întreaga Uniune şi a preîntâmpinării discrepanţelor care împiedică schimbul de date cu caracter personal între organele, oficiile sau agenţiile Uniunii atunci când desfăşoară activităţi care intră în domeniul de aplicare al părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE şi autorităţile competente, normele pentru protecţia şi libera circulaţie a datelor operaţionale cu caracter personal prelucrate de către aceste organe, oficii sau agenţii ale Uniunii ar trebui să fie coerente cu Directiva (UE) 2016/680.

(11)Normele generale ale capitolului din prezentul regulament referitor la prelucrarea datelor operaţionale cu caracter personal ar trebui să se aplice fără a aduce atingere normelor specifice aplicabile prelucrării de date operaţionale cu caracter personal efectuate de organele, oficiile şi agenţiile Uniunii atunci când desfăşoară activităţi care intră sub incidenţa părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE. Aceste norme specifice ar trebui să fie considerate lex specialis în raport cu dispoziţiile de la capitolul din prezentul regulament referitor la prelucrarea datelor operaţionale cu caracter personal (lex specialis derogat legi generali). Pentru a reduce fragmentarea juridică, normele specifice de protecţie a datelor aplicabile prelucrării de date operaţionale cu caracter personal de către organele, oficiile sau agenţiile Uniunii atunci când desfăşoară activităţi care intră sub incidenţa părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE ar trebui să fie în concordanţă cu principiile care stau la baza capitolului din prezentul regulament referitor la prelucrarea datelor operaţionale cu caracter personal, precum şi cu dispoziţiile din prezentul regulament privind controlul independent, căile de atac, răspunderea şi sancţiunile.

(12)Capitolul din prezentul regulament referitor la prelucrarea datelor operaţionale cu caracter personal ar trebui să se aplice organelor, oficiilor şi agenţiilor Uniunii atunci când desfăşoară activităţi care intră sub incidenţa părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE, indiferent dacă desfăşoară aceste activităţi ca sarcini principale sau auxiliare în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor. Cu toate acestea, capitolul în cauză nu ar trebui să se aplice Europol sau Parchetului European până când actele juridice de instituire a Europol şi a Parchetului European nu sunt modificate, cu scopul de a face capitolul din prezentul regulament referitor la prelucrarea datelor operaţionale cu caracter personal, în forma adaptată, aplicabil acestora.

(13)Comisia ar trebui să revizuiască prezentul regulament, în special capitolul din prezentul regulament referitor la prelucrarea datelor operaţionale cu caracter personal. Comisia ar trebui, de asemenea, să revizuiască alte acte juridice, adoptate pe baza tratatelor, care reglementează prelucrarea datelor operaţionale cu caracter personal de către organele, oficiile sau agenţiile Uniunii atunci când desfăşoară activităţi care intră sub incidenţa părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE. După această revizuire, în vederea asigurării unei protecţii uniforme şi consecvente a persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, Comisia ar trebui să poată face orice propuneri legislative corespunzătoare, inclusiv orice adaptări necesare ale capitolului din prezentul regulament referitor la prelucrarea datelor operaţionale cu caracter personal, în vederea aplicării acestuia Europol şi Parchetului European. Adaptările ar trebui să ia în considerare dispoziţii referitoare la supravegherea independentă, căile de atac, răspunderea şi sancţiunile.

(15)Prezentul regulament ar trebui să se aplice prelucrării datelor cu caracter personal de către instituţiile, organele, oficiile sau agenţiile Uniunii care desfăşoară activităţi care intră în domeniul de aplicare al titlului V capitolul 2 din Tratatul privind Uniunea Europeană (TUE). Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către misiunile menţionate la articolul 42 alineatul (1) şi la articolele 43 şi 44 din TUE, care pun în aplicare politica de securitate şi apărare comună. Dacă este cazul, pentru a reglementa în mod mai specific prelucrarea de date cu caracter personal în domeniul politicii de securitate şi apărare comune, ar trebui prezentate propuneri corespunzătoare.

(16)Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, ar trebui considerate informaţii referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luaţi în considerare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru identificare, ţinându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât şi de dezvoltarea tehnologică. Principiile protecţiei datelor ar trebui, prin urmare, să nu se aplice informaţiilor anonime, adică informaţiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informaţii anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.

(18)Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori, precum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici şi cu alte informaţii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea lor.

(19)Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, cum ar fi o declaraţie făcută în scris, inclusiv în format electronic, sau verbal. Aceasta ar putea include bifarea unei căsuţe atunci când persoana vizitează un website, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ. Consimţământul ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimţământul. În acelaşi timp, persoana vizată ar trebui să aibă dreptul de a-şi retrage în orice moment consimţământul, fără ca acest fapt să afecteze legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Pentru a garanta faptul că a fost acordat în mod liber, consimţământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată şi operator, iar acest lucru face improbabilă acordarea consimţământului în mod liber în toate circumstanţele aferente respectivei situaţii particulare. Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pe deplin scopul prelucrării datelor în scopuri de cercetare ştiinţifică. Din acest motiv, persoanelor vizate ar trebui să li se permită să îşi exprime consimţământul pentru anumite domenii ale cercetării ştiinţifice atunci când sunt respectate standardele etice recunoscute pentru cercetarea ştiinţifică. Persoanele vizate ar trebui să aibă posibilitatea de a-şi exprima consimţământul doar pentru anumite domenii de cercetare sau părţi ale proiectelor de cercetare în măsura permisă de scopul preconizat.

(20)Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. Ar trebui să fie transparent pentru persoanele fizice faptul că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc şi în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a li se confirma şi comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ştergere sau pentru o revizuire periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şi confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare şi pentru a preveni dezvăluirea neautorizată în cursul transmiterii.

(21)În conformitate cu principiul responsabilităţii, în cazul în care instituţii sau organe ale Uniunii transmit date cu caracter personal în cadrul aceleiaşi instituţii sau aceluiaşi organ, iar destinatarul nu face parte din operator, sau în cazul în care transmit date cu caracter personal către alte instituţii sau organe ale Uniunii, respectivele instituţii şi organe ar trebui să verifice dacă aceste date cu caracter personal sunt necesare pentru îndeplinirea legitimă a sarcinilor care sunt de competenţa destinatarului. În special, după ce destinatarul i-a adresat o cerere de transmitere a unor date cu caracter personal, operatorul ar trebui să verifice existenţa unui motiv relevant pentru prelucrarea legală a datelor cu caracter personal, precum şi competenţa destinatarului. Operatorul ar trebui, de asemenea, să efectueze o evaluare provizorie a necesităţii transmiterii datelor. Dacă apar îndoieli în privinţa necesităţii acestui transfer, operatorul ar trebui să solicite destinatarului mai multe informaţii. Destinatarul ar trebui să se asigure că necesitatea transmiterii datelor poate fi verificată ulterior.

(22)Pentru ca prelucrarea datelor cu caracter personal să fie legală, la baza acesteia ar trebui să stea necesitatea îndeplinirii de către instituţiile şi organele Uniunii a unei sarcini de interes public sau care rezultă din exercitarea autorităţii publice cu care sunt învestite, necesitatea respectării unei obligaţii legale care îi revine operatorului sau un alt motiv legitim în temeiul prezentului regulament, inclusiv consimţământul persoanei vizate, necesitatea prelucrării în vederea executării unui contract la care persoana vizată este parte sau necesitatea parcurgerii etapelor premergătoare încheierii unui contract, la solicitarea persoanei vizate. Prelucrarea datelor cu caracter personal în scopul îndeplinirii unor misiuni de interes public de către instituţiile şi organele Uniunii include prelucrarea datelor cu caracter personal necesare administrării şi funcţionării acestor instituţii şi organe. Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecţiei unui interes care este esenţial pentru viaţa persoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui, în principiu, să fie efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât şi intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii şi a răspândirii acesteia sau în situaţii de urgenţe umanitare, în special în situaţii de dezastre naturale sau provocate de om.

(24)Normele interne menţionate în prezentul regulament ar trebui să fie acte clare şi precise, general aplicabile, menite să producă efecte juridice faţă de persoanele vizate. Acestea ar trebui adoptate la cel mai înalt nivel de conducere al instituţiilor şi organelor Uniunii, în limita competenţelor acestora şi în chestiuni legate de funcţionarea lor. Acestea ar trebui publicate în Jurnalul Oficial al Uniunii Europene. Aplicarea normelor respective ar trebui să fie previzibilă pentru persoanele vizate, în conformitate cu cerinţele prevăzute în Cartă şi în Convenţia europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale. Normele interne ar putea lua forma unor decizii, în special atunci când sunt adoptate de instituţiile Uniunii.

(25)Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost iniţial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile pentru care datele cu caracter personal au fost iniţial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul, dreptul Uniunii poate stabili şi specifica sarcinile şi scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă şi legală. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând operaţiuni de prelucrare legale compatibile. Temeiul juridic prevăzut în dreptul Uniunii pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate iniţial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerinţele privind legalitatea prelucrării iniţiale, ar trebui să ţină seama, printre altele, de orice legătură existentă între respectivele scopuri şi scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de aşteptările rezonabile ale persoanelor vizate, bazate pe relaţia lor cu operatorul, în ceea ce priveşte utilizarea ulterioară a datelor; de natura datelor cu caracter personal, de consecinţele pe care prelucrarea ulterioară preconizată le va avea asupra persoanelor vizate, precum şi de existenţa unor garanţii corespunzătoare atât în cadrul operaţiunilor de prelucrare iniţiale, cât şi în cadrul operaţiunilor de prelucrare ulterioare preconizate.

(26)În cazul în care prelucrarea se bazează pe consimţământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată şi-a dat consimţământul pentru operaţiunea de prelucrare. În special, în contextul unei declaraţii scrise cu privire la un alt aspect, garanţiile ar trebui să asigure că persoana vizată este conştientă de faptul că şi-a dat consimţământul şi în ce măsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (¹), ar trebui furnizată o declaraţie de consimţământ formulată în prealabil de către operator, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, iar această declaraţie nu ar trebui să conţină clauze abuzive. Pentru ca acordarea consimţământului să fie în cunoştinţă de cauză, persoana vizată ar trebui să fie la curent cel puţin cu identitatea operatorului şi cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal. Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.

(27)Copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea datelor cu caracter personal. O astfel de protecţie specifică ar trebui să se aplice în special creării de profiluri de personalitate şi colectării de date cu caracter personal privind copiii cu ocazia oferirii serviciilor direct copiilor pe website-urile instituţiilor şi organelor Uniunii, cum ar fi serviciile de comunicare interpersonală sau vânzarea online de bilete, iar prelucrarea datelor cu caracter personal se bazează pe consimţământ.

(28)Atunci când destinatari stabiliţi în Uniune, alţii decât instituţiile şi organele Uniunii, ar dori ca instituţii şi organe ale Uniunii să le transmită date cu caracter personal, destinatarii respectivi ar trebui să demonstreze că este necesar ca datele să fie transmise acestor destinatari pentru îndeplinirea sarcinii lor executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care sunt învestiţi. În mod alternativ, destinatarii respectivi ar trebui să demonstreze că transmiterea este necesară pentru un scop specific în interesul public iar operatorul ar trebui să stabilească dacă există vreun motiv să se presupună că interesele legitime ale persoanei vizate ar putea fi afectate. În astfel de cazuri, în mod demonstrabil, operatorul ar trebui să cântărească diferitele interese pentru a evalua proporţionalitatea transmiterii solicitate de date cu caracter personal. Scopul specific în interesul public ar putea să se refere la transparenţa instituţiilor şi organelor Uniunii. În plus, instituţiile şi organele Uniunii ar trebui să demonstreze această necesitate atunci când iniţiază ele însele o transmitere, în conformitate cu principiul transparenţei şi al bunei administrări. Cerinţele stabilite în prezentul regulament privind transmiterile către destinatari stabiliţi în Uniune, alţii decât instituţii şi organe ale Uniunii, ar trebui să fie înţelese ca fiind complementare condiţiilor pentru prelucrarea legală.

(29)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce priveşte drepturile şi libertăţile fundamentale necesită o protecţie specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor şi libertăţilor fundamentale. Aceste date cu caracter personal nu ar trebui prelucrate dacă nu sunt îndeplinite condiţiile specifice prevăzute de prezentul regulament. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului "origine rasială" în prezentul regulament neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească existenţa unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidenţa definiţiei datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice. Pe lângă cerinţele specifice privind prelucrarea datelor sensibile, ar trebui să se aplice principiile generale şi alte norme prevăzute de prezentul regulament, în special în ceea ce priveşte condiţiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicţia generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată îşi dă consimţământul explicit sau în ceea ce priveşte nevoi specifice, în special atunci când prelucrarea este efectuată în cadrul unor activităţi legitime de către anumite asociaţii sau fundaţii al căror scop este de a permite exercitarea libertăţilor fundamentale.

(30)Categoriile speciale de date cu caracter personal, care necesită un nivel mai ridicat de protecţie, ar trebui prelucrate în scopuri legate de sănătate doar atunci când este necesar pentru realizarea acestor scopuri, în beneficiul persoanelor fizice şi al societăţii în general, în special în contextul gestionării serviciilor şi sistemelor de sănătate sau de asistenţă socială. Prin urmare, prezentul regulament ar trebui să prevadă condiţii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea ce priveşte nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligaţii legale de a păstra secretul profesional. Dreptul Uniunii ar trebui să prevadă măsuri specifice şi adecvate pentru a proteja drepturile fundamentale şi datele cu caracter personal ale persoanelor fizice.

(31)Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din motive de interes public în domeniile sănătăţii publice, fără consimţământul persoanei vizate. O astfel de prelucrare ar trebui condiţionată de măsuri adecvate şi specifice destinate să protejeze drepturile şi libertăţile persoanelor fizice. În acest context, conceptul de "sănătate publică" ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului (¹), şi anume toate elementele referitoare la sănătate şi anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanţi care au efect asupra stării de sănătate, necesităţile în domeniul asistenţei medicale, resursele alocate asistenţei medicale, furnizarea asistenţei medicale şi asigurarea accesului universal la aceasta, precum şi cheltuielile şi sursele de finanţare în domeniul sănătăţii şi cauzele mortalităţii. Această prelucrare a datelor privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri.

(32)Dacă datele cu caracter personal prelucrate de un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligaţia de a obţine informaţii suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziţiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui să refuze să preia informaţiile suplimentare furnizate de persoana vizată cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui să includă identificarea digitală a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleaşi acreditări utilizate de către persoana vizată pentru a accesa serviciile online oferite de operatorul de date.

(33)Prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice ar trebui să facă, în conformitate cu prezentul regulament, obiectul unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate. Respectivele garanţii ar trebui să asigure faptul că au fost instituite măsuri tehnice şi organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a datelor. Prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice se efectuează atunci când operatorul a evaluat fezabilitatea pentru îndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiţia să existe garanţii adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Instituţiile şi organele Uniunii ar trebui să prevadă în dreptul Uniunii, eventual în normele interne adoptate de instituţiile şi organele Uniunii în chestiuni legate de funcţionarea lor, garanţii adecvate pentru prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice.

(34)Ar trebui să fie prevăzute modalităţi de facilitare a exercitării de către persoana vizată a drepturilor care îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita şi, dacă este cazul, obţine, în mod gratuit, în special, acces la datele cu caracter personal, precum şi rectificarea sau ştergerea acestora, şi exercitarea dreptului la opoziţie. Operatorul ar trebui să ofere, de asemenea, modalităţi de introducere a cererilor pe cale electronică, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui să aibă obligaţia de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună şi, în cazul în care nu intenţionează să dea curs respectivelor cereri, să motiveze acest refuz.

(35)Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă, ţinând seama de circumstanţele specifice şi de contextul în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligaţia de a furniza datele cu caracter personal şi cu privire la consecinţe în cazul unui refuz. Aceste informaţii pot fi furnizate în combinaţie cu pictograme standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea ar trebui să poată fi citite automat.

(36)Informaţiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în cazul în care datele cu caracter personal sunt obţinute din altă sursă, într-o perioadă rezonabilă, în funcţie de circumstanţele cazului. În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului. În cazul în care operatorul intenţionează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi alte informaţii necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate din cauză că au fost utilizate surse diverse, informaţiile generale ar trebui furnizate.

(37)O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la date privind sănătatea lor, de exemplu datele din registrele lor medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele cu caracter personal, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software. Cu toate acestea, consideraţiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informaţiile persoanei vizate. Atunci când operatorul prelucrează un volum mare de informaţii privind persoana vizată, operatorul ar trebui să poată solicita ca, înainte de a îi fi furnizate informaţiile, persoana vizată să precizeze informaţiile sau activităţile de prelucrare la care se referă cererea sa.

(38)O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc şi "dreptul de a fi uitată", în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sub incidenţa căruia intră operatorul. Persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie şterse şi să nu mai fie prelucrate, în cazul în care datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate şi-au retras consimţământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată şi-a dat consimţământul când era copil şi nu cunoştea pe deplin riscurile pe care le implică prelucrarea, iar ulterior doreşte să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-şi exercita acest drept în pofida faptului că nu mai este copil. Cu toate acestea, păstrarea în continuare a datelor cu caracter personal ar trebui să fie legală în cazul în care este necesară pentru exercitarea dreptului la libertatea de exprimare şi de informare, pentru respectarea unei obligaţii legale, pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul, din motive de interes public în domeniul sănătăţii publice, în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanţă.

(39)Pentru a se consolida "dreptul de a fi uitat" în mediul online, dreptul de ştergere ar trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligaţia de a informa operatorii care prelucrează respectivele date cu caracter personal să şteargă orice linkuri către datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ţinând seama de tehnologia disponibilă şi de mijloacele aflate la dispoziţia lui, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal cu privire la cererea persoanei vizate.

(40)Metodele de restricţionare a prelucrării de date cu caracter personal ar putea include, printre altele, mutarea temporară a datelor cu caracter personal selectate într-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau înlăturarea temporară a datelor publicate de pe un site. În ceea ce priveşte sistemele automatizate de evidenţă a datelor, restricţionarea prelucrării ar trebui, în principiu, asigurată prin mijloace tehnice în aşa fel încât datele cu caracter personal să nu facă obiectul unor operaţiuni de prelucrare ulterioară şi să nu mai poată fi schimbate. Faptul că prelucrarea datelor cu caracter personal este restricţionată ar trebui indicat în mod clar în sistem.

(41)Pentru a spori şi mai mult controlul asupra propriilor date, persoana vizată ar trebui, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace automate, să poată primi datele cu caracter personal care o privesc şi pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod curent, prelucrabil automat şi interoperabil şi să le poată transmite unui alt operator. Operatorii de date ar trebui să fie încurajaţi să dezvolte formate interoperabile care să permită portabilitatea datelor. Acest drept ar trebui să se aplice în cazul în care persoana vizată a furnizat datele cu caracter personal pe baza propriului consimţământ sau în cazul în care prelucrarea datelor este necesară pentru executarea unui contract. Prin urmare, acesta nu ar trebui să se aplice în cazul în care prelucrarea de date cu caracter personal este necesară în vederea respectării unei obligaţii legale căreia îi este supus operatorul sau în cazul îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea unei autorităţi publice cu care este învestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui să creeze pentru operatori obligaţia de a adopta sau de a menţine sisteme de prelucrare care să fie compatibile din punct de vedere tehnic. În cazul în care, într-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui să aducă atingere drepturilor şi libertăţilor altor persoane vizate, în conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui să aducă atingere dreptului persoanei vizate de a obţine ştergerea datelor cu caracter personal şi limitărilor dreptului respectiv, astfel cum se prevede în prezentul regulament, şi nu ar trebui, în special, să implice ştergerea acelor date cu caracter personal referitoare la persoana vizată care au fost furnizate de către aceasta în vederea executării unui contract, în măsura în care şi atât timp cât datele respective sunt necesare pentru executarea contractului. Persoana vizată ar trebui să aibă dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dacă acest lucru este fezabil din punct de vedere tehnic.

(42)În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal, deoarece prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul, o persoană vizată ar trebui să aibă totuşi dreptul de a se opune prelucrării oricăror date cu caracter personal care se referă la situaţia sa particulară. Ar trebui să revină operatorului sarcina de a demonstra că interesele sale legitime şi imperioase prevalează asupra intereselor sau a drepturilor şi libertăţilor fundamentale ale persoanei vizate.

(43)Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii ce poate include o măsură prin care se evaluează aspecte personale legate de persoana vizată, care se bazează exclusiv pe prelucrarea automată şi care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi practicile de recrutare pe cale electronică fără intervenţie umană. O astfel de prelucrare include "crearea de profiluri", care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Cu toate acestea, luarea de decizii pe baza acestei prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres de dreptul Uniunii. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanţii corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate şi dreptul acesteia de a obţine o intervenţie umană, de a-şi exprima punctul de vedere, de a primi o explicaţie privind decizia luată în urma unei astfel de evaluări, precum şi dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la copii. Pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată, având în vedere circumstanţele specifice şi contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice şi organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactităţi ale datelor cu caracter personal sunt corectaţi şi că riscul de erori este redus la minimum, precum şi să securizeze datele cu caracter personal într-un mod care să ţină seama de pericolele potenţiale la adresa intereselor şi drepturilor persoanei vizate şi să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenenţă sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau prelucrări care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat şi crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiţii specifice.

(44)Actele juridice adoptate în temeiul tratatelor sau normele interne adoptate de instituţiile şi organele Uniunii în chestiuni referitoare la funcţionarea lor pot impune restricţii în privinţa unor principii specifice, în privinţa dreptului de informare, a dreptului de acces la date cu caracter personal şi de rectificare sau ştergere a acestora, în privinţa dreptului la portabilitatea datelor, a dreptului la confidenţialitatea datelor transmise în cadrul comunicaţiilor electronice, precum şi în privinţa comunicării unei încălcări a securităţii datelor cu caracter personal persoanei vizate şi a anumitor obligaţii conexe ale operatorilor, în măsura în care acest lucru este necesar şi proporţional într-o societate democratică pentru a se garanta siguranţa publică şi pentru prevenirea, investigarea şi urmărirea penală a infracţiunilor sau executarea pedepselor. Aceasta include protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora, inclusiv protecţia vieţii oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, protejarea securităţii interne a instituţiilor şi organelor Uniunii, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special obiectivele politicii externe şi de securitate comune a Uniunii sau un interes economic sau financiar important al Uniunii sau al unui stat membru, şi păstrarea de registre publice din motive de interes public general sau protecţia persoanei vizate ori a drepturilor şi libertăţilor altora, inclusiv protecţia socială, sănătatea publică şi scopurile umanitare.

(45)Ar trebui să se stabilească responsabilitatea şi răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate şi eficace şi să fie în măsură să demonstreze conformitatea activităţilor de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să ţină seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscul pentru drepturile şi libertăţile persoanelor fizice.

(46)Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenenţa sindicală, sunt prelucrate date genetice, date privind sănătatea sau date privind viaţa sexuală sau privind condamnările penale şi infracţiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.

(48)Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare, pentru a se asigura îndeplinirea cerinţelor prezentului regulament. Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să respecte îndeosebi principiul luării în considerare a protecţiei datelor începând cu momentul conceperii şi pe cel al protecţiei implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, asigurarea transparenţei în ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranţă şi să le îmbunătăţească. Principiul protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în contextul licitaţiilor publice.

(51)Pentru a asigura respectarea cerinţelor impuse de prezentul regulament în ceea ce priveşte prelucrarea care trebuie efectuată în numele operatorului de către persoana împuternicită de operator, atunci când încredinţează activităţi de prelucrare unei persoane împuternicite de operator, operatorul ar trebui să utilizeze numai persoane împuternicite de operator care oferă garanţii suficiente, în special în ceea ce priveşte cunoştinţele de specialitate, fiabilitatea şi resursele, pentru a implementa măsuri tehnice şi organizatorice care îndeplinesc cerinţele impuse de prezentul regulament, inclusiv pentru securitatea prelucrării. Aderarea persoanelor împuternicite de operator, altele decât instituţiile şi organele Uniunii, la un cod de conduită aprobat sau la un mecanism de certificare aprobat poate fi utilizată drept element care să demonstreze respectarea obligaţiilor de către operator. Efectuarea prelucrării de către o persoană împuternicită de un operator, alta decât o instituţie sau un organ al Uniunii, ar trebui să fie reglementată printr-un contract sau, în cazul instituţiilor şi organelor Uniunii care acţionează ca persoane împuternicite de operator, printr-un contract sau un alt tip de act juridic, în temeiul dreptului Uniunii, care creează obligaţii pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopurile prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate, şi ar trebui să ţină seama de sarcinile şi responsabilităţile specifice ale persoanei împuternicite de operator în contextul prelucrării care urmează a fi efectuată, precum şi de riscul pentru drepturile şi libertăţile persoanei vizate. Operatorul şi persoana împuternicită de operator ar trebui să poată opta pentru recurgerea la un contract individual sau la clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de Autoritatea Europeană pentru Protecţia Datelor şi, ulterior, de Comisie. După finalizarea prelucrării în numele operatorului, persoana împuternicită de operator ar trebui să returneze sau să şteargă, în funcţie de opţiunea operatorului, datele cu caracter personal, cu excepţia cazului în care există o cerinţă de stocare a acestor date cu caracter personal în temeiul dreptului Uniunii sau al dreptului intern care instituie obligaţii pentru persoana împuternicită de operator.

(52)În vederea demonstrării conformităţii cu prezentul regulament, operatorii ar trebui să păstreze evidenţe ale activităţilor de prelucrare aflate în responsabilitatea lor, iar persoanele împuternicite de către operator ar trebui să păstreze evidenţe ale categoriilor de activităţi de prelucrare aflate în responsabilitatea lor. Instituţiile şi organele Uniunii ar trebui să aibă obligaţia de a coopera cu Autoritatea Europeană pentru Protecţia Datelor şi de a îşi pune evidenţele la dispoziţia acesteia, la cerere, pentru a putea fi utilizate în scopul monitorizării operaţiunilor de prelucrare respective. Cu excepţia cazului în care nu este oportun, ţinând seama de mărimea unei instituţii sau a unui organ al Uniunii, instituţiile şi organele Uniunii ar trebui să aibă posibilitatea de a institui un registru central al evidenţelor activităţilor de prelucrare. Din motive de transparenţă, ele ar trebui, de asemenea, să poată face public acest registru.

(53)În vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării şi să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidenţialitatea, luând în considerare stadiul actual al dezvoltării şi costurile implementării în raport cu riscurile şi cu natura datelor cu caracter personal a căror protecţie trebuie asigurată. La evaluarea riscului pentru securitatea datelor, ar trebui să se acorde atenţie riscurilor pe care le prezintă prelucrarea datelor cu caracter personal, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.

(54)Instituţiile şi organele Uniunii ar trebui să asigure confidenţialitatea comunicaţiilor electronice, astfel cum prevede articolul 7 din Cartă. În special, instituţiile şi organele Uniunii ar trebui să asigure securitatea propriilor reţele de comunicaţii electronice. Acestea ar trebui să protejeze informaţiile legate de echipamentele terminale ale utilizatorilor care le oferă acces la site-urile lor internet publice şi la aplicaţiile lor mobile, în conformitate cu Directiva 2002/58/CE a Parlamentului European şi a Consiliului (¹). Acestea ar trebui, de asemenea, să protejeze confidenţialitatea datelor personale stocate în repertoriile cu utilizatori.

(55)Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal ar putea conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice Prin urmare, de îndată ce a luat cunoştinţă de producerea unei încălcări a securităţii datelor cu caracter personal, operatorul ar trebui să notifice această încălcare Autorităţii Europene pentru Protecţia Datelor, fără întârziere nejustificată şi, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoştinţă de existenţa acesteia, cu excepţia cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilităţii, că încălcarea securităţii datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. Atunci când această notificare nu se poate realiza în termen de 72 de ore, ea ar trebui să fie însoţită de o explicaţie privind întârzierea, iar informaţiile pot fi furnizate în mai multe etape, fără altă întârziere nejustificată. În cazul în care această întârziere este justificată, ar trebui comunicate în cel mai scurt termen posibil informaţii mai puţin sensibile sau mai puţin specifice cu privire la această încălcare, în loc să se soluţioneze complet incidentul aflat la originea încălcării înainte de a se proceda la notificare.

(56)Operatorul ar trebui să comunice persoanei vizate o încălcare a securităţii datelor cu caracter personal, fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile şi libertăţile persoanei fizice, pentru a-i permite să ia măsurile de precauţie necesare. Comunicarea ar trebui să descrie natura încălcării securităţii datelor cu caracter personal şi să cuprindă recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Comunicările către persoanele vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil şi în strânsă cooperare cu Autoritatea Europeană pentru Protecţia Datelor, respectându-se orientările furnizate de aceasta sau de alte autorităţi competente, cum ar fi autorităţile de aplicare a legii.

(57)Regulamentul (CE) nr. 45/2001 prevede o obligaţie generală a unui operator de a notifica prelucrarea datelor cu caracter personal responsabilului cu protecţia datelor. Cu excepţia cazului în care nu este oportun, ţinând seama de mărimea instituţiei sau a organului Uniunii, responsabilul cu protecţia datelor trebuie să ţină un registru al operaţiunilor de prelucrare ce i-au fost notificate. Pe lângă această obligaţie generală, ar trebui instituite proceduri şi mecanisme eficace de monitorizare a operaţiunilor de prelucrare susceptibile să genereze un risc ridicat pentru drepturile şi libertăţile persoanelor fizice prin însăşi natura lor, prin domeniul lor de aplicare, prin contextul şi prin scopurile lor. Astfel de proceduri ar trebui instituite, de asemenea, în special, în situaţiile în care operaţiunile de prelucrare presupun utilizarea unor noi tehnologii sau care reprezintă un nou tip de operaţiuni în legătură cu care nicio evaluare a impactului asupra protecţiei datelor nu a fost efectuată anterior de către operator ori când acestea devin necesare dată fiind perioada de timp care s-a scurs de la prelucrarea iniţială. În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecţiei datelor, în scopul evaluării gradului specific de probabilitate a materializării riscului ridicat şi gravitatea acestuia, având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi sursele riscului. Respectiva evaluare a impactului ar trebui să includă, în special, măsurile, garanţiile şi mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecţiei datelor cu caracter personal şi pentru demonstrarea conformităţii cu prezentul regulament.

(58)În cazul în care o evaluare a impactului asupra protecţiei datelor arată că prelucrarea ar genera, în absenţa garanţiilor, măsurilor de securitate şi mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile şi al costurilor implementării, Autoritatea Europeană pentru Protecţia Datelor ar trebui să fie consultată înainte de începerea activităţilor de prelucrare. Un astfel de risc ridicat este susceptibil să fie generat de anumite tipuri de prelucrare, precum şi de amploarea şi frecvenţa prelucrării, care ar putea duce şi la producerea unor prejudicii sau pot atinge drepturile şi libertăţile persoanelor fizice. Autoritatea Europeană pentru Protecţia Datelor ar trebui să răspundă cererii de consultare într-un anumit termen. Cu toate acestea, lipsa unei reacţii din partea Autorităţii Europene pentru Protecţia Datelor în termenul respectiv ar trebui să nu aducă atingere niciunei intervenţii a Autorităţii Europene pentru Protecţia Datelor în conformitate cu sarcinile şi competenţele sale prevăzute în prezentul regulament, inclusiv competenţa de a interzice operaţiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluări a impactului asupra protecţiei datelor efectuate cu privire la prelucrarea în cauză ar trebui să poată fi transmis Autorităţii Europene pentru Protecţia Datelor, în special măsurile avute în vedere pentru a atenua riscul pentru drepturile şi libertăţile persoanelor fizice.

(59)Autoritatea Europeană pentru Protecţia Datelor ar trebui să fie informată cu privire la măsurile administrative şi consultată cu privire la normele interne adoptate de instituţiile şi organele Uniunii în chestiuni legate de funcţionarea lor când acestea prevăd prelucrarea de date cu caracter personal, stabilesc condiţii cu privire la restricţionarea drepturilor persoanelor vizate sau oferă garanţii corespunzătoare în ceea ce priveşte drepturile persoanelor vizate, pentru a asigura că prelucrarea în cauză este conformă cu prezentul regulament şi, în special, în ceea ce priveşte atenuarea riscurilor la care este expusă persoana vizată.

(60)Regulamentul (UE) 2016/679 a instituit Comitetul european pentru protecţia datelor, cu statutul de organ independent cu personalitate juridică al Uniunii. Comitetul ar trebui să contribuie la aplicarea consecventă a Regulamentului (UE) 2016/679 şi a Directivei (UE) 2016/680 în întreaga Uniune, inclusiv prin oferirea de consiliere Comisiei. În acelaşi timp, Autoritatea Europeană pentru Protecţia Datelor ar trebui să continue să îşi exercite funcţiile de supraveghere şi de consiliere a tuturor instituţiilor şi organelor Uniunii, din proprie iniţiativă sau la cerere. Pentru a asigura coerenţa normelor în materie de protecţie a datelor în întreaga Uniune, în momentul în care aceasta elaborează propuneri sau recomandări, Comisia ar trebui să depună eforturi pentru a consulta Autoritatea Europeană pentru Protecţia Datelor. Comisia ar trebui să aibă obligaţia de a organiza o consultare în urma adoptării de acte legislative sau în cursul acţiunilor de pregătire a actelor delegate şi a actelor de punere în aplicare, astfel cum sunt definite la articolele 289, 290 şi 291 din TFUE, precum şi în urma adoptării de recomandări şi de propuneri referitoare la acorduri cu ţări terţe şi organizaţii internaţionale, astfel cum se prevede la articolul 218 din TFUE, care au repercusiuni asupra dreptului la protecţia datelor cu caracter personal. În astfel de cazuri, Comisia ar trebui să fie obligată să consulte Autoritatea Europeană pentru Protecţia Datelor, cu excepţia cazului în care Regulamentul (UE) 2016/679 prevede consultarea obligatorie a Comitetului european pentru protecţia datelor, de exemplu cu privire la deciziile privind caracterul adecvat al nivelului de protecţie sau actele delegate privind pictogramele standardizate şi cerinţele referitoare la mecanismele de certificare. Atunci când actul în cauză este deosebit de important pentru protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, Comisia ar trebui să aibă în plus posibilitatea de a consulta Comitetul european pentru protecţia datelor. În cazurile respective, Autoritatea Europeană pentru Protecţia Datelor, în calitate de membră a Comitetului european pentru protecţia datelor, îşi coordonează activitatea cu comitetul în vederea emiterii unui aviz comun. Autoritatea Europeană pentru Protecţia Datelor şi, după caz, Comitetul european pentru protecţia datelor ar trebui să ofere consiliere în scris în termen de opt săptămâni. Acest termen ar trebui să fie redus în cazuri urgente sau în alte cazuri în care este necesar, de exemplu atunci când Comisia pregăteşte acte delegate şi acte de punere în aplicare.

(62)În toate instituţiile şi organele Uniunii, un responsabil cu protecţia datelor ar trebui să asigure aplicarea dispoziţiilor prezentului regulament şi să ofere consiliere operatorilor şi persoanelor împuternicite de operatori în ceea ce priveşte îndeplinirea obligaţiilor ce le revin. Acest responsabil ar trebui să fie o persoană care deţine cunoştinţe de specialitate în materie de legislaţie şi practici privind protecţia datelor la un nivel stabilit mai ales în funcţie de operaţiunile de prelucrare a datelor efectuate de operator sau de persoana împuternicită de operator, şi de nivelul de protecţie impus pentru datele cu caracter personal respective. Aceşti responsabili cu protecţia datelor ar trebui să fie în măsură să îşi îndeplinească îndatoririle şi sarcinile în mod independent.

(63)În cazul în care se transferă date cu caracter personal de la instituţii şi organe ale Uniunii către operatori, persoane împuternicite de operatori sau alţi destinatari din ţări terţe sau către organizaţii internaţionale, nivelul de protecţie a persoanelor fizice asigurat în Uniune prin prezentul regulament ar trebui să fie garantat. Aceleaşi garanţii ar trebui să se aplice inclusiv în cazurile de transferuri ulterioare de date cu caracter personal dinspre ţara terţă sau organizaţia internaţională către operatori, persoane împuternicite de operatori din aceeaşi sau dintr-o altă ţară terţă sau organizaţie internaţională. În orice caz, transferurile către ţări terţe şi organizaţii internaţionale pot fi realizate numai în conformitate deplină cu prezentul regulament şi cu respectarea drepturilor şi libertăţilor fundamentale consacrate de Cartă. Un transfer ar putea avea loc numai dacă, sub rezerva respectării celorlalte dispoziţii ale prezentului regulament, operatorul sau persoana împuternicită de operator îndeplineşte condiţiile prevăzute de dispoziţiile prezentului regulament referitoare la transferul de date cu caracter personal către ţări terţe sau către organizaţii internaţionale.

(64)Comisia poate să decidă, în temeiul articolului 45 din Regulamentul (UE) 2016/679 sau al articolului 36 din Directiva (UE) 2016/680, că o ţară terţă, un teritoriu sau un anumit sector dintr-o ţară terţă sau o organizaţie internaţională asigură un nivel adecvat de protecţie a datelor. În aceste cazuri, transferurile de date cu caracter personal efectuate de o instituţie sau un organ al Uniunii către ţara terţă sau organizaţia internaţională respectivă pot avea loc fără a fi necesar să se obţină autorizări suplimentare.

(65)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, operatorul sau persoana împuternicită de operator ar trebui să adopte măsuri pentru a compensa lipsa protecţiei datelor într-o ţară terţă prin intermediul unor garanţii adecvate pentru persoana vizată. Astfel de garanţii adecvate pot consta în utilizarea clauzelor standard de protecţie a datelor adoptate de Comisie, a clauzelor standard de protecţie a datelor adoptate de Autoritatea Europeană pentru Protecţia Datelor sau a clauzelor contractuale autorizate de Autoritatea Europeană pentru Protecţia Datelor. În cazul în care persoana împuternicită de operator nu este o instituţie sau un organ al Uniunii, respectivele garanţii corespunzătoare pot consta, de asemenea, în reguli corporative obligatorii, coduri de conduită şi mecanisme de certificare utilizate pentru transferurile internaţionale efectuate în temeiul Regulamentului (UE) 2016/679. Respectivele garanţii ar trebui să asigure respectarea cerinţelor în materie de protecţie a datelor şi drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate şi a unor căi de atac eficiente, printre care dreptul de acces la reparaţii efective pe cale administrativă sau judiciară şi dreptul de a solicita despăgubiri, în Uniune sau într-o ţară terţă. Acestea ar trebui să fie legate în special de respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecţiei datelor începând cu momentul conceperii şi principiul protecţiei implicite a datelor. Transferurile pot fi efectuate şi de către instituţiile şi organele Uniunii către autorităţi sau organisme publice din ţări terţe sau către organizaţii internaţionale cu atribuţii şi funcţii corespunzătoare, inclusiv pe baza dispoziţiilor care prevăd drepturi opozabile şi efective pentru persoanele vizate, care trebuie introduse în acordurile administrative, cum ar fi un memorandum de înţelegere. Autorizaţia din partea Autorităţii Europene pentru Protecţia Datelor ar trebui obţinută atunci când garanţiile sunt oferite în cadrul unor acorduri administrative fără caracter juridic obligatoriu.

(66)Posibilitatea ca operatorul sau persoana împuternicită de operator să utilizeze clauze standard în materie de protecţie a datelor, adoptate de Comisie sau de Autoritatea Europeană pentru Protecţia Datelor, nu ar trebui să împiedice operatorii sau persoanele împuternicite de operatori să includă clauzele standard în materie de protecţie a datelor într-un contract mai amplu, precum un contract între persoana împuternicită de operator şi o altă persoană împuternicită de operator, şi nici să adauge alte clauze sau garanţii suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de Autoritatea Europeană pentru Protecţia Datelor sau nu prejudiciază drepturile sau libertăţile fundamentale ale persoanelor vizate. Operatorii şi persoanele împuternicite de operatori ar trebui să fie încurajaţi să ofere garanţii suplimentare prin intermediul unor angajamente contractuale care să completeze clauzele standard în materie de protecţie a datelor.

(67)Unele ţări terţe au adoptat legi, reglementări şi alte acte juridice care au drept obiectiv să reglementeze în mod direct activităţile de prelucrare a datelor ale instituţiilor şi organelor Uniunii. Acestea pot include hotărâri ale instanţelor judecătoreşti sau decizii ale autorităţilor administrative din ţări terţe care solicită unui operator sau unei persoane împuternicite de operator să transfere sau să divulge date cu caracter personal şi care nu se bazează pe un acord internaţional în vigoare între ţara terţă solicitantă şi Uniune. Aplicarea extrateritorială a acestor legi, reglementări şi alte acte juridice poate încălca dreptul internaţional şi poate împiedica asigurarea protecţiei persoanelor fizice asigurată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condiţiilor prevăzute de prezentul regulament pentru un transfer către ţări terţe. Acesta ar putea fi cazul, printre altele, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii.

(68)În situaţii specifice, ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanţe în care persoana vizată şi-a dat consimţământul explicit, în care transferul este ocazional şi necesar în legătură cu un contract sau cu o acţiune în justiţie, indiferent dacă este în contextul unei proceduri judiciare sau în contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor înaintate organismelor de reglementare. De asemenea, ar trebui să se prevadă posibilitatea de a se efectua transferuri în cazul în care motive importante de interes public stabilite de dreptul Uniunii impun acest lucru sau în cazul în care transferul se efectuează dintr-un registru instituit prin lege şi destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date conţinute în registru, cu excepţia cazului în care este autorizat de dreptul Uniunii, iar atunci când registrul este destinat să fie consultat de persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele şi drepturile fundamentale ale persoanei vizate.

(69)Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate şi necesare din considerente importante de interes public, de exemplu în cazul schimbului internaţional de date între instituţiile şi organele Uniunii şi autorităţi din domeniul concurenţei, administraţii fiscale sau vamale, autorităţi de supraveghere financiară şi servicii competente în materie de securitate socială sau de sănătate publică, precum în cazul depistării punctelor de contact pentru bolile contagioase sau pentru reducerea şi/sau eliminarea dopajului în sport. Un transfer de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care este necesar în scopul protejării unui interes care este esenţial pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizică sau pentru viaţa acesteia, în cazul în care persona vizată nu are capacitatea să îşi dea consimţământul. În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie, dreptul Uniunii poate, din considerente importante de interes public, stabili în mod expres limite asupra transferului unor categorii specifice de date către o ţară terţă sau o organizaţie internaţională. Orice transfer către o organizaţie umanitară internaţională al datelor cu caracter personal ale unei persoane vizate care se află în incapacitate fizică sau juridică de a îşi da consimţământul, în vederea îndeplinirii unei sarcini care decurge din Convenţiile de la Geneva sau în vederea conformării cu dreptul internaţional umanitar aplicabil în conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru că este în interesul vital al persoanei vizate.

(71)Fluxul transfrontalier de date cu caracter personal în afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-şi exercita drepturile în materie de protecţie a datelor, în special pentru a-şi asigura protecţia împotriva utilizării sau a divulgării ilegale a acestor informaţii. În acelaşi timp, autorităţile naţionale de supraveghere şi Autoritatea Europeană pentru Protecţia Datelor, se pot afla în imposibilitatea de a trata plângeri sau de a efectua investigaţii referitoare la activităţile desfăşurate în afara competenţei lor judiciare. Eforturile acestora de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficienţa competenţelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice şi de existenţa unor obstacole de ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, ar trebui să se promoveze o cooperare mai strânsă între Autoritatea Europeană pentru Protecţia Datelor şi autorităţile naţionale de supraveghere, pentru a le ajuta să facă schimb de informaţii cu omologii lor internaţionali.

(72)Instituirea, prin Regulamentul (CE) nr. 45/2001, a Autorităţii Europene pentru Protecţia Datelor, care este împuternicită să îşi îndeplinească sarcinile şi să îşi exercite competenţele în deplină independenţă, este un element esenţial al protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. Prezentul regulament ar trebui să consolideze şi să clarifice şi mai mult rolul şi independenţa acestei autorităţi. Autoritatea Europeană pentru Protecţia Datelor ar trebui să fie o persoană care oferă toate garanţiile de independenţă şi care posedă experienţa şi competenţele necesare îndeplinirii atribuţiilor de Autoritate Europeană pentru Protecţia Datelor, de exemplu deoarece a fost membru al uneia dintre autorităţile de supraveghere instituite în temeiul articolului 51 din Regulamentul (UE) 2016/679.

(73)Pentru a se asigura coerenţa monitorizării şi aplicării normelor privind protecţia datelor în întreaga Uniune, Autoritatea Europeană pentru Protecţia Datelor ar trebui să aibă aceleaşi sarcini şi competenţe efective ca autorităţile naţionale de supraveghere, inclusiv competenţe de investigare, competenţe corective şi de a aplica sancţiuni, competenţe de autorizare şi de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum şi competenţa de a sesiza Curtea de Justiţie cu privire la cazurile de încălcare a prezentului regulament şi competenţa de a acţiona în justiţie în conformitate cu dreptul primar. Aceste competenţe ar trebui să includă şi competenţa de a impune o limitare temporară sau definitivă, inclusiv o interdicţie, asupra prelucrării. Pentru a se evita costurile inutile şi inconvenientele excesive pentru persoanele în cauză care ar putea fi prejudiciate, fiecare măsură a Autorităţii Europene pentru Protecţia Datelor ar trebui să fie adecvată, necesară şi proporţională în vederea asigurării conformităţii cu dispoziţiile prezentului regulament, să ia în considerare circumstanţele fiecărui caz în parte şi să respecte dreptul oricărei persoane de a fi audiată înainte de luarea oricărei măsuri individuale în cauză. Fiecare măsură obligatorie din punct de vedere juridic luată de Autoritatea Europeană pentru Protecţia Datelor ar trebui să fie prezentată în scris, să fie clară şi lipsită de ambiguitate, să indice data emiterii măsurii, să poarte semnătura Autorităţii Europene pentru Protecţia Datelor, să indice motivele pentru care s-a luat măsura şi să facă trimitere la dreptul la o cale de atac eficientă.

(74)Competenţa de supraveghere a Autorităţii Europene pentru Protecţia Datelor nu ar trebui să vizeze prelucrarea datelor cu caracter personal de către Curtea de Justiţie atunci când îşi exercită atribuţiile judiciare, în scopul garantării independenţei Curţii în îndeplinirea sarcinilor sale judiciare, inclusiv în luarea deciziilor. Pentru astfel de operaţiuni de prelucrare, Curtea ar trebui să instituie o supraveghere independentă, în conformitate cu articolul 8 alineatul (3) din Cartă, de exemplu prin intermediul unui mecanism intern.

(77)Autorităţile naţionale de supraveghere monitorizează aplicarea Regulamentului (UE) 2016/679 şi contribuie la aplicarea coerentă a acestuia în întreaga Uniune, în scopul asigurării protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal şi al facilitării liberei circulaţii a datelor cu caracter personal în cadrul pieţei interne. Pentru a asigura un grad sporit de coerenţă în aplicarea normelor privind protecţia datelor în vigoare din statele membre şi a normelor privind protecţia datelor aplicabile instituţiilor şi organelor Uniunii, Autoritatea Europeană pentru Protecţia Datelor ar trebui să coopereze în mod eficace cu autorităţile naţionale de supraveghere.

(78)În anumite cazuri, dreptul Uniunii prevede un model de supraveghere coordonată, repartizată între Autoritatea Europeană pentru Protecţia Datelor şi autorităţile naţionale de supraveghere. Autoritatea Europeană pentru Protecţia Datelor este, de asemenea, autoritatea de supraveghere a Europol şi, în acest scop a fost întocmit un anumit model de cooperare cu autorităţile naţionale de supraveghere, prin intermediul unui consiliu de cooperare cu rol consultativ. În vederea îmbunătăţirii supravegherii şi aplicării efective a normelor de fond în materie de protecţie a datelor, la nivelul Uniunii ar trebui să se instituie un model unic şi coerent de supraveghere coordonată. Prin urmare, Comisia ar trebui să prezinte propuneri legislative, atunci când este cazul, în vederea modificării actelor juridice ale Uniunii care prevăd un model de supraveghere coordonată, pentru a le alinia la modelul de supraveghere coordonată menţionat în prezentul regulament. Comitetul european pentru protecţia datelor ar trebui să exercite rolul de forum unic pentru asigurarea supravegherii efective coordonate în toate domeniile.

(79)Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor şi dreptul de a introduce o cale de atac eficientă la Curtea de Justiţie în conformitate cu tratatele, în cazul în care persoana vizată consideră că drepturile de care se bucură în temeiul prezentului regulament îi sunt încălcate sau în cazul în care Autoritatea Europeană pentru Protecţia Datelor nu reacţionează la o plângere, respinge sau refuză parţial ori total o plângere sau nu acţionează atunci când o astfel de acţiune este necesară pentru asigurarea protecţiei drepturilor persoanei vizate. Investigaţia în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcţie de caz. Autoritatea Europeană pentru Protecţia Datelor ar trebui să informeze persoana vizată cu privire la stadiul în care se află plângerea şi cu privire la soluţionarea acesteia într-un termen rezonabil. În eventualitatea în care cazul necesită coordonarea ulterioară cu o autoritate naţională de supraveghere, ar trebui să se furnizeze informaţii intermediare persoanei vizate. În vederea facilitării depunerii plângerilor, Autoritatea Europeană pentru Protecţia Datelor ar trebui să ia măsuri precum punerea la dispoziţie a unui formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.

(81)În vederea întăririi rolului de supraveghere exercitat de Autoritatea Europeană pentru Protecţia Datelor şi a punerii efective în aplicare a prezentului regulament, Autoritatea Europeană pentru Protecţia Datelor ar trebui să aibă competenţa de a aplica amenzi administrative, ca sancţiune de ultimă instanţă. Aceste amenzi ar trebui să urmărească sancţionarea mai degrabă a instituţiei sau a organului Uniunii în cauză, decât a persoanelor fizice, în caz de nerespectare a prezentului regulament, astfel încât să descurajeze viitoare încălcări ale prezentului regulament şi să promoveze o cultură a protecţiei datelor cu caracter personal în instituţiile şi organele Uniunii. Prezentul regulament ar trebui să indice încălcările care fac obiectul unor amenzi administrative şi limitele maxime şi criteriile pentru stabilirea amenzilor aferente. Autoritatea Europeană pentru Protecţia Datelor ar trebui să determine cuantumul amenzii în fiecare caz în parte, ţinând seama de toate circumstanţele relevante ale situaţiei specifice, luându-se în considerare în mod corespunzător natura, gravitatea şi durata încălcării, consecinţele acesteia şi măsurile luate pentru a se asigura respectarea obligaţiilor prevăzute de prezentul regulament şi pentru a se preveni sau atenua consecinţele încălcării. Atunci când aplică o amendă administrativă unei instituţii sau unui organ al Uniunii, Autoritatea Europeană pentru Protecţia Datelor ar trebui să ia în considerare proporţionalitatea cuantumului amenzii. Procedura administrativă de aplicare a amenzilor instituţiilor şi organelor Uniunii ar trebui să respecte principiile generale ale dreptului Uniunii, astfel cum sunt interpretate de Curtea de Justiţie.

(82)În cazul în care persoana vizată consideră că drepturile de care beneficiază în temeiul prezentului regulament îi sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizaţie sau o asociaţie fără scop lucrativ care este înfiinţat(ă) în conformitate cu dreptul Uniunii sau cu dreptul intern al unui stat membru, ale cărui (cărei) obiective statutare sunt în interesul public şi care îşi desfăşoară activitatea în domeniul asigurării protecţiei datelor cu caracter personal, să depună o plângere în numele său la Autoritatea Europeană pentru Protecţia Datelor. Un astfel de organism, organizaţie sau asociaţie ar trebui, de asemenea, să fie în măsură să exercite dreptul la o cale de atac în numele persoanelor vizate sau să exercite dreptul de a primi despăgubiri în numele persoanelor vizate.

(83)Împotriva funcţionarilor sau altor agenţi ai Uniunii care nu respectă obligaţiile ce le revin în temeiul dispoziţiilor prezentului regulament ar trebui să se poată lua măsuri disciplinare sau alt tip de măsuri, în conformitate cu normele şi procedurile prevăzute în Statutul funcţionarilor Uniunii Europene şi în Regimul aplicabil celorlalţi agenţi ai Uniunii Europene, stabilite prin Regulamentul (CEE, Euratom, CECA) nr. 259/68 al Consiliului (¹) ("Statutul funcţionarilor").

(84)În vederea asigurării unor condiţii uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui învestită cu competenţe de executare. Competenţele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (²). Procedura de examinare ar trebui utilizată pentru adoptarea de clauze contractuale standard între operatori şi persoanele împuternicite de operatori, precum şi între persoanele împuternicite de operatori, pentru adoptarea unei liste a operaţiunilor de prelucrare în cazul cărora este necesară o consultare prealabilă a Autorităţii Europene pentru Protecţia Datelor de către operatorii care efectuează activităţi de prelucrare a datelor cu caracter personal necesare pentru îndeplinirea unei sarcini de interes public, precum şi pentru adoptarea unor clauze contractuale standard care oferă garanţii adecvate pentru transferurile internaţionale.

(85)Informaţiile confidenţiale pe care autorităţile statistice de la nivelul Uniunii şi de la nivel naţional le colectează în vederea elaborării de statistici europene şi naţionale oficiale ar trebui să fie protejate. Statisticile europene ar trebui concepute, elaborate şi difuzate în conformitate cu principiile statistice prevăzute la articolul 338 alineatul (2) din TFUE. Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului (³) prevede specificaţii suplimentare privind confidenţialitatea datelor statistice pentru statisticile europene.

(³)Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009 privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale Biroului Statistic al Comunităţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităţilor Europene (JO L 87, 31.3.2009, p. 164).

(86)Regulamentul (CE) nr. 45/2001 şi Decizia nr. 1247/2002/CE a Parlamentului European, a Consiliului şi a Comisiei (⁴) ar trebui abrogate. Trimiterile la regulamentul şi la decizia abrogate ar trebui interpretate ca trimiteri la prezentul regulament.

(87)În scopul garantării independenţei depline a membrilor autorităţii independente de supraveghere, prezentul regulament nu ar trebui să aducă atingere mandatelor actualei Autorităţi Europene pentru Protecţia Datelor şi a actualului său adjunct. Actualul adjunct al acestei autorităţi ar trebui să rămână în funcţie până la sfârşitul mandatului său, cu excepţia cazului în care este îndeplinită una dintre condiţiile prevăzute de prezentul regulament pentru încetarea anticipată a mandatului Autorităţii Europene pentru Protecţia Datelor. Dispoziţiile relevante ale prezentului regulament ar trebui să se aplice adjunctului Autorităţii Europene pentru Protecţia Datelor până la sfârşitul mandatului său.

(88)În conformitate cu principiul proporţionalităţii, este necesar şi oportun, în vederea realizării obiectivului fundamental al asigurării unui nivel echivalent de protecţie a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal şi al liberei circulaţii a datelor cu caracter personal în întreaga Uniune, să se stabilească norme privind prelucrarea datelor cu caracter personal în instituţiile şi organele Uniunii. Prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivelor urmărite, în conformitate cu articolul 5 alineatul (4) din TUE.

CAPITOLUL I:DISPOZIŢII GENERALE

Art. 1: Obiect şi obiective

Art. 2: Domeniul de aplicare

(3)Prezentul regulament nu se aplică prelucrării datelor operaţionale cu caracter personal efectuate de Europol şi de Parchetul European, până la adaptarea Regulamentului (UE) 2016/794 al Parlamentului European şi al Consiliului (¹) şi a Regulamentului (UE) 2017/1939 al Consiliului (²) în conformitate cu articolul 98 din prezentul regulament.

Art. 3: Definiţii

1."date cu caracter personal" înseamnă orice informaţie privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective;

3."prelucrare" înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;

5."creare de profiluri" înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;

13."destinatar" înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice în cauză respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

25."reţea de comunicaţii electronice" înseamnă un sistem de transmisie, indiferent dacă este bazat pe o infrastructură permanentă sau pe o capacitate de administrare centralizată, şi, după caz, echipamente de comutare sau de rutare şi alte resurse, inclusiv elemente de reţea care nu sunt active, care permit transmiterea semnalelor prin cablu, unde radio, prin mijloace optice sau prin alte mijloace electromagnetice, inclusiv reţele de comunicaţii prin satelit, reţele terestre fixe (cu comutare de circuite şi cu comutare de pachete, inclusiv internet) şi mobile, reţele electrice, în măsura în care sunt utilizate pentru transmiterea de semnale, reţele utilizate pentru difuzarea programelor de radio şi de televiziune şi reţele de televiziune prin cablu, indiferent de tipul de informaţie transmisă;

CAPITOLUL II:PRINCIPII GENERALE

Art. 4: Principii legate de prelucrarea datelor cu caracter personal

(1)Datele cu caracter personal sunt:

e)păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele cu caracter personal; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 13, sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor şi libertăţilor persoanei vizate ("limitări legate de stocare");

Art. 5: Legalitatea prelucrării

(1)Prelucrarea este legală numai dacă şi în măsura în care se aplică cel puţin una dintre următoarele condiţii:

Art. 6: Prelucrarea într-un alt scop compatibil

În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimţământul persoanei vizate sau pe dreptul Uniunii care constituie o măsură necesară şi proporţională într-o societate democratică pentru a proteja obiectivele menţionate la articolul 25 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate iniţial, ia în considerare, printre altele:

Art. 7: Condiţii privind consimţământul

Art. 8: Condiţii aplicabile în ceea ce priveşte consimţământul copilului în legătură cu serviciile societăţii informaţionale

(1)În cazul în care se aplică articolul 5 alineatul (1) litera (d), în ceea ce priveşte oferirea de servicii ale societăţii informaţionale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puţin vârsta de 13 ani. Dacă copilul are sub vârsta de 13 ani, respectiva prelucrare este legală numai dacă şi în măsura în care consimţământul respectiv este acordat sau autorizat de titularul răspunderii părinteşti asupra copilului.

Art. 9: Transmiterile de date cu caracter personal către destinatari stabiliţi în Uniune, alţii decât instituţiile şi organele Uniunii

(1)Fără a aduce atingere articolelor 4-6 şi 10, datele cu caracter personal se transmit destinatarilor stabiliţi în Uniune, alţii decât instituţii şi organe ale Uniunii, numai dacă:

Art. 10: Prelucrarea de categorii speciale de date cu caracter personal

(2)Alineatul (1) nu se aplică în următoarele situaţii:

d)prelucrarea este efectuată, în cadrul activităţilor sale legitime şi cu garanţii adecvate, de către un organism cu scop nelucrativ care constituie o entitate integrată într-o instituţie sau un organ al Uniunii, care urmăreşte un obiectiv politic, filozofic, religios sau sindical, cu condiţia ca prelucrarea să se refere numai la membrii sau la foştii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale şi ca datele să nu fie comunicate terţilor fără consimţământul persoanelor vizate;

h)prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării condiţiilor şi garanţiilor prevăzute la alineatul (3);

i)prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii care prevăd măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional; sau

(3)Datele cu caracter personal menţionate la alineatul (1) se pot prelucra pentru scopurile menţionate la alineatul (2) litera (h) în cazul în care datele respective sunt prelucrate de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente, sau de către o altă persoană care este, de asemenea, supusă unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al unor normelor stabilite de organisme naţionale competente.

Art. 12: Prelucrarea care nu necesită identificare

Art. 13: Garanţii privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice

Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice are loc cu condiţia existenţei unor garanţii corespunzătoare, în conformitate cu prezentul regulament, pentru drepturile şi libertăţile persoanelor vizate. Respectivele garanţii asigură faptul că au fost instituite măsuri tehnice şi organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Respectivele măsuri pot include pseudonimizarea, cu condiţia ca respectivele scopuri să fie îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod.

CAPITOLUL III:DREPTURILE PERSOANEI VIZATE

SECŢIUNEA 1:Transparenţă şi modalităţi

Art. 14: Transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate

(1)Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 15 şi 16 şi pentru a efectua orice comunicări în temeiul articolelor 17-24 şi 35 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod specific unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

(3)Operatorul furnizează persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri în temeiul articolelor 17-24, fără întârzieri nejustificate şi, în orice caz, în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informaţiile sunt furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un alt format.

SECŢIUNEA 2:informare şi acces la date cu caracter personal

Art. 15: Informaţii care se furnizează în cazul în care date cu caracter personal sunt colectate de la persoana vizată

(1)În cazul în care date cu caracter personal referitoare la o persoană vizată se colectează de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter personal, furnizează persoanei vizate toate informaţiile următoare:

(2)În plus faţă de informaţiile menţionate la alineatul (1), în momentul în care datele cu caracter personal sunt obţinute, operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă:

Art. 16: Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată

(1)În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informaţii:

(2)Pe lângă informaţiile menţionate la alineatul (1), operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată:

(3)Operatorul furnizează informaţiile menţionate la alineatele (1) şi (2):

(5)Alineatele (1)-(4) nu se aplică dacă şi în măsura în care:

Art. 17: Dreptul de acces al persoanei vizate

(1)Persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:

SECŢIUNEA 3:Rectificare şi ştergere

Art. 19: Dreptul la ştergerea datelor ("dreptul de a fi uitat")

(1)Persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

(2)În cazul în care operatorul a făcut publice datele cu caracter personal şi este obligat, în temeiul alineatului (1), să le şteargă, operatorul, ţinând seama de tehnologia disponibilă şi de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii sau operatorii, alţii decât instituţii şi organe ale Uniunii care prelucrează datele cu caracter personal că persoana vizată a solicitat ştergerea de către aceşti operatori, a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

(3)Alineatele (1) şi (2) nu se aplică în măsura în care prelucrarea este necesară:

Art. 20: Dreptul la restricţionarea prelucrării

(1)Persoana vizată are dreptul de a obţine din partea operatorului restricţionarea prelucrării în următoarele cazuri:

Art. 21: Obligaţia de notificare privind rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării

Operatorul comunică fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării efectuate în conformitate cu articolul 18, articolul 19 alineatul (1) şi articolul 20, cu excepţia cazului în care acest lucru se dovedeşte imposibil sau presupune eforturi disproporţionate. Operatorul informează persoana vizată cu privire la destinatarii respectivi dacă persoana vizată solicită acest lucru.

Art. 22: Dreptul la portabilitatea datelor

(1)Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc şi pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

SECŢIUNEA 4:Dreptul la opoziţie şi procesul decizional individual automatizat

Art. 23: Dreptul la opoziţie

(1)În orice moment, persoana vizată are dreptul să se opună, din motive legate de situaţia particulară în care se află, prelucrării în temeiul articolului 5 alineatul (1) litera (a), a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivei dispoziţii. Operatorul nu mai prelucrează datele cu caracter personal, cu excepţia cazului în care operatorul demonstrează că are motive legitime şi imperioase care justifică prelucrarea şi care prevalează asupra intereselor, drepturilor şi libertăţilor persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanţă.

Art. 24: Procesul decizional individual automatizat, inclusiv crearea de profiluri

SECŢIUNEA 5:Restricţii

Art. 25: Restricţii

(1)Actele legislative adoptate în baza tratatelor sau, în chestiuni legate de funcţionarea instituţiilor şi organelor Uniunii, normele interne prevăzute de acestea din urmă pot restricţiona aplicarea articolelor 14-22, 35 şi 36, precum şi a articolului 4 în măsura în care dispoziţiile acestuia corespund drepturilor şi obligaţiilor prevăzute la articolele 14-22, atunci când o astfel de restricţie respectă esenţa drepturilor şi libertăţilor fundamentale şi constituie o măsură necesară şi proporţională într-o societate democratică, pentru a garanta:

(2)În special, orice act juridic sau normă internă menţionată la alineatul (1) conţine dispoziţii specifice privind, dacă este cazul:

(3)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, dreptul Uniunii, care poate include norme interne adoptate de instituţiile şi organele Uniunii în chestiuni referitoare la funcţionarea lor, poate să prevadă derogări de la drepturile menţionate la articolele 17, 18, 20 şi 23, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 13, în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

(4)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare de interes public, dreptul Uniunii, care poate include norme interne adoptate de instituţiile şi organele Uniunii în chestiuni referitoare la funcţionarea lor, poate să prevadă derogări de la drepturile menţionate la articolele 17, 18, 20, 21, 22 şi 23, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 13, în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

CAPITOLUL IV:OPERATORUL ŞI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR

SECŢIUNEA 1:Obligaţii generale

Art. 26: Responsabilitatea operatorului

Art. 27: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit

(1)Având în vedere stadiul actual al tehnologiei, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi a proteja drepturile persoanelor vizate.

(2)Operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligaţie se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane.

Art. 28: Operatorii asociaţi

(1)În cazul în care doi sau mai mulţi operatori sau unul sau mai mulţi operatori împreună cu unul sau mai mulţi operatori, alţii decât instituţii şi organe ale Uniunii, stabilesc în comun scopurile şi mijloacele prelucrării, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în materie de protecţie a datelor, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecărui operator de a furniza informaţiile prevăzute la articolele 15 şi 16, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor asociaţi sunt stabilite în dreptul Uniunii sau în dreptul intern al statului membru care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

Art. 29: Persoana împuternicită de operator

(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.

(3)Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:

a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni susţinute de documente din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine în temeiul dreptului Uniunii sau al dreptului statului membru care i se aplică; în acest caz, persoana împuternicită de operator notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care legislaţia respectivă interzice această informare din motive importante legate de interesul public;

h)pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea.

(4)În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentului regulament. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite.

(5)În cazul în care o persoană împuternicită de un operator nu este o instituţie sau un organ al Uniunii, aderarea la un cod de conduită aprobat, menţionat la articolul 40 alineatul (5) din Regulamentul (UE) 2016/679, sau la un mecanism de certificare aprobat, menţionat la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element prin care să se demonstreze existenţa unor garanţii suficiente, astfel cum sunt menţionate la alineatele (1) şi (4) din prezentul articol.

(6)Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauzele contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată persoanei împuternicite de operator, care nu este o instituţie sau un organ al UE, în temeiul articolului 42 din Regulamentul (UE) 2016/679.

Art. 31: Evidenţele activităţilor de prelucrare

(1)Fiecare operator păstrează o evidenţă a activităţilor de prelucrare desfăşurate sub responsabilitatea sa. Respectiva evidenţă cuprinde toate informaţiile următoare:

(2)Fiecare persoană împuternicită de operator păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare desfăşurate în numele operatorului, care cuprinde:

SECŢIUNEA 2:Securitatea datelor cu caracter personal

Art. 33: Securitatea prelucrării

(1)Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertăţile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând, printre altele, după caz:

Art. 34: Notificarea Autorităţii Europene pentru Protecţia Datelor în cazul încălcării securităţii datelor cu caracter personal

(1)În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru Autorităţii Europene pentru Protecţia Datelor, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea către Autoritatea Europeană pentru Protecţia Datelor nu are loc în termen de 72 de ore, aceasta este însoţită de o explicaţie privind motivele întârzierii.

(3)Notificarea menţionată la alineatul (1), cel puţin:

Art. 35: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal

(3)Informarea persoanei vizate menţionată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiţii este îndeplinită:

SECŢIUNEA 3:Confidenţialitatea comunicaţiilor electronice

Art. 37: Protecţia informaţiilor transmise către, stocate în, aferente, prelucrate de şi colectate de la echipamentele terminale ale utilizatorilor

SECŢIUNEA 4:Evaluarea impactului asupra protecţiei datelor şi consultarea prealabilă

Art. 39: Evaluarea impactului asupra protecţiei datelor

(1)Având în vedere natura, domeniul de aplicare, contextul şi scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este de natură să ducă la apariţia unui risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operaţiunilor de prelucrare prevăzute asupra protecţiei datelor cu caracter personal. O evaluare unică poate aborda un set de operaţiuni de prelucrare similare care prezintă riscuri ridicate similare.

(3)Evaluarea impactului asupra protecţiei datelor menţionată la alineatul (1) se impune mai ales în cazul:

(6)Înainte de adoptarea listelor menţionate la alineatele (4) şi (5) de la prezentul articol, Autoritatea Europeană pentru Protecţia Datelor solicită Comitetului european pentru protecţia datelor instituit în temeiul articolului 68 din Regulamentul (UE) 2016/679 să examineze aceste liste în conformitate cu articolul 70 alineatul (1) litera (e) din regulamentul menţionat în cazul în care acestea vizează operaţiuni de prelucrare efectuate de un operator care acţionează împreună cu unul sau mai mulţi operatori alţii decât instituţiile şi organele Uniunii.

(7)Evaluarea conţine cel puţin:

(10)Atunci când prelucrarea efectuată în temeiul articolului 5 alineatul (1) litera (a) sau (b) are drept temei juridic un act legislativ adoptat în baza tratatelor, care reglementează operaţiunea de prelucrare specifică sau setul de operaţiuni în cauză, şi atunci când s-a efectuat deja o evaluare a impactului asupra protecţiei datelor ca parte a unei evaluări generale a impactului prealabile adoptării respectivului act legislativ, alineatele (1)-(6) din prezentul articol nu se aplică, cu excepţia cazului în care acel act legislativ prevede acest lucru.

Art. 40: Consultarea prealabilă

(1)Operatorul consultă Autoritatea Europeană pentru Protecţia Datelor înainte de prelucrare în cazul în care o evaluare a impactului asupra protecţiei datelor efectuată în temeiul articolului 39 arată că prelucrarea ar duce, în absenţa garanţiilor, măsurilor de securitate şi mecanismelor de atenuare a riscului, la apariţia unui risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile având în vedere tehnologiile disponibile şi costurile implementării. Operatorul solicită consiliere din partea responsabilului cu protecţia datelor cu privire la necesitatea consultării prealabile.

(2)Atunci când Autoritatea Europeană pentru Protecţia Datelor consideră că prelucrarea prevăzută, astfel cum este menţionată la alineatul (1), ar încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecţia Datelor oferă consiliere în scris operatorului şi, după caz, persoanei împuternicite de operator, în termen de cel mult opt săptămâni de la primirea cererii de consultare, şi îşi poate exercita oricare dintre competenţele menţionate la articolul 58. Această perioadă poate fi prelungită cu şase săptămâni, ţinându-se seama de complexitatea prelucrării prevăzute. Autoritatea Europeană pentru Protecţia Datelor informează operatorul şi, după caz, persoana împuternicită de operator în termen de o lună de la primirea cererii de consultare cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până când Autoritatea Europeană pentru Protecţia Datelor a obţinut informaţiile pe care le-a solicitat în scopul consultării.

(3)Cu ocazia consultării Autorităţii Europene pentru Protecţia Datelor în temeiul alineatului (1), operatorul furnizează Autorităţii Europene pentru Protecţia Datelor:

SECŢIUNEA 5:Informare şi consultare legislativă

Art. 41: Informare şi consultare

Art. 42: Consultare legislativă

SECŢIUNEA 6:Responsabilul cu protecţia datelor

Art. 43: Desemnarea responsabilului cu protecţia datelor

Art. 44: Funcţia responsabilului cu protecţia datelor

(7)Responsabilul cu protecţia datelor poate fi consultat de către operator sau de către persoana împuternicită de acesta, de către Comitetul pentru personal şi de către orice persoană fizică, în orice problemă privind interpretarea sau aplicarea prezentului regulament, fără să se recurgă la căile oficiale. Nimeni nu poate suferi un prejudiciu ca urmare a unui fapt adus la cunoştinţa responsabilului competent cu protecţia datelor, despre care se susţine că ar reprezenta o încălcare a dispoziţiilor prezentului regulament.

Art. 45: Sarcinile responsabilului cu protecţia datelor

(1)Responsabilul cu protecţia datelor are următoarele sarcini:

b)asigurarea în mod independent a aplicării interne a prezentului regulament şi monitorizarea respectării prezentului regulament, a altor dispoziţii de drept al Uniunii în vigoare referitoare la protecţia datelor şi a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;

(2)Responsabilul cu protecţia datelor poate face recomandări operatorului şi persoanei împuternicite de acesta în vederea îmbunătăţirii concrete a protecţiei datelor şi le poate acorda consultanţă cu privire la aspecte referitoare la aplicarea dispoziţiilor privind protecţia datelor. Mai mult, din proprie iniţiativă sau la cererea operatorului ori a persoanei împuternicite de acesta, a Comitetului pentru personal în cauză sau a oricărei alte persoane fizice, poate să cerceteze problemele şi faptele legate direct de sarcinile sale, care i-au fost aduse la cunoştinţă, prezentând un raport persoanei care a solicitat cercetarea sau operatorului ori persoanei împuternicite de acesta.

CAPITOLUL V:TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE ŢĂRI TERŢE SAU ORGANIZAŢII INTERNAŢIONALE

Art. 46: Principiul general al transferurilor

Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o ţară terţă sau către o organizaţie internaţională pot fi transferate doar dacă, sub rezerva celorlalte dispoziţii ale prezentului regulament, condiţiile prevăzute în prezentul capitol sunt respectate de operator şi de persoana împuternicită de operator, inclusiv în ceea ce priveşte transferurile ulterioare de date cu caracter personal din ţara terţă sau de la organizaţia internaţională către o altă ţară terţă sau către o altă organizaţie internaţională. Toate dispoziţiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecţie a persoanelor fizice garantat prin prezentul regulament nu este subminat.

Art. 47: Transferuri în temeiul unei decizii privind caracterul adecvat al nivelului de protecţie

(1)Transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis, în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, că ţara terţă, un teritoriu ori unul sau mai multe sectoare specificate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat, şi atunci când datele cu caracter personal sunt transferate exclusiv pentru a permite îndeplinirea sarcinilor care sunt de competenţa operatorului.

Art. 48: Transferuri în baza unor garanţii adecvate

(1)În absenţa unei decizii în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, un operator sau persoana împuternicită de operator poate transfera date cu caracter personal către o ţară terţă sau o organizaţie internaţională numai dacă operatorul sau persoana împuternicită de operator a oferit garanţii adecvate şi cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate.

(2)Garanţiile adecvate menţionate la alineatul (1) pot fi furnizate fără să fie nevoie de vreo autorizaţie specifică din partea Autorităţii Europene pentru Protecţia Datelor, sub formele următoare:

(3)Sub rezerva autorizării din partea Autorităţii Europene pentru Protecţia Datelor, garanţiile adecvate menţionate la alineatul (1) pot fi furnizate, de asemenea, în special, prin:

Art. 49: Transferurile sau divulgările de informaţii neautorizate de dreptul Uniunii

Orice hotărâre a unei instanţe sau a unui tribunal şi orice decizie a unei autorităţi administrative a unei ţări terţe care impun unui operator sau persoanei împuternicite de operator să transfere sau să divulge date cu caracter personal poate fi recunoscută sau executată în orice fel numai dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune, fără a se aduce atingere altor motive de transfer în temeiul prezentului capitol.

Art. 50: Derogări pentru situaţii specifice

(1)În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 45 alineatul (3) din Regulamentul (UE) 2016/679 sau în conformitate cu articolul 36 alineatul (3) din Directiva (UE) 2016/680 sau a unor garanţii adecvate în conformitate cu articolul 48 din prezentul regulament, un transfer sau o serie de transferuri de date cu caracter personal către o ţară terţă sau o organizaţie internaţională are loc numai în condiţiile în care:

Art. 51: Cooperarea internaţională în domeniul protecţiei datelor cu caracter personal

CAPITOLUL VI:AUTORITATEA EUROPEANĂ PENTRU PROTECŢIA DATELOR

Art. 52: Autoritatea Europeană pentru Protecţia Datelor

(3)Autoritatea Europeană pentru Protecţia Datelor răspunde de monitorizarea şi asigurarea aplicării dispoziţiilor prezentului regulament şi a oricărui alt act al Uniunii referitor la protecţia drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal efectuată de către o instituţie sau un organ al Uniunii, precum şi de consilierea instituţiilor şi organelor Uniunii şi a persoanelor vizate cu privire la toate aspectele legate de prelucrarea de date cu caracter personal. În aceste scopuri, Autoritatea Europeană pentru Protecţia Datelor îndeplineşte sarcinile prevăzute la articolul 57 şi exercită competenţele care i-au fost conferite prin articolul 58.

Art. 53: Numirea Autorităţii Europene pentru Protecţia Datelor

(1)Parlamentul European şi Consiliul numesc de comun acord Autoritatea Europeană pentru Protecţia Datelor pentru un mandat de cinci ani, pe baza unei liste întocmite de Comisie în urma unui anunţ public de depunere a candidaturilor. Anunţul de depunere a candidaturilor le permite tuturor părţilor interesate din întreaga Uniune să-şi prezinte candidatura. Lista candidaţilor întocmită de Comisie este publică şi conţine cel puţin trei candidaţi. Pe baza listei întocmite de Comisie, comisia competentă a Parlamentului European poate decide organizarea unei audieri care să îi permită să îşi exprime preferinţa pentru un candidat.

Art. 54: Statutul şi condiţiile generale de exercitare a atribuţiilor de către Autoritatea Europeană pentru Protecţia Datelor, resurse umane şi financiare

(4)Autoritatea Europeană pentru Protecţia Datelor este asistată de un secretariat. Funcţionarii şi ceilalţi membri ai personalului din cadrul secretariatului sunt numiţi de Autoritatea Europeană pentru Protecţia Datelor, iar superiorul lor ierarhic este Autoritatea Europeană pentru Protecţia Datelor. Aceştia se află exclusiv sub conducerea sa. Numărul lor este stabilit în fiecare an în cadrul procedurii bugetare. Articolul 75 alineatul (2) din Regulamentul (UE) 2016/679 se aplică personalului Autorităţii Europene pentru Protecţia Datelor implicat în îndeplinirea sarcinilor conferite Comitetului european pentru protecţia datelor de dreptul Uniunii.

Art. 55: Independenţa

Art. 57: Sarcini

(1)Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, Autoritatea Europeană pentru Protecţia Datelor:

Art. 58: Competenţe

(1)Autoritatea Europeană pentru Protecţia Datelor deţine următoarele competenţe de investigare:

(2)Autoritatea Europeană pentru Protecţia Datelor deţine următoarele competenţe corective:

(3)Autoritatea Europeană pentru Protecţia Datelor deţine următoarele competenţe de autorizare şi de consiliere:

Art. 59: Obligaţia operatorilor şi a persoanelor împuternicite de operator de a răspunde la acuzaţii

În cazul în care Autoritatea Europeană pentru Protecţia Datelor îşi exercită competenţele prevăzute la articolul 58 alineatul (2) literele (a), (b) şi (c), operatorul sau persoana împuternicită de operator în cauză informează Autoritatea Europeană pentru Protecţia Datelor cu privire la opinia sa într-un termen rezonabil care urmează să fie precizat de către Autoritatea Europeană pentru Protecţia Datelor ţinând cont de circumstanţele fiecărui caz în parte. Răspunsul conţine, de asemenea, o descriere a măsurilor întreprinse, dacă acestea există, ca răspuns la observaţiile Autorităţii Europene pentru Protecţia Datelor.

CAPITOLUL VII:COOPERARE ŞI COERENŢĂ

Art. 61: Cooperarea dintre Autoritatea Europeană pentru Protecţia Datelor şi autorităţile naţionale de supraveghere

Art. 62: Supravegherea coordonată de către Autoritatea Europeană pentru Protecţia Datelor şi de către autorităţile naţionale de supraveghere

(2)Acţionând fiecare în cadrul propriilor competenţe şi responsabilităţi acestea fac, dacă este necesar, schimb de informaţii relevante, îşi acordă reciproc asistenţă în efectuarea de audituri şi inspecţii, examinează dificultăţile de interpretare sau de aplicare a prezentului regulament şi a altor acte aplicabile ale Uniunii, studiază problemele legate de exercitarea supravegherii independente sau de exercitarea drepturilor persoanelor vizate, redactează propuneri armonizate privind soluţii la eventualele probleme şi promovează sensibilizarea cu privire la drepturile privind protecţia datelor.

CAPITOLUL VIII:CĂI DE ATAC, RĂSPUNDERE ŞI SANCŢIUNI

Art. 63: Dreptul de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor

Art. 64: Dreptul la o cale de atac judiciară eficientă

Art. 66: Amenzi administrative

(1)Autoritatea Europeană pentru Protecţia Datelor poate aplica amenzi administrative instituţiilor şi organelor Uniunii, în funcţie de circumstanţele fiecărui caz în parte, în cazul în care o instituţie sau un organ al Uniunii nu se supune unui ordin al Autorităţii Europene pentru Protecţia Datelor în temeiul articolului 58 alineatul (2) literele (d)-(h) şi (j). Atunci când se ia decizia privind oportunitatea aplicării unei amenzi administrative şi decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenţia cuvenită următoarelor aspecte:

(3)Încălcările următoarelor prevederi de către instituţia sau organul Uniunii fac, în conformitate cu alineatul (1), obiectul unor amenzi administrative de până la 50 000 EUR pentru fiecare încălcare, în limita unui cuantum total de 500 000 EUR pe an:

(5)Înaintea adoptării unor decizii în temeiul prezentului articol, Autoritatea Europeană pentru Protecţia Datelor oferă instituţiei sau organului Uniunii care face obiectul procedurilor desfăşurate de Autoritatea Europeană pentru Protecţia Datelor posibilitatea de a se exprima în cadrul unei audieri în legătură cu aspectele cu privire la care Autoritatea Europeană pentru Protecţia Datelor a ridicat obiecţii. Autoritatea Europeană pentru Protecţia Datelor îşi fundamentează deciziile doar pe obiecţiile asupra cărora părţile în cauză au putut formula observaţii. Reclamanţii sunt implicaţi îndeaproape în proceduri.

Art. 67: Reprezentarea persoanelor vizate

Persoana vizată are dreptul de a mandata un organism, o organizaţie sau o asociaţie fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul Uniunii sau cu dreptul unui stat membru, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal, să depună plângerea în numele său la Autoritatea Europeană pentru Protecţia Datelor, să exercite în numele său drepturile menţionate la articolele 63 şi 64, precum şi să exercite, în numele său, dreptul de a primi despăgubiri menţionat la articolul 65.

CAPITOLUL IX:PRELUCRAREA DATELOR OPERAŢIONALE CU CARACTER PERSONAL DE CĂTRE ORGANELE, OFICIILE ŞI AGENŢIILE UNIUNII ATUNCI CÂND ACESTEA DESFĂŞOARĂ ACTIVITĂŢI CARE INTRĂ SUB INCIDENŢA PĂRŢII A TREIA TITLUL V CAPITOLUL 4 SAU CAPITOLUL 5 DIN TFUE

Art. 71: Principii legate de prelucrarea datelor operaţionale cu caracter personal

(1)Datele operaţionale cu caracter personal:

(2)Se permite prelucrarea de către acelaşi operator sau de către un alt operator, în oricare dintre scopurile stabilite în actul juridic de instituire a organului, a oficiului sau a agenţiei Uniunii pe lângă scopul pentru care au fost colectate datele operaţionale cu caracter personal, în măsura în care:

Art. 72: Legalitatea prelucrării datelor operaţionale cu caracter personal

Art. 74: Deosebirea diferitelor tipuri de date operaţionale cu caracter personal şi verificarea calităţii datelor operaţionale cu caracter personal

(2)Operatorul ia toate măsurile rezonabile pentru a se asigura că datele operaţionale cu caracter personal care sunt inexacte, incomplete sau perimate nu sunt transmise sau puse la dispoziţie. În acest scop, operatorul verifică, în măsura în care este posibil şi relevant, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziţie, de exemplu consultând autoritatea competentă de la care provin datele. În măsura în care acest lucru este posibil, de fiecare dată când transmite date operaţionale cu caracter personal, operatorul adaugă informaţiile necesare care să-i permită destinatarului să evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate al datelor operaţionale cu caracter personal, precum şi măsura în care acestea sunt actuale.

Art. 75: Condiţii specifice de prelucrare

Art. 76: Prelucrarea categoriilor speciale de date operaţionale cu caracter personal

(1)Prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice şi afilierea sindicală, precum şi prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor operaţionale cu caracter personal privind starea sănătăţii sau viaţa sexuală ori orientarea sexuală a unei persoane fizice este autorizată numai atunci când este strict necesară în scopuri operaţionale şi se încadrează în mandatul respectivului organ, oficiu sau agenţie a Uniunii şi sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate. Este interzisă discriminarea persoanelor fizice pe baza acestor date cu caracter personal.

Art. 77: Procesul decizional individual automatizat, inclusiv crearea de profiluri

Art. 78: Comunicarea şi modalităţile de exercitare a drepturilor persoanei vizate

(1)Operatorul ia măsuri rezonabile pentru a transmite persoanei vizate toate informaţiile menţionate la articolul 79 şi îi transmite acesteia toate comunicările în legătură cu articolele 80-84 şi cu articolul 92 referitoare la prelucrare, într-o formă concisă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Informaţiile se transmit prin orice mijloace adecvate, inclusiv prin mijloace electronice. Ca regulă generală, operatorul transmite informaţiile în acelaşi format în care a fost primită cererea.

Art. 79: Informaţii care se pun la dispoziţia persoanei vizate sau se comunică acesteia

(1)Operatorul pune la dispoziţia persoanei vizate cel puţin următoarele informaţii:

(2)În plus faţă de informaţiile menţionate la alineatul (1), operatorul îi comunică persoanei vizate, în anumite cazuri prevăzute de legislaţia Uniunii, următoarele informaţii suplimentare, pentru a-i permite acesteia să-şi exercite drepturile:

(3)Operatorul poate amâna, restricţiona sau omite furnizarea de informaţii persoanei vizate în conformitate cu alineatul (2) în măsura în care şi atât timp cât o astfel de măsură constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice în cauză, pentru:

Art. 80: Dreptul de acces al persoanei vizate

Art. 81: Limitarea dreptului de acces

(1)Operatorul poate limita, integral sau parţial, dreptul de acces al persoanei vizate în măsura în care şi atât timp cât o astfel de limitare, parţială sau totală, constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice în cauză, pentru:

(2)În cazurile prevăzute la alineatul (1), operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la orice refuz sau restricţionare a accesului şi la motivele refuzului sau ale restricţionării. Aceste informaţii pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecţia Datelor sau de a introduce o cale de atac în faţa Curţii de Justiţie. Operatorul justifică motivele de fapt sau de drept pe care se întemeiază decizia. Aceste informaţii sunt puse la dispoziţia Autorităţii Europene pentru Protecţia Datelor, la cerere.

Art. 82: Dreptul la rectificarea sau ştergerea datelor operaţionale cu caracter personal şi restricţionarea prelucrării acestora

(2)Operatorul şterge datele operaţionale cu caracter personal fără întârzieri nejustificate, iar persoana vizată are dreptul de a obţine din partea operatorului ştergerea datelor operaţionale cu caracter personal care o privesc fără întârzieri nejustificate în cazul în care prelucrarea încalcă dispoziţiile articolului 71, articolului 72 alineatul (1) sau ale articolului 76 sau în cazul în care datele operaţionale cu caracter personal trebuie şterse pentru îndeplinirea unei obligaţii legale ce îi revine operatorului.

(3)În loc de ştergere, operatorul restricţionează prelucrarea în cazul în care:

(4)Operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ştergere a datelor operaţionale cu caracter personal sau la restricţionarea prelucrării şi motivele refuzului. Operatorul poate restricţiona, integral sau parţial, furnizarea unor astfel de informaţii în măsura în care o astfel de restricţionare constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice vizate pentru:

Art. 83: Dreptul de acces în cadrul anchetelor penale şi al procedurilor penale

În cazul în care datele operaţionale cu caracter personal provin de la o autoritate competentă, organele, oficiile şi agenţiile Uniunii verifică la autoritatea competentă în cauză, înainte de a lua o decizie cu privire la dreptul de acces al persoanei vizate, dacă aceste date cu caracter personal sunt incluse într-o hotărâre judiciară, într-un registru sau într-o cauză judiciară prelucrată în cadrul unor anchete penale şi al unor proceduri penale din statul membru al autorităţii competente în cauză. Dacă răspunsul este afirmativ, se ia o decizie cu privire la dreptul de acces în consultare şi în strânsă cooperare cu autoritatea competentă în cauză.

Art. 84: Exercitarea drepturilor de către persoana vizată şi verificarea de către Autoritatea Europeană pentru Protecţia Datelor

Art. 85: Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit

(1)Având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare şi natura, amploarea, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât şi la momentul prelucrării propriu-zise, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficace principiile de protecţie a datelor, precum reducerea la minimum a datelor, şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentului regulament şi ale actului juridic de instituire care îl vizează pe operator, precum şi pentru a proteja drepturile persoanelor vizate.

(2)Operatorul pune în aplicare măsuri tehnice şi organizatorice corespunzătoare pentru a asigura că, în mod implicit, sunt prelucrate numai date operaţionale cu caracter personal care sunt adecvate şi pertinente şi nu sunt excesive în raport cu scopul în care sunt prelucrate. Această obligaţie se aplică volumului de date operaţionale cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de păstrare şi accesibilităţii lor. În special, astfel de măsuri garantează că, în mod implicit, datele operaţionale cu caracter personal nu pot fi accesate de un număr nelimitat de persoane fizice fără intervenţia persoanei vizate.

Art. 86: Operatorii asociaţi

(1)În cazul în care doi sau mai mulţi operatori sau unul sau mai mulţi operatori împreună cu unul sau mai mulţi operatori, alţii decât instituţii şi organe ale Uniunii, stabilesc în comun scopurile şi mijloacele prelucrării, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile fiecăruia în ceea ce priveşte îndeplinirea obligaţiilor care le revin în materie de protecţie a datelor, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecărui operator de a transmite informaţiile prevăzute la articolul 79, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor asociaţi sunt stabilite în dreptul Uniunii sau în dreptul intern al statelor membre care se aplică operatorilor asociaţi. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

Art. 87: Persoana împuternicită de operator

(2)Persoana împuternicită de operator nu recrutează o altă persoană împuternicită fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificare preconizată privind adăugarea sau înlocuirea altor persoane împuternicite, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.

(3)Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date operaţionale cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:

Art. 88: Înregistrarea

(1)Operatorul înregistrează oricare dintre următoarele operaţiuni de prelucrare în sistemele de prelucrare automată: colectarea, modificarea, accesul, consultarea, divulgarea (inclusiv transferurile), combinarea şi ştergerea de date operaţionale cu caracter personal. Înregistrările consultărilor şi ale dezvăluirilor fac posibilă determinarea motivelor, a datei şi a orei efectuării acestor operaţiuni, identificarea persoanei care a consultat sau a dezvăluit date operaţionale cu caracter personal şi, în măsura în care este posibil, identitatea destinatarilor acestor date operaţionale cu caracter personal.

Art. 89: Evaluarea impactului asupra protecţiei datelor

(2)Evaluarea menţionată la alineatul (1) cuprinde cel puţin o descriere generală a operaţiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor şi libertăţilor persoanelor vizate, măsurile preconizate în vederea eliminării riscurilor, garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor operaţionale cu caracter personal şi să demonstreze respectarea normelor de protecţie a datelor, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale celorlalte persoane interesate.

Art. 90: Consultarea prealabilă a Autorităţii Europene pentru Protecţia Datelor

(1)Operatorul consultă Autoritatea Europeană pentru Protecţia Datelor înainte de prelucrarea care va face parte dintr-un nou sistem de evidenţă care urmează a fi creat, în cazul în care:

(4)Atunci când Autoritatea Europeană pentru Protecţia Datelor consideră că prelucrarea preconizată, menţionată la alineatul (1), ar încălca dispoziţiile prezentului regulament sau ale actului juridic de instituire a organului, oficiului sau agenţiei Uniunii, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecţia Datelor îi transmite operatorului recomandări scrise în termen de cel mult şase săptămâni de la primirea cererii de consultare. Termenul menţionat poate fi prelungit cu o lună, ţinându-se seama de complexitatea prelucrării preconizate. Autoritatea Europeană pentru Protecţia Datelor informează operatorul cu privire la o astfel de prelungire în termen de o lună de la primirea cererii de consultare, prezentând motivele întârzierii.

Art. 91: Securitatea prelucrării datelor operaţionale cu caracter personal

(1)Având în vedere stadiul actual al tehnologiei şi costurile implementării şi ţinând seama de natura, amploarea, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul şi persoana împuternicită de operator pun în aplicare măsuri tehnice şi organizatorice corespunzătoare în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce priveşte prelucrarea categoriilor speciale de date operaţionale cu caracter personal.

(2)În ceea ce priveşte prelucrarea automată, operatorul şi persoana împuternicită de operator pun în aplicare, în urma unei evaluări a riscurilor, măsuri menite:

Art. 92: Notificarea Autorităţii Europene pentru Protecţia Datelor a unei încălcări a securităţii datelor cu caracter personal

(1)În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru Autorităţii Europene pentru Protecţia Datelor, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea Autorităţii Europene pentru Protecţia Datelor nu are loc în termen de 72 de ore, aceasta este însoţită de o explicaţie privind motivele întârzierii.

(2)Notificarea menţionată la alineatul (1) trebuie cel puţin:

Art. 93: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal

(3)Informarea persoanei vizate menţionată la alineatul (1) nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

Art. 94: Transferul de date operaţionale cu caracter personal către ţări terţe şi organizaţii internaţionale

(1)Sub rezerva restricţiilor şi a condiţiilor prevăzute în actele juridice de instituire a organului, oficiului sau agenţiei Uniunii, operatorul poate să transfere datele operaţionale cu caracter personal unei autorităţi dintr-o ţară terţă sau unei organizaţii internaţionale în măsura în care acest transfer este necesar pentru executarea de către operator a sarcinilor sale şi numai dacă sunt îndeplinite condiţiile prevăzute la prezentul articol, şi anume:

c)în cazul în care Comisia nu a adoptat o decizie privind caracterul adecvat al nivelului de protecţie în temeiul literei (a) sau nu a fost încheiat un acord internaţional în temeiul literei (b), a fost încheiat un acord de cooperare care permite schimburile de date operaţionale cu caracter personal înainte de data aplicării actului juridic de instituire a organului, oficiului sau agenţiei Uniunii în cauză, între respectivul organ, oficiu sau agenţie a Uniunii şi ţara terţă în cauză.

Art. 95: Caracterul secret al anchetelor judiciare şi al procedurilor penale

CAPITOLUL XI:REVIZUIREA

Art. 98: Revizuirea actelor juridice ale Uniunii

(1)Până la 30 aprilie 2022, Comisia analizează actele juridice adoptate în temeiul tratatelor, care reglementează prelucrarea datelor operaţionale cu caracter personal de organele, oficiile şi agenţiile Uniunii atunci când desfăşoară activităţi care intră în domeniul de aplicare al părţii a treia titlul V capitolul 4 sau capitolul 5 din TFUE, pentru:

CAPITOLUL XII:DISPOZIŢII FINALE

Art. 100: Măsuri tranzitorii