Frontiere comune . Solu╚Ťii comune










ALTHERA - Alternative Therapies in Maramureș and Ivano-Frankivsk
1HARD/4.1/37

Proiect finan╚Ťat de Uniunea European─â

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ╚śI AL CONSILIULUI

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ╚śI AL CONSILIULUI din 27 aprilie 2016

privind protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal ╚Öi privind libera circula╚Ťie a acestor date ╚Öi de abrogare a Directivei 95/46/CE (Regulamentul general privind protec╚Ťia datelor)

(Text cu relevan╚Ť─â pentru SEE)

PARLAMENTUL EUROPEAN ╚śI CONSILIUL UNIUNII EUROPENE, av├ónd ├«n vedere Tratatul privind func╚Ťionarea Uniunii Europene, ├«n special articolul 16, av├ónd ├«n vedere propunerea Comisiei Europene, dup─â transmiterea proiectului de act legislativ c─âtre parlamentele na╚Ťionale, av├ónd ├«n vedere avizul Comitetului Economic ╚Öi Social European (1), av├ónd ├«n vedere avizul Comitetului Regiunilor (2), hot─âr├ónd ├«n conformitate cu procedura legislativ─â ordinar─â (3), ├«ntruc├ót:

(1) Protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (ÔÇ×cartaÔÇŁ) ╚Öi articolul 16 alineatul (1) din Tratatul privind func╚Ťionarea Uniunii Europene (TFUE) prev─âd dreptul oric─ârei persoane la protec╚Ťia datelor cu caracter personal care o privesc.

(2) Principiile ╚Öi normele referitoare la protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cet─â╚Ťenia sau de locul de re╚Öedin╚Ť─â al persoanelor fizice, s─â respecte drepturile ╚Öi libert─â╚Ťile fundamentale ale acestora, ├«n special dreptul la protec╚Ťia datelor cu caracter personal. Prezentul regulament urm─âre╚Öte s─â contribuie la realizarea unui spa╚Ťiu de libertate, securitate ╚Öi justi╚Ťie ╚Öi a unei uniuni economice, la progresul economic ╚Öi social, la consolidarea ╚Öi convergen╚Ťa economiilor ├«n cadrul pie╚Ťei interne ╚Öi la bun─âstarea persoanelor fizice.

(3) Directiva 95/46/CE a Parlamentului European ╚Öi a Consiliului (4) vizeaz─â armonizarea nivelului de protec╚Ťie a drepturilor ╚Öi libert─â╚Ťilor fundamentale ale persoanelor fizice ├«n ceea ce prive╚Öte activit─â╚Ťile de prelucrare ╚Öi asigurarea liberei circula╚Ťii a datelor cu caracter personal ├«ntre statele membre.

(4) Prelucrarea datelor cu caracter personal ar trebui s─â fie ├«n serviciul cet─â╚Ťenilor. Dreptul la protec╚Ťia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat ├«n considerare ├«n raport cu func╚Ťia pe care o ├«ndepline╚Öte ├«n societate ╚Öi echilibrat cu alte drepturi fundamentale, ├«n conformitate cu principiul propor╚Ťionalit─â╚Ťii. Prezentul regulament respect─â toate drepturile fundamentale ╚Öi libert─â╚Ťile ╚Öi principiile recunoscute ├«n cart─â astfel cum sunt consacrate ├«n tratate, ├«n special respectarea vie╚Ťii private ╚Öi de familie, a re╚Öedin╚Ťei ╚Öi a comunica╚Ťiilor, a protec╚Ťiei datelor cu caracter personal, a libert─â╚Ťii de g├óndire, de con╚Ötiin╚Ť─â ╚Öi de religie, a libert─â╚Ťii de exprimare ╚Öi de informare, a libert─â╚Ťii de a desf─â╚Öura o activitate comercial─â, dreptul la o cale de atac eficient─â ╚Öi la un proces echitabil, precum ╚Öi diversitatea cultural─â, religioas─â ╚Öi lingvistic─â.

(5) Integrarea economic─â ╚Öi social─â care rezult─â din func╚Ťionarea pie╚Ťei interne a condus la o cre╚Ötere substan╚Ťial─â a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal ├«ntre actori publici ╚Öi priva╚Ťi, inclusiv persoane fizice, asocia╚Ťii ╚Öi ├«ntreprinderi, s-a intensificat ├«n ├«ntreaga Uniune. Conform dreptului Uniunii, autorit─â╚Ťile na╚Ťionale din statele membre sunt chemate s─â coopereze ╚Öi s─â fac─â schimb de date cu caracter personal pentru a putea s─â ├«╚Öi ├«ndeplineasc─â atribu╚Ťiile sau s─â execute sarcini ├«n numele unei autorit─â╚Ťi dintr-un alt stat membru.

(6) Evolu╚Ťiile tehnologice rapide ╚Öi globalizarea au generat noi provoc─âri pentru protec╚Ťia datelor cu caracter personal. Amploarea colect─ârii ╚Öi a schimbului de date cu caracter personal a crescut ├«n mod semnificativ. Tehnologia permite at├ót societ─â╚Ťilor private, c├ót ╚Öi autorit─â╚Ťilor publice s─â utilizeze date cu caracter personal la un nivel f─âr─â precedent ├«n cadrul activit─â╚Ťilor lor. Din ce ├«n ce mai mult, persoanele fizice fac publice la nivel mondial informa╚Ťii cu caracter personal. Tehnologia a transformat deopotriv─â economia ╚Öi via╚Ťa social─â ╚Öi ar trebui s─â faciliteze ├«n continuare libera circula╚Ťie a datelor cu caracter personal ├«n cadrul Uniunii ╚Öi transferul c─âtre ╚Ť─âri ter╚Ťe ╚Öi organiza╚Ťii interna╚Ťionale, asigur├ónd, totodat─â, un nivel ridicat de protec╚Ťie a datelor cu caracter personal.

(7) Aceste evolu╚Ťii impun un cadru solid ╚Öi mai coerent ├«n materie de protec╚Ťie a datelor ├«n Uniune, ├«nso╚Ťit de o aplicare riguroas─â a normelor, lu├ónd ├«n considerare importan╚Ťa cre─ârii unui climat de ├«ncredere care va permite economiei digitale s─â se dezvolte pe pia╚Ťa intern─â. Persoanele fizice ar trebui s─â aib─â control asupra propriilor date cu caracter personal, iar securitatea juridic─â ╚Öi practic─â pentru persoane fizice, operatori economici ╚Öi autorit─â╚Ťi publice ar trebui s─â fie consolidat─â.

(8) ├Än cazul ├«n care prezentul regulament prevede specific─âri sau restric╚Ťion─âri ale normelor sale de c─âtre dreptul intern, statele membre pot, ├«n m─âsura ├«n care acest lucru este necesar pentru coeren╚Ť─â ╚Öi pentru a asigura ├«n╚Ťelegerea dispozi╚Ťiilor na╚Ťionale de c─âtre persoanele c─ârora li se aplic─â acestea, s─â ├«ncorporeze elemente din prezentul regulament ├«n dreptul lor intern.

(9) Obiectivele ╚Öi principiile Directivei 95/46/CE r─âm├ón solide, dar aceasta nu a prevenit fragmentarea modului ├«n care protec╚Ťia datelor este pus─â ├«n aplicare ├«n Uniune, insecuritatea juridic─â sau percep╚Ťia public─â larg r─âsp├óndit─â conform c─âreia exist─â riscuri semnificative pentru protec╚Ťia persoanelor fizice, ├«n special ├«n leg─âtur─â cu activitatea online. Diferen╚Ťele dintre nivelurile de protec╚Ťie a drepturilor ╚Öi libert─â╚Ťilor persoanelor fizice, ├«n special a dreptului la protec╚Ťia datelor cu caracter personal, ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal din statele membre pot ├«mpiedica libera circula╚Ťie a datelor cu caracter personal ├«n ├«ntreaga Uniune. Aceste diferen╚Ťe pot constitui, prin urmare, un obstacol ├«n desf─â╚Öurarea de activit─â╚Ťi economice la nivelul Uniunii, pot denatura concuren╚Ťa ╚Öi pot ├«mpiedica autorit─â╚Ťile s─â ├«ndeplineasc─â responsabilit─â╚Ťile care le revin ├«n temeiul dreptului Uniunii. Aceast─â diferen╚Ť─â ├«ntre nivelurile de protec╚Ťie este cauzat─â de existen╚Ťa unor deosebiri ├«n ceea ce prive╚Öte transpunerea ╚Öi aplicarea Directivei 95/46/CE.

(10) Pentru a se asigura un nivel consecvent ╚Öi ridicat de protec╚Ťie a persoanelor fizice ╚Öi pentru a se ├«ndep─ârta obstacolele din calea circula╚Ťiei datelor cu caracter personal ├«n cadrul Uniunii, nivelul protec╚Ťiei drepturilor ╚Öi libert─â╚Ťilor persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea unor astfel de date ar trebui s─â fie echivalent ├«n toate statele membre. Aplicarea consecvent─â ╚Öi omogen─â a normelor ├«n materie de protec╚Ťie a drepturilor ╚Öi libert─â╚Ťilor fundamentale ale persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal ar trebui s─â fie asigurat─â ├«n ├«ntreaga Uniune. ├Än ceea ce prive╚Öte prelucrarea datelor cu caracter personal ├«n vederea respect─ârii unei obliga╚Ťii legale, a ├«ndeplinirii unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea autorit─â╚Ťii publice cu care este ├«nvestit operatorul, statelor membre ar trebui s─â li se permit─â s─â men╚Ťin─â sau s─â introduc─â dispozi╚Ťii de drept intern care s─â clarifice ├«ntr-o mai mare m─âsur─â aplicarea normelor prezentului regulament. ├Än coroborare cu legisla╚Ťia general─â ╚Öi orizontal─â privind protec╚Ťia datelor, prin care este pus─â ├«n aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice ├«n domenii care necesit─â dispozi╚Ťii mai precise. Prezentul regulament ofer─â, de asemenea, statelor membre o marj─â de manevr─â ├«n specificarea normelor sale, inclusiv ├«n ceea ce prive╚Öte prelucrarea categoriilor speciale de date cu caracter personal (ÔÇ×date sensibileÔÇŁ). ├Än acest sens, prezentul regulament nu exclude dreptul statelor membre care stabile╚Öte circumstan╚Ťele aferente unor situa╚Ťii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condi╚Ťiilor ├«n care prelucrarea datelor cu caracter personal este legal─â.

(11) Protec╚Ťia efectiv─â a datelor cu caracter personal ├«n ├«ntreaga Uniune necesit─â nu numai consolidarea ╚Öi stabilirea ├«n detaliu a drepturilor persoanelor vizate ╚Öi a obliga╚Ťiilor celor care prelucreaz─â ╚Öi decid prelucrarea datelor cu caracter personal, ci ╚Öi competen╚Ťe echivalente pentru monitorizarea ╚Öi asigurarea conformit─â╚Ťii cu normele de protec╚Ťie a datelor cu caracter personal ╚Öi sanc╚Ťiuni echivalente pentru infrac╚Ťiuni ├«n statele membre.

(12) Articolul 16 alineatul (2) din TFUE mandateaz─â Parlamentul European ╚Öi Consiliul s─â stabileasc─â normele privind protec╚Ťia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum ╚Öi normele privind libera circula╚Ťie a acestor date.

(13) ├Än vederea asigur─ârii unui nivel uniform de protec╚Ťie pentru persoanele fizice ├«n ├«ntreaga Uniune ╚Öi a pre├«nt├ómpin─ârii discrepan╚Ťelor care ├«mpiedic─â libera circula╚Ťie a datelor ├«n cadrul pie╚Ťei interne, este necesar un regulament ├«n scopul de a furniza securitate juridic─â ╚Öi transparen╚Ť─â pentru operatorii economici, inclusiv micro├«ntreprinderi ╚Öi ├«ntreprinderi mici ╚Öi mijlocii, precum ╚Öi de a oferi persoanelor fizice ├«n toate statele membre acela╚Öi nivel de drepturi, obliga╚Ťii ╚Öi responsabilit─â╚Ťi opozabile din punct de vedere juridic pentru operatori ╚Öi persoanele ├«mputernicite de ace╚Ötia, pentru a se asigura o monitorizare coerent─â a prelucr─ârii datelor cu caracter personal, sanc╚Ťiuni echivalente ├«n toate statele membre, precum ╚Öi cooperarea eficace a autorit─â╚Ťilor de supraveghere ale diferitelor state membre. Pentru buna func╚Ťionare a pie╚Ťei interne este necesar ca libera circula╚Ťie a datelor cu caracter personal ├«n cadrul Uniunii s─â nu fie restric╚Ťionat─â sau interzis─â din motive legate de protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal. Pentru a se lua ├«n considerare situa╚Ťia specific─â a micro├«ntreprinderilor ╚Öi a ├«ntreprinderilor mici ╚Öi mijlocii, prezentul regulament include o derogare pentru organiza╚Ťiile cu mai pu╚Ťin de 250 de angaja╚Ťi ├«n ceea ce prive╚Öte p─âstrarea eviden╚Ťelor. ├Än plus, institu╚Ťiile ╚Öi organele Uniunii ╚Öi statele membre ╚Öi autorit─â╚Ťile lor de supraveghere sunt ├«ncurajate s─â ia ├«n considerare necesit─â╚Ťile specifice ale micro├«ntreprinderilor ╚Öi ale ├«ntreprinderilor mici ╚Öi mijlocii ├«n aplicarea prezentului regulament. No╚Ťiunea de micro├«ntreprinderi ╚Öi de ├«ntreprinderi mici ╚Öi mijlocii ar trebui s─â se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (5).

(14) Protec╚Ťia conferit─â de prezentul regulament ar trebui s─â vizeze persoanele fizice, indiferent de cet─â╚Ťenia sau de locul de re╚Öedin╚Ť─â al acestora, ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplic─â prelucr─ârii datelor cu caracter personal care privesc persoane juridice ╚Öi, ├«n special, ├«ntreprinderi cu personalitate juridic─â, inclusiv numele ╚Öi tipul de persoan─â juridic─â ╚Öi datele de contact ale persoanei juridice.

(15) Pentru a preveni apari╚Ťia unui risc major de eludare, protec╚Ťia persoanelor fizice ar trebui s─â fie neutr─â din punct de vedere tehnologic ╚Öi s─â nu depind─â de tehnologiile utilizate. Protec╚Ťia persoanelor fizice ar trebui s─â se aplice prelucr─ârii datelor cu caracter personal prin mijloace automatizate, precum ╚Öi prelucr─ârii manuale, ├«n cazul ├«n care datele cu caracter personal sunt cuprinse sau destinate s─â fie cuprinse ├«ntr-un sistem de eviden╚Ť─â. Dosarele sau seturile de dosare, precum ╚Öi copertele acestora, care nu sunt structurate ├«n conformitate cu criterii specificenu ar trebui s─â intre ├«n domeniul de aplicare al prezentului regulament.

(16) Prezentul regulament nu se aplic─â chestiunilor de protec╚Ťie a drepturilor ╚Öi libert─â╚Ťilor fundamentale sau la libera circula╚Ťie a datelor cu caracter personal referitoare la activit─â╚Ťi care nu intr─â ├«n domeniul de aplicare al dreptului Uniunii, de exemplu activit─â╚Ťile privind securitatea na╚Ťional─â. Prezentul regulament nu se aplic─â prelucr─ârii datelor cu caracter personal de c─âtre statele membre atunci c├ónd acestea desf─â╚Öoar─â activit─â╚Ťi legate de politica extern─â ╚Öi de securitatea comun─â a Uniunii.

(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European ╚Öi al Consiliului (6) se aplic─â prelucr─ârii de date cu caracter personal de c─âtre institu╚Ťiile, organele, oficiile ╚Öi agen╚Ťiile Uniunii. Regulamentul (CE) nr. 45/2001 ╚Öi alte acte juridice ale Uniunii aplicabile unei asemenea prelucr─âri a datelor cu caracter personal ar trebui adaptate la principiile ╚Öi normele stabilite ├«n prezentul regulament ╚Öi aplicate ├«n conformitate cu prezentul regulament. ├Än vederea asigur─ârii unui cadru solid ╚Öi coerent ├«n materie de protec╚Ťie a datelor ├«n Uniune, ar trebui ca dup─â adoptarea prezentului regulament s─â se aduc─â Regulamentului (CE) nr. 45/2001 adapt─ârile necesare, astfel ├«nc├ót acestea s─â poat─â fi aplicate odat─â cu prezentul regulament.

(18) Prezentul regulament nu se aplic─â prelucr─ârii datelor cu caracter personal de c─âtre o persoan─â fizic─â ├«n cadrul unei activit─â╚Ťi exclusiv personale sau domestice ╚Öi care, prin urmare, nu are leg─âtur─â cu o activitate profesional─â sau comercial─â. Activit─â╚Ťile personale sau domestice ar putea include coresponden╚Ťa ╚Öi repertoriul de adrese sau activit─â╚Ťile din cadrul re╚Ťelelor sociale ╚Öi activit─â╚Ťile online desf─â╚Öurate ├«n contextul respectivelor activit─â╚Ťi. Cu toate acestea, prezentul regulament se aplic─â operatorilor sau persoanelor ├«mputernicite de operatori care furnizeaz─â mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activit─â╚Ťi personale sau domestice.

(19) Protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal de c─âtre autorit─â╚Ťile competente ├«n scopul prevenirii, investig─ârii, depist─ârii sau urm─âririi penale a infrac╚Ťiunilor sau al execut─ârii pedepselor, inclusiv al protej─ârii ├«mpotriva amenin╚Ť─ârilor la adresa siguran╚Ťei publice ╚Öi al prevenirii acestora, precum ╚Öi libera circula╚Ťie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui s─â se aplice activit─â╚Ťilor de prelucrare ├«n aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de c─âtre autorit─â╚Ťile publice ├«n temeiul prezentului regulament, atunci c├ónd sunt utilizate ├«n aceste scopuri, ar trebui s─â fie reglementate printr-un act juridic mai specific al Uniunii, ╚Öi anume Directiva (UE) 2016/680 a Parlamentului European ╚Öi a Consiliului (7). Statele membre pot ├«ncredin╚Ťa autorit─â╚Ťilor competente ├«n sensul Directivei (UE) 2016/680 sarcini care nu sunt neap─ârat ├«ndeplinite ├«n scopul prevenirii, investig─ârii, depist─ârii sau urm─âririi penale a infrac╚Ťiunilor sau al execut─ârii pedepselor, inclusiv al protej─ârii ├«mpotriva amenin╚Ť─ârilor la adresa siguran╚Ťei publice ╚Öi al prevenirii acestora, astfel ├«nc├ót prelucrarea datelor cu caracter personal pentru alte scopuri, ├«n m─âsura ├«n care se ├«ncadreaz─â ├«n domeniul de aplicare al dreptului Uniunii, s─â intre ├«n domeniul de aplicare al prezentului regulament.

├Än ceea ce prive╚Öte prelucrarea datelor cu caracter personal de c─âtre aceste autorit─â╚Ťi competente ├«n scopuri care intr─â ├«n domeniul de aplicare al prezentului regulament, statele membre ar trebui s─â poat─â men╚Ťine sau introduce dispozi╚Ťii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispozi╚Ťii pot stabili mai precis cerin╚Ťe specifice pentru prelucrarea datelor cu caracter personal de c─âtre respectivele autorit─â╚Ťi competente ├«n aceste alte scopuri, ╚Ťin├ónd seama de structura constitu╚Ťional─â, organizatoric─â ╚Öi administrativ─â a statului membru ├«n cauz─â. Atunci c├ónd prelucrarea de date cu caracter personal de c─âtre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui s─â prevad─â posibilitatea ca statele membre, ├«n anumite condi╚Ťii, s─â impun─â prin lege restric╚Ťii asupra anumitor obliga╚Ťii ╚Öi drepturi, ├«n cazul ├«n care asemenea restric╚Ťii constituie o m─âsur─â necesar─â ╚Öi propor╚Ťional─â ├«ntr-o societate democratic─â ├«n scopul garant─ârii unor interese specifice importante, printre care se num─âr─â siguran╚Ťa public─â ╚Öi prevenirea, investigarea, depistarea ╚Öi urm─ârirea penal─â a infrac╚Ťiunilor sau executarea pedepselor, inclusiv protejarea ├«mpotriva amenin╚Ť─ârilor la adresa siguran╚Ťei publice ╚Öi prevenirea acestora. Acest lucru este relevant, de exemplu, ├«n cadrul combaterii sp─âl─ârii de bani sau al activit─â╚Ťilor laboratoarelor criminalistice.

(20) De╚Öi prezentul regulament se aplic─â, inter alia, activit─â╚Ťilor instan╚Ťelor ╚Öi ale altor autorit─â╚Ťi judiciare, dreptul Uniunii sau al statelor membre ar putea s─â precizeze opera╚Ťiunile ╚Öi procedurile de prelucrare ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal de c─âtre instan╚Ťe ╚Öi alte autorit─â╚Ťi judiciare. Prelucrarea datelor cu caracter personal nu ar trebui s─â fie de competen╚Ťa autorit─â╚Ťilor de supraveghere ├«n cazul ├«n care instan╚Ťele ├«╚Öi exercit─â atribu╚Ťiile judiciare, ├«n scopul garant─ârii independen╚Ťei sistemului judiciar ├«n ├«ndeplinirea sarcinilor sale judiciare, inclusiv ├«n luarea deciziilor. Supravegherea unor astfel de opera╚Ťiuni de prelucrare a datelor ar trebui s─â poat─â fi ├«ncredin╚Ťat─â unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui s─â asigure ├«n special respectarea normelor prev─âzute de prezentul regulament, s─â sensibilizeze membrii sistemului judiciar cu privire la obliga╚Ťiile care le revin ├«n temeiul prezentului regulament ╚Öi s─â trateze pl├óngerile ├«n leg─âtur─â cu astfel de opera╚Ťiuni de prelucrare a datelor.

(21) Prezentul regulament nu aduce atingere aplic─ârii Directivei 2000/31/CE a Parlamentului European ╚Öi a Consiliului (8), ├«n special normelor privind r─âspunderea furnizorilor intermediari de servicii prev─âzute la articolele 12-15 din directiva men╚Ťionat─â. Respectiva directiv─â ├«╚Öi propune s─â contribuie la buna func╚Ťionare a pie╚Ťei interne, prin asigurarea liberei circula╚Ťii a serviciilor societ─â╚Ťii informa╚Ťionale ├«ntre statele membre.

(22) Orice prelucrare a datelor cu caracter personal ├«n cadrul activit─â╚Ťilor unui sediu al unui operator sau al unei persoane ├«mputernicite de operator din Uniune ar trebui efectuat─â ├«n conformitate cu prezentul regulament, indiferent dac─â procesul de prelucrare ├«n sine are loc sau nu ├«n cadrul Uniunii. Sediul implic─â exercitarea efectiv─â ╚Öi real─â a unei activit─â╚Ťi ├«n cadrul unor ├«n╚Ťelegeri stabile. Forma juridic─â a unor astfel de ├«n╚Ťelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridic─â, nu este factorul determinant ├«n aceast─â privin╚Ť─â.

(23) Pentru a se asigura c─â persoanele fizice nu sunt lipsite de protec╚Ťia la care au dreptul ├«n temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl─â pe teritoriul Uniunii de c─âtre un operator sau o persoan─â ├«mputernicit─â de acesta care nu ├«╚Öi are sediul ├«n Uniune ar trebui s─â fac─â obiectul prezentului regulament ├«n cazul ├«n care activit─â╚Ťile de prelucrare au leg─âtur─â cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dac─â acestea sunt sau nu legate de o plat─â. Pentru a determina dac─â un astfel de operator sau o astfel de persoan─â ├«mputernicit─â de operator ofer─â bunuri sau servicii unor persoane vizate care se afl─â pe teritoriul Uniunii, ar trebui s─â se stabileasc─â dac─â reiese c─â operatorul sau persoana ├«mputernicit─â de operator inten╚Ťioneaz─â s─â furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. ├Äntruc├ót simplul fapt c─â exist─â acces la un site al operatorului, al persoanei ├«mputernicite de operator sau al unui intermediar ├«n Uniune, c─â este disponibil─â o adres─â de e-mail ╚Öi alte date de contact sau c─â este utilizat─â o limb─â folosit─â ├«n general ├«n ╚Ťara ter╚Ť─â ├«n care operatorul ├«╚Öi are sediul este insuficient pentru a confirma o astfel de inten╚Ťie, factori precum utilizarea unei limbi sau a unei monede utilizate ├«n general ├«n unul sau mai multe state membre cu posibilitatea de a comanda bunuri ╚Öi servicii ├«n respectiva limb─â sau men╚Ťionarea unor clien╚Ťi sau utilizatori care se afl─â pe teritoriul Uniunii pot conduce la concluzia c─â operatorul inten╚Ťioneaz─â s─â ofere bunuri sau servicii unor persoane vizate ├«n Uniune.

(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl─â pe teritoriul Uniunii de c─âtre un operator sau o persoan─â ├«mputernicit─â de acesta care nu ├«╚Öi are sediul ├«n Uniune ar trebui, de asemenea, s─â fac─â obiectul prezentului regulament ├«n cazul ├«n care este legat─â de monitorizarea comportamentului unor astfel de persoane vizate, ├«n m─âsura ├«n care acest comportament se manifest─â pe teritoriul Uniunii. Pentru a se determina dac─â o activitate de prelucrare poate fi considerat─â ca ÔÇ×monitorizare a comportamentuluiÔÇŁ persoanelor vizate, ar trebui s─â se stabileasc─â dac─â persoanele fizice sunt urm─ârite pe internet, inclusiv posibila utilizare ulterioar─â a unor tehnici de prelucrare a datelor cu caracter personal care constau ├«n crearea unui profil al unei persoane fizice, ├«n special ├«n scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferin╚Ťele personale, comportamentele ╚Öi atitudinile acesteia.

(25) ├Än cazul ├«n care dreptul unui stat membru se aplic─â ├«n temeiul dreptului interna╚Ťional public, prezentul regulament ar trebui s─â se aplice, de asemenea, unui operator care nu este stabilit ├«n Uniune, ci, de exemplu, ├«ntr-o misiune diplomatic─â sau ├«ntr-un oficiu consular al unui stat membru.

(26) Principiile protec╚Ťiei datelor ar trebui s─â se aplice oric─ârei informa╚Ťii referitoare la o persoan─â fizic─â identificat─â sau identificabil─â. Datele cu caracter personal care au fost supuse pseudonimiz─ârii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informa╚Ťii suplimentare, ar trebui considerate informa╚Ťii referitoare la o persoan─â fizic─â identificabil─â. Pentru a se determina dac─â o persoan─â fizic─â este identificabil─â, ar trebui s─â se ia ├«n considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, ├«n mod rezonabil, s─â le utilizeze fie operatorul, fie o alt─â persoan─â, ├«n scopul identific─ârii, ├«n mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dac─â este probabil, ├«n mod rezonabil, s─â fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui lua╚Ťi ├«n considerare to╚Ťi factorii obiectivi, precum costurile ╚Öi intervalul de timp necesare pentru identificare, ╚Ťin├óndu-se seama at├ót de tehnologia disponibil─â la momentul prelucr─ârii, c├ót ╚Öi de dezvoltarea tehnologic─â. Principiile protec╚Ťiei datelor ar trebui, prin urmare, s─â nu se aplice informa╚Ťiilor anonime, adic─â informa╚Ťiilor care nu sunt legate de o persoan─â fizic─â identificat─â sau identificabil─â sau datelor cu caracter personal care sunt anonimizate astfel ├«nc├ót persoana vizat─â nu este sau nu mai este identificabil─â. Prin urmare, prezentul regulament nu se aplic─â prelucr─ârii unor astfel de informa╚Ťii anonime, inclusiv ├«n cazul ├«n care acestea sunt utilizate ├«n scopuri statistice sau de cercetare.

(27) Prezentul regulament nu se aplic─â datelor cu caracter personal referitoare la persoane decedate. Statele membre pot s─â prevad─â norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.

(28) Aplicarea pseudonimiz─ârii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate ╚Öi poate ajuta operatorii ╚Öi persoanele ├«mputernicite de ace╚Ötia s─â ├«╚Öi ├«ndeplineasc─â obliga╚Ťiile de protec╚Ťie a datelor. Introducerea explicit─â a conceptului de ÔÇ×pseudonimizareÔÇŁ ├«n prezentul regulament nu este destinat─â s─â ├«mpiedice alte eventuale m─âsuri de protec╚Ťie a datelor.

(29) Pentru a crea stimulente pentru aplicarea pseudonimiz─ârii atunci c├ónd sunt prelucrate date cu caracter personal, ar trebui s─â fie posibile m─âsuri de pseudonimizare, permi╚Ť├ónd ├«n acela╚Öi timp analiza general─â, ├«n cadrul aceluia╚Öi operator atunci c├ónd operatorul a luat m─âsurile tehnice ╚Öi organizatorice necesare pentru a se asigura c─â prezentul regulament este pus ├«n aplicare ├«n ceea ce prive╚Öte respectiva prelucrare a datelor ╚Öi c─â informa╚Ťiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt p─âstrate separat. Operatorul care prelucreaz─â datele cu caracter personal ar trebui s─â indice persoanele autorizate din cadrul aceluia╚Öi operator.

(30) Persoanele fizice pot fi asociate cu identificatorii online furniza╚Ťi de dispozitivele, aplica╚Ťiile, instrumentele ╚Öi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau al╚Ťi identificatori precum etichetele de identificare prin frecven╚Ťe radio. Ace╚Ötia pot l─âsa urme care, ├«n special atunci c├ónd sunt combinate cu identificatori unici ╚Öi alte informa╚Ťii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice ╚Öi pentru identificarea lor.

(31) Autorit─â╚Ťile publice c─ârora le sunt divulgate date cu caracter personal ├«n conformitate cu o obliga╚Ťie legal─â ├«n vederea exercit─ârii func╚Ťiei lor oficiale, cum ar fi autorit─â╚Ťile fiscale ╚Öi vamale, unit─â╚Ťile de investigare financiar─â, autorit─â╚Ťile administrative independente sau autorit─â╚Ťile pie╚Ťelor financiare responsabile de reglementarea ╚Öi supravegherea pie╚Ťelor titlurilor de valoare, nu ar trebui s─â fie considerate destinatari ├«n cazul ├«n care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, ├«n conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autorit─â╚Ťile publice ar trebui s─â fie ├«ntotdeauna prezentate ├«n scris, motivate ╚Öi ocazionale ╚Öi nu ar trebui s─â se refere la un sistem de eviden╚Ť─â ├«n totalitate sau s─â conduc─â la interconectarea sistemelor de eviden╚Ť─â. Prelucrarea datelor cu caracter personal de c─âtre autorit─â╚Ťile publice respective ar trebui s─â respecte normele aplicabile ├«n materie de protec╚Ťie a datelor ├«n conformitate cu scopurile prelucr─ârii.

(32) Consim╚Ť─âm├óntul ar trebui acordat printr-o ac╚Ťiune neechivoc─â care s─â constituie o manifestare liber exprimat─â, specific─â, ├«n cuno╚Ötin╚Ť─â de cauz─â ╚Öi clar─â a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declara╚Ťie f─âcut─â ├«n scris, inclusiv ├«n format electronic, sau verbal. Acesta ar putea include bifarea unei c─âsu╚Ťe atunci c├ónd persoana viziteaz─â un site, alegerea parametrilor tehnici pentru serviciile societ─â╚Ťii informa╚Ťionale sau orice alt─â declara╚Ťie sau ac╚Ťiune care indic─â ├«n mod clar ├«n acest context acceptarea de c─âtre persoana vizat─â a prelucr─ârii propuse a datelor sale cu caracter personal. Prin urmare, absen╚Ťa unui r─âspuns, c─âsu╚Ťele bifate ├«n prealabil sau absen╚Ťa unei ac╚Ťiuni nu ar trebui s─â constituie un consim╚Ť─âm├ónt. Consim╚Ť─âm├óntul ar trebui s─â vizeze toate activit─â╚Ťile de prelucrare efectuate ├«n acela╚Öi scop sau ├«n acelea╚Öi scopuri. Dac─â prelucrarea datelor se face ├«n mai multe scopuri, consim╚Ť─âm├óntul ar trebui dat pentru toate scopurile prelucr─ârii. ├Än cazul ├«n care consim╚Ť─âm├óntul persoanei vizate trebuie acordat ├«n urma unei cereri transmise pe cale electronic─â, cererea respectiv─â trebuie s─â fie clar─â ╚Öi concis─â ╚Öi s─â nu perturbe ├«n mod inutil utilizarea serviciului pentru care se acord─â consim╚Ť─âm├óntul.

(33) Adesea nu este posibil, ├«n momentul colect─ârii datelor cu caracter personal, s─â se identifice pe deplin scopul prelucr─ârii datelor ├«n scopuri de cercetare ╚Ötiin╚Ťific─â. Din acest motiv, persoanelor vizate ar trebui s─â li se permit─â s─â ├«╚Öi exprime consim╚Ť─âm├óntul pentru anumite domenii ale cercet─ârii ╚Ötiin╚Ťifice atunci c├ónd sunt respectate standardele etice recunoscute pentru cercetarea ╚Ötiin╚Ťific─â. Persoanele vizate ar trebui s─â aib─â posibilitatea de a-╚Öi exprima consim╚Ť─âm├óntul doar pentru anumite domenii de cercetare sau p─âr╚Ťi ale proiectelor de cercetare ├«n m─âsura permis─â de scopul preconizat.

(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice mo╚Ötenite sau dob├óndite ale unei persoane fizice, care rezult─â ├«n urma unei analize a unei mostre de material biologic al persoanei fizice ├«n cauz─â, ├«n special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oric─ârui alt element ce permite ob╚Ťinerea unor informa╚Ťii echivalente.

(35) Datele cu caracter personal privind s─ân─âtatea ar trebui s─â includ─â toate datele av├ónd leg─âtur─â cu starea de s─ân─âtate a persoanei vizate care dezv─âluie informa╚Ťii despre starea de s─ân─âtate fizic─â sau mental─â trecut─â, prezent─â sau viitoare a persoanei vizate. Acestea includ informa╚Ťii despre persoana fizic─â colectate ├«n cadrul ├«nscrierii acesteia la serviciile de asisten╚Ť─â medical─â sau ├«n cadrul acord─ârii serviciilor respective persoanei fizice ├«n cauz─â, astfel cum sunt men╚Ťionate ├«n Directiva 2011/24/UE a Parlamentului European ╚Öi a Consiliului (9); un num─âr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singular─â a acesteia ├«n scopuri medicale; informa╚Ťii rezultate din testarea sau examinarea unei p─âr╚Ťi a corpului sau a unei substan╚Ťe corporale, inclusiv din date genetice ╚Öi e╚Öantioane de material biologic; precum ╚Öi orice informa╚Ťii privind, de exemplu, o boal─â, un handicap, un risc de ├«mboln─âvire, istoricul medical, tratamentul clinic sau starea fiziologic─â sau biomedical─â a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

(36) Sediul principal al unui operator ├«n Uniune ar trebui s─â fie locul ├«n care se afl─â administra╚Ťia central─â a acestuia ├«n Uniune, cu excep╚Ťia cazului ├«n care deciziile privind scopurile ╚Öi mijloacele de prelucrare a datelor cu caracter personal se iau ├«ntr-un alt sediu al operatorului ├«n Uniune. ├Än acest caz, acesta din urm─â ar trebui considerat drept sediul principal. Sediul principal al unui operator ├«n Uniune ar trebui s─â fie determinat conform unor criterii obiective ╚Öi ar trebui s─â implice exercitarea efectiv─â ╚Öi real─â a unor activit─â╚Ťi de gestionare care s─â determine principalele decizii cu privire la scopurile ╚Öi mijloacele de prelucrare ├«n cadrul unor ├«n╚Ťelegeri stabile. Acest criteriu nu ar trebui s─â depind─â de realizarea prelucr─ârii datelor cu caracter personal ├«n locul respectiv. Prezen╚Ťa ╚Öi utilizarea mijloacelor tehnice ╚Öi a tehnologiilor de prelucrare a datelor cu caracter personal sau activit─â╚Ťile de prelucrare nu constituie un sediu principal ╚Öi, prin urmare, nu sunt criteriul determinant ├«n acest sens. Sediul principal al persoanei ├«mputernicite de operator ar trebui s─â fie locul ├«n care se afl─â administra╚Ťia central─â a acestuia ├«n Uniune sau, ├«n cazul ├«n care nu are o administra╚Ťie central─â ├«n Uniune, locul ├«n care se desf─â╚Öoar─â principalele activit─â╚Ťi de prelucrare ├«n Uniune. ├Än cazurile care implic─â at├ót operatorul, c├ót ╚Öi persoana ├«mputernicit─â de operator, autoritatea de supraveghere principal─â competent─â ar trebui s─â r─âm├ón─â autoritatea de supraveghere a statului membru ├«n care operatorul ├«╚Öi are sediul principal, dar autoritatea de supraveghere a persoanei ├«mputernicite de operator ar trebui considerat─â ca fiind o autoritate de supraveghere vizat─â ╚Öi acea autoritate de supraveghere ar trebui s─â participe la procedura de cooperare prev─âzut─â de prezentul regulament. ├Än orice caz, autorit─â╚Ťile de supraveghere ale statului membru sau ale statelor membre ├«n care persoana ├«mputernicit─â de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autorit─â╚Ťi de supraveghere vizate ├«n cazul ├«n care proiectul de decizie nu se refer─â dec├ót la operator. ├Än cazul ├«n care prelucrarea este efectuat─â de un grup de ├«ntreprinderi, sediul principal al ├«ntreprinderii care exercit─â controlul ar trebui considerat drept sediul principal al grupului de ├«ntreprinderi, cu excep╚Ťia cazului ├«n care scopurile ╚Öi mijloacele aferente prelucr─ârii sunt stabilite de o alt─â ├«ntreprindere.

(37) Un grup de ├«ntreprinderi ar trebui s─â cuprind─â o ├«ntreprindere care exercit─â controlul ╚Öi ├«ntreprinderile controlate de aceasta, ├«n cadrul c─âruia ├«ntreprinderea care exercit─â controlul ar trebui s─â fie ├«ntreprinderea care poate exercita o influen╚Ť─â dominant─â asupra celorlalte ├«ntreprinderi, de exemplu ├«n temeiul propriet─â╚Ťii, al particip─ârii financiare sau al regulilor care o reglementeaz─â sau al competen╚Ťei de a pune ├«n aplicare norme ├«n materie de protec╚Ťie a datelor cu caracter personal. O ├«ntreprindere care controleaz─â prelucrarea datelor cu caracter personal ├«n ├«ntreprinderile sale afiliate ar trebui considerat─â, ├«mpreun─â cu acestea din urm─â, drept ÔÇ×grup de ├«ntreprinderiÔÇŁ.

(38) Copiii au nevoie de o protec╚Ťie specific─â a datelor lor cu caracter personal, ├«ntruc├ót pot fi mai pu╚Ťin con╚Ötien╚Ťi de riscurile, consecin╚Ťele, garan╚Ťiile ├«n cauz─â ╚Öi drepturile lor ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal. Aceast─â protec╚Ťie specific─â ar trebui s─â se aplice ├«n special utiliz─ârii datelor cu caracter personal ale copiilor ├«n scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator ╚Öi la colectarea datelor cu caracter personal privind copiii ├«n momentul utiliz─ârii serviciilor oferite direct copiilor. Consim╚Ť─âm├óntul titularului r─âspunderii p─ârinte╚Öti nu ar trebui s─â fie necesar ├«n contextul serviciilor de prevenire sau consiliere oferite direct copiilor.

(39) Orice prelucrare de date cu caracter personal ar trebui s─â fie legal─â ╚Öi echitabil─â. Ar trebui s─â fie transparent pentru persoanele fizice c─â sunt colectate, utilizate, consultate sau prelucrate ├«n alt mod datele cu caracter personal care le privesc ╚Öi ├«n ce m─âsur─â datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparen╚Ťei prevede c─â orice informa╚Ťii ╚Öi comunic─âri referitoare la prelucrarea respectivelor date cu caracter personal sunt u╚Öor accesibile ╚Öi u╚Öor de ├«n╚Ťeles ╚Öi c─â se utilizeaz─â un limbaj simplu ╚Öi clar. Acest principiu se refer─â ├«n special la informarea persoanelor vizate privind identitatea operatorului ╚Öi scopurile prelucr─ârii, precum ╚Öi la oferirea de informa╚Ťii suplimentare, pentru a asigura o prelucrare echitabil─â ╚Öi transparent─â ├«n ceea ce prive╚Öte persoanele fizice vizate ╚Öi dreptul acestora de a li se confirma ╚Öi comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garan╚Ťiile ╚Öi drepturile ├«n materie de prelucrare a datelor cu caracter personal ╚Öi cu privire la modul ├«n care s─â ├«╚Öi exercite drepturile ├«n leg─âtur─â cu prelucrarea. ├Än special, scopurile specifice ├«n care datele cu caracter personal sunt prelucrate ar trebui s─â fie explicite ╚Öi legitime ╚Öi s─â fie determinate la momentul colect─ârii datelor respective. Datele cu caracter personal ar trebui s─â fie adecvate, relevante ╚Öi limitate la ceea ce este necesar pentru scopurile ├«n care sunt prelucrate. Aceasta necesit─â, ├«n special, asigurarea faptului c─â perioada pentru care datele cu caracter personal sunt stocate este limitat─â strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dac─â scopul prelucr─ârii nu poate fi ├«ndeplinit ├«n mod rezonabil prin alte mijloace. ├Än vederea asigur─ârii faptului c─â datele cu caracter personal nu sunt p─âstrate mai mult timp dec├ót este necesar, ar trebui s─â se stabileasc─â de c─âtre operator termene pentru ╚Ötergere sau revizuirea periodic─â. Ar trebui s─â fie luate toate m─âsurile rezonabile pentru a se asigura c─â datele cu caracter personal care sunt inexacte sunt rectificate sau ╚Öterse. Datele cu caracter personal ar trebui prelucrate ├«ntr-un mod care s─â asigure ├«n mod adecvat securitatea ╚Öi confiden╚Ťialitatea acestora, inclusiv ├«n scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizat─â a datelor cu caracter personal ╚Öi a echipamentului utilizat pentru prelucrare.

(40) Pentru ca prelucrarea datelor cu caracter personal s─â fie legal─â, aceasta ar trebui efectuat─â pe baza consim╚Ť─âm├óntului persoanei vizate sau ├«n temeiul unui alt motiv legitim, prev─âzut de lege, fie ├«n prezentul regulament, fie ├«n alt act din dreptul Uniunii sau din dreptul intern, dup─â cum se prevede ├«n prezentul regulament, inclusiv necesitatea respect─ârii obliga╚Ťiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizat─â este parte sau pentru a parcurge etapele premerg─âtoare ├«ncheierii unui contract, la solicitarea persoanei vizate.

(41) Ori de c├óte ori prezentul regulament face trimitere la un temei juridic sau la o m─âsur─â legislativ─â, aceasta nu necesit─â neap─ârat un act legislativ adoptat de c─âtre un parlament, f─âr─â a aduce atingere cerin╚Ťelor care decurg din ordinea constitu╚Ťional─â a statului membru ├«n cauz─â. Cu toate acestea, un astfel de temei juridic sau o astfel de m─âsur─â legislativ─â ar trebui s─â fie clar─â ╚Öi precis─â, iar aplicarea acesteia ar trebui s─â fie previzibil─â pentru persoanele vizate de aceasta, ├«n conformitate cu jurispruden╚Ťa Cur╚Ťii de Justi╚Ťie a Uniunii Europene (ÔÇ×Curtea de Justi╚ŤieÔÇŁ) ╚Öi a Cur╚Ťii Europene a Drepturilor Omului.

(42) ├Än cazul ├«n care prelucrarea se bazeaz─â pe consim╚Ť─âm├óntul persoanei vizate, operatorul ar trebui s─â fie ├«n m─âsur─â s─â demonstreze faptul c─â persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul pentru opera╚Ťiunea de prelucrare. ├Än special, ├«n contextul unei declara╚Ťii scrise cu privire la un alt aspect, garan╚Ťiile ar trebui s─â asigure c─â persoana vizat─â este con╚Ötient─â de faptul c─â ╚Öi-a dat consim╚Ť─âm├óntul ╚Öi ├«n ce m─âsur─â a f─âcut acest lucru. ├Än conformitate cu Directiva 93/13/CEE a Consiliului (10), ar trebui furnizat─â o declara╚Ťie de consim╚Ť─âm├ónt formulat─â ├«n prealabil de c─âtre operator, ├«ntr-o form─â inteligibil─â ╚Öi u╚Öor accesibil─â, utiliz├ónd un limbaj clar ╚Öi simplu, iar aceast─â declara╚Ťie nu ar trebui s─â con╚Ťin─â clauze abuzive. Pentru ca acordarea consim╚Ť─âm├óntului s─â fie ├«n cuno╚Ötin╚Ť─â de cauz─â, persoana vizat─â ar trebui s─â fie la curent cel pu╚Ťin cu identitatea operatorului ╚Öi cu scopurile prelucr─ârii pentru care sunt destinate datele cu caracter personal. Consim╚Ť─âm├óntul nu ar trebui considerat ca fiind acordat ├«n mod liber dac─â persoana vizat─â nu dispune cu adev─ârat de libertatea de alegere sau nu este ├«n m─âsur─â s─â refuze sau s─â ├«╚Öi retrag─â consim╚Ť─âm├óntul f─âr─â a fi prejudiciat─â.

(43) Pentru a garanta faptul c─â a fost acordat ├«n mod liber, consim╚Ť─âm├óntul nu ar trebui s─â constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal ├«n cazul particular ├«n care exist─â un dezechilibru evident ├«ntre persoana vizat─â ╚Öi operator, ├«n special ├«n cazul ├«n care operatorul este o autoritate public─â, iar acest lucru face improbabil─â acordarea consim╚Ť─âm├óntului ├«n mod liber ├«n toate circumstan╚Ťele aferente respectivei situa╚Ťii particulare. Consim╚Ť─âm├óntul este considerat a nu fi acordat ├«n mod liber ├«n cazul ├«n care aceasta nu permite s─â se acorde consim╚Ť─âm├óntul separat pentru diferitele opera╚Ťiuni de prelucrare a datelor cu caracter personal, de╚Öi acest lucru este adecvat ├«n cazul particular, sau dac─â executarea unui contract, inclusiv furnizarea unui serviciu, este condi╚Ťionat─â de consim╚Ť─âm├ónt, ├«n ciuda faptului c─â consim╚Ť─âm├óntul ├«n cauz─â nu este necesar pentru executarea contractului.

(44) Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract sau în vederea încheierii unui contract.

(45) ├Än cazul ├«n care prelucrarea este efectuat─â ├«n conformitate cu o obliga╚Ťie legal─â a operatorului sau ├«n cazul ├«n care prelucrarea este necesar─â pentru ├«ndeplinirea unei sarcini care serve╚Öte unui interes public sau care face parte din exercitarea autorit─â╚Ťii publice, prelucrarea ar trebui s─â aib─â un temei ├«n dreptul Uniunii sau ├«n dreptul intern. Prezentul regulament nu impune existen╚Ťa unei legi specifice pentru fiecare prelucrare ├«n parte. Poate fi suficient─â o singur─â lege drept temei pentru mai multe opera╚Ťiuni de prelucrare efectuate ├«n conformitate cu o obliga╚Ťie legal─â a operatorului sau ├«n cazul ├«n care prelucrarea este necesar─â pentru ├«ndeplinirea unei sarcini care serve╚Öte unui interes public sau care face parte din exercitarea autorit─â╚Ťii publice. De asemenea, ar trebui ca scopul prelucr─ârii s─â fie stabilit ├«n dreptul Uniunii sau ├«n dreptul intern. Mai mult dec├ót at├ót, dreptul respectiv ar putea s─â specifice condi╚Ťiile generale ale prezentului regulament care reglementeaz─â legalitatea prelucr─ârii datelor cu caracter personal, s─â determine specifica╚Ťiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucr─ârii, a persoanelor vizate, a entit─â╚Ťilor c─ârora le pot fi divulgate datele cu caracter personal, a limit─ârilor ├«n func╚Ťie de scop, a perioadei de stocare ╚Öi a altor m─âsuri pentru a garanta o prelucrare legal─â ╚Öi echitabil─â. De asemenea, ar trebui s─â se stabileasc─â ├«n dreptul Uniunii sau ├«n dreptul intern dac─â operatorul care ├«ndepline╚Öte o sarcin─â care serve╚Öte unui interes public sau care face parte din exercitarea autorit─â╚Ťii publice ar trebui s─â fie o autoritate public─â sau o alt─â persoan─â fizic─â sau juridic─â guvernat─â de dreptul public sau, atunci c├ónd motive de interes public justific─â acest lucru, inclusiv ├«n scopuri medicale, precum s─ân─âtatea public─â ╚Öi protec╚Ťia social─â, precum ╚Öi gestionarea serviciilor de asisten╚Ť─â medical─â, de dreptul privat, cum ar fi o asocia╚Ťie profesional─â.

(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s─â fie considerat─â legal─â ├«n cazul ├«n care este necesar─â ├«n scopul asigur─ârii protec╚Ťiei unui interes care este esen╚Ťial pentru via╚Ťa persoanei vizate sau pentru via╚Ťa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuat─â numai ├«n cazul ├«n care prelucrarea nu se poate baza ├«n mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi at├ót unor motive importante de interes public, c├ót ╚Öi intereselor vitale ale persoanei vizate, de exemplu ├«n cazul ├«n care prelucrarea este necesar─â ├«n scopuri umanitare, inclusiv ├«n vederea monitoriz─ârii unei epidemii ╚Öi a r─âsp├óndirii acesteia sau ├«n situa╚Ťii de urgen╚Ťe umanitare, ├«n special ├«n situa╚Ťii de dezastre naturale sau provocate de om.

(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator c─âruia ├«i pot fi divulgate datele cu caracter personal sau ale unei ter╚Ťe p─âr╚Ťi, pot constitui un temei juridic pentru prelucrare, cu condi╚Ťia s─â nu prevaleze interesele sau drepturile ╚Öi libert─â╚Ťile fundamentale ale persoanei vizate, lu├ónd ├«n considerare a╚Ötept─ârile rezonabile ale persoanelor vizate bazate pe rela╚Ťia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci c├ónd exist─â o rela╚Ťie relevant─â ╚Öi adecvat─â ├«ntre persoana vizat─â ╚Öi operator, cum ar fi cazul ├«n care persoana vizat─â este un client al operatorului sau se afl─â ├«n serviciul acestuia. ├Än orice caz, existen╚Ťa unui interes legitim ar necesita o evaluare atent─â, care s─â stabileasc─â inclusiv dac─â o persoan─â vizat─â poate preconiza ├«n mod rezonabil, ├«n momentul ╚Öi ├«n contextul colect─ârii datelor cu caracter personal, posibilitatea prelucr─ârii ├«n acest scop. Interesele ╚Öi drepturile fundamentale ale persoanei vizate ar putea prevala ├«n special ├«n raport cu interesul operatorului de date atunci c├ónd datele cu caracter personal sunt prelucrate ├«n circumstan╚Ťe ├«n care persoanele vizate nu preconizeaz─â ├«n mod rezonabil o prelucrare ulterioar─â. ├Äntruc├ót legiuitorul trebuie s─â furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de c─âtre autorit─â╚Ťile publice, temeiul juridic respectiv nu ar trebui s─â se aplice prelucr─ârii de c─âtre autorit─â╚Ťile publice ├«n ├«ndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesar─â ├«n scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date ├«n cauz─â. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerat─â ca fiind desf─â╚Öurat─â pentru un interes legitim.

(48) Operatorii care fac parte dintr-un grup de ├«ntreprinderi sau institu╚Ťii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal ├«n cadrul grupului de ├«ntreprinderi ├«n scopuri administrative interne, inclusiv ├«n scopul prelucr─ârii datelor cu caracter personal ale clien╚Ťilor sau angaja╚Ťilor. Principiile generale ale transferului de date cu caracter personal, ├«n cadrul unui grup de ├«ntreprinderi, c─âtre o ├«ntreprindere situat─â ├«ntr-o ╚Ťar─â ter╚Ť─â r─âm├ón neschimbate.

(49) Prelucrarea datelor cu caracter personal ├«n m─âsura strict necesar─â ╚Öi propor╚Ťional─â ├«n scopul asigur─ârii securit─â╚Ťii re╚Ťelelor ╚Öi a informa╚Ťiilor, ╚Öi anume capacitatea unei re╚Ťele sau a unui sistem de informa╚Ťii de a face fa╚Ť─â, la un anumit nivel de ├«ncredere, evenimentelor accidentale sau ac╚Ťiunilor ilegale sau r─âu inten╚Ťionate care compromit disponibilitatea, autenticitatea, integritatea ╚Öi confiden╚Ťialitatea datelor cu caracter personal stocate sau transmise, precum ╚Öi securitatea serviciilor conexe oferite de aceste re╚Ťele ╚Öi sisteme, sau accesibile prin intermediul acestora, de c─âtre autorit─â╚Ťile publice, echipele de interven╚Ťie ├«n caz de urgen╚Ť─â informatic─â, echipele de interven╚Ťie ├«n cazul producerii unor incidente care afecteaz─â securitatea informatic─â, furnizorii de re╚Ťele ╚Öi servicii de comunica╚Ťii electronice, precum ╚Öi de c─âtre furnizorii de servicii ╚Öi tehnologii de securitate, constituie un interes legitim al operatorului de date ├«n cauz─â. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la re╚Ťelele de comunica╚Ťii electronice ╚Öi a difuz─ârii de coduri d─âun─âtoare ╚Öi oprirea atacurilor de ÔÇ×blocare a serviciuluiÔÇŁ, precum ╚Öi prevenirea daunelor aduse calculatoarelor ╚Öi sistemelor de comunica╚Ťii electronice.

(50) Prelucrarea datelor cu caracter personal ├«n alte scopuri dec├ót scopurile pentru care datele cu caracter personal au fost ini╚Ťial colectate ar trebui s─â fie permis─â doar atunci c├ónd prelucrarea este compatibil─â cu scopurile respective pentru care datele cu caracter personal au fost ini╚Ťial colectate. ├Än acest caz nu este necesar un temei juridic separat de cel pe baza c─âruia a fost permis─â colectarea datelor cu caracter personal. ├Än cazul ├«n care prelucrarea este necesar─â pentru ├«ndeplinirea unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea autorit─â╚Ťii publice cu care este ├«nvestit operatorul, dreptul Uniunii sau dreptul intern poate stabili ╚Öi specifica sarcinile ╚Öi scopurile pentru care prelucrarea ulterioar─â ar trebui considerat─â a fi compatibil─â ╚Öi legal─â. Prelucrarea ulterioar─â ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice ar trebui considerat─â ca reprezent├ónd opera╚Ťiuni de prelucrare legale compatibile. Temeiul juridic prev─âzut ├«n dreptul Uniunii sau ├«n dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioar─â. Pentru a stabili dac─â scopul prelucr─ârii ulterioare este compatibil cu scopul pentru care au fost colectate ini╚Ťial datele cu caracter personal, operatorul, dup─â ce a ├«ndeplinit toate cerin╚Ťele privind legalitatea prelucr─ârii ini╚Ťiale, ar trebui s─â ╚Ťin─â seama, printre altele, de orice leg─âtur─â ├«ntre respectivele scopuri ╚Öi scopurile prelucr─ârii ulterioare preconizate, de contextul ├«n care au fost colectate datele cu caracter personal, ├«n special de a╚Ötept─ârile rezonabile ale persoanelor vizate, bazate pe rela╚Ťia lor cu operatorul, ├«n ceea ce prive╚Öte utilizarea ulterioar─â a datelor, de natura datelor cu caracter personal, de consecin╚Ťele prelucr─ârii ulterioare preconizate asupra persoanelor vizate, precum ╚Öi de existen╚Ťa garan╚Ťiilor corespunz─âtoare at├ót ├«n cadrul opera╚Ťiunilor de prelucrare ini╚Ťiale, c├ót ╚Öi ├«n cadrul opera╚Ťiunilor de prelucrare ulterioare preconizate.

├Än cazul ├«n care persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul sau prelucrarea se bazeaz─â pe dreptul Uniunii sau pe dreptul intern, care constituie o m─âsur─â necesar─â ╚Öi propor╚Ťional─â ├«ntr-o societate democratic─â pentru a proteja, ├«n special, obiective importante de interes public general, operatorul ar trebui s─â aib─â posibilitatea de a prelucra ├«n continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. ├Än orice caz, aplicarea principiilor stabilite de prezentul regulament ╚Öi, ├«n special, informarea persoanei vizate cu privire la aceste alte scopuri ╚Öi la drepturile sale, inclusiv dreptul la opozi╚Ťie, ar trebui s─â fie garantate. Indicarea unor posibile infrac╚Ťiuni sau amenin╚Ť─âri la adresa siguran╚Ťei publice de c─âtre operator ╚Öi transmiterea c─âtre o autoritate competent─â a datelor cu caracter personal relevante ├«n cazuri individuale sau ├«n mai multe cazuri legate de aceea╚Öi infrac╚Ťiune sau de acelea╚Öi amenin╚Ť─âri la adresa siguran╚Ťei publice ar trebui considerat─â ca fiind ├«n interesul legitim urm─ârit de operator. Cu toate acestea, o astfel de transmitere ├«n interesul legitim al operatorului sau prelucrarea ulterioar─â a datelor cu caracter personal ar trebui interzis─â ├«n cazul ├«n care prelucrarea nu este compatibil─â cu o obliga╚Ťie legal─â, profesional─â sau cu o alt─â obliga╚Ťie de p─âstrare a confiden╚Ťialit─â╚Ťii.

(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile ├«n ceea ce prive╚Öte drepturile ╚Öi libert─â╚Ťile fundamentale necesit─â o protec╚Ťie specific─â, deoarece contextul prelucr─ârii acestora ar putea genera riscuri considerabile la adresa drepturilor ╚Öi libert─â╚Ťilor fundamentale. Aceste date cu caracter personal ar trebui s─â includ─â datele cu caracter personal care dezv─âluie originea rasial─â sau etnic─â, utilizarea termenului ÔÇ×origine rasial─âÔÇŁ ├«n prezentul regulament neimplic├ónd o acceptare de c─âtre Uniune a teoriilor care urm─âresc s─â stabileasc─â existen╚Ťa unor rase umane separate. Prelucrarea fotografiilor nu ar trebui s─â fie considerat─â ├«n mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, ├«ntruc├ót fotografiile intr─â sub inciden╚Ťa defini╚Ťiei datelor biometrice doar ├«n cazurile ├«n care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unic─â sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excep╚Ťia cazului ├«n care prelucrarea este permis─â ├«n cazuri specifice prev─âzute de prezentul regulament, ╚Ťin├ónd seama de faptul c─â dreptul statelor membre poate prevedea dispozi╚Ťii specifice cu privire la protec╚Ťia datelor ├«n scopul adapt─ârii aplic─ârii normelor din prezentul regulament ├«n vederea respect─ârii unei obliga╚Ťii legale sau a ├«ndeplinirii unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea autorit─â╚Ťii publice cu care este ├«nvestit operatorul. Pe l├óng─â cerin╚Ťele specifice pentru o astfel de prelucrare, ar trebui s─â se aplice principiile generale ╚Öi alte norme prev─âzute de prezentul regulament, ├«n special ├«n ceea ce prive╚Öte condi╚Ťiile pentru prelucrarea legal─â. Ar trebui prev─âzute ├«n mod explicit derog─âri de la interdic╚Ťia general─â de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci c├ónd persoana vizat─â ├«╚Öi d─â consim╚Ť─âm├óntul explicit sau ├«n ceea ce prive╚Öte nevoile specifice ├«n special atunci c├ónd prelucrarea este efectuat─â ├«n cadrul unor activit─â╚Ťi legitime de c─âtre anumite asocia╚Ťii sau funda╚Ťii al c─âror scop este de a permite exercitarea libert─â╚Ťilor fundamentale.

(52) Derogarea de la interdic╚Ťia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui s─â fie permis─â, de asemenea, ├«n cazul ├«n care dreptul Uniunii sau dreptul intern prevede acest lucru ╚Öi ar trebui s─â fac─â obiectul unor garan╚Ťii adecvate, astfel ├«nc├ót s─â fie protejate datele cu caracter personal ╚Öi alte drepturi fundamentale, atunci c├ónd acest lucru se justific─â din motive de interes public, ├«n special ├«n cazul prelucr─ârii datelor cu caracter personal ├«n domeniul legisla╚Ťiei privind ocuparea for╚Ťei de munc─â, protec╚Ťia social─â, inclusiv pensiile, precum ╚Öi ├«n scopuri de securitate, supraveghere ╚Öi alert─â ├«n materie de s─ân─âtate, pentru prevenirea sau controlul bolilor transmisibile ╚Öi a altor amenin╚Ť─âri grave la adresa s─ân─ât─â╚Ťii. Aceast─â derogare poate fi acordat─â ├«n scopuri medicale, inclusiv s─ân─âtatea public─â ╚Öi gestionarea serviciilor de asisten╚Ť─â medical─â, ├«n special ├«n vederea asigur─ârii calit─â╚Ťii ╚Öi eficien╚Ťei din punctul de vedere al costurilor ale procedurilor utilizate pentru solu╚Ťionarea cererilor de presta╚Ťii ╚Öi servicii ├«n cadrul sistemului de asigur─âri de s─ân─âtate, sau ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permis─â, printr-o derogare, atunci c├ónd este necesar─â pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n justi╚Ťie, indiferent dac─â are loc ├«n cadrul unei proceduri ├«n fa╚Ťa unei instan╚Ťe sau ├«n cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.

(53) Categoriile speciale de date cu caracter personal care necesit─â un nivel mai ridicat de protec╚Ťie ar trebui prelucrate doar ├«n scopuri legate de s─ân─âtate atunci c├ónd este necesar pentru realizarea acestor scopuri ├«n beneficiul persoanelor fizice ╚Öi al societ─â╚Ťii ├«n general, ├«n special ├«n contextul gestion─ârii serviciilor ╚Öi sistemelor de s─ân─âtate sau de asisten╚Ť─â social─â, inclusiv prelucrarea acestor date de c─âtre autorit─â╚Ťile de management ╚Öi de c─âtre autorit─â╚Ťile centrale na╚Ťionale din domeniul s─ân─ât─â╚Ťii ├«n scopul controlului calit─â╚Ťii, furniz─ârii de informa╚Ťii de gestiune ╚Öi al supravegherii generale a sistemului de s─ân─âtate sau de asisten╚Ť─â social─â la nivel na╚Ťional ╚Öi local, precum ╚Öi ├«n contextul asigur─ârii continuit─â╚Ťii asisten╚Ťei medicale sau sociale ╚Öi a asisten╚Ťei medicale transfrontaliere ori ├«n scopuri de securitate, supraveghere ╚Öi alert─â ├«n materie de s─ân─âtate ori ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice ├«n temeiul dreptului Uniunii sau al dreptului intern, care trebuie s─â urm─âreasc─â un obiectiv de interes public, precum ╚Öi ├«n cazul studiilor realizate ├«n interes public ├«n domeniul s─ân─ât─â╚Ťii publice. Prin urmare, prezentul regulament ar trebui s─â prevad─â condi╚Ťii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind s─ân─âtatea, ├«n ceea ce prive╚Öte nevoile specifice, ├«n special atunci c├ónd prelucrarea acestor date este efectuat─â ├«n anumite scopuri legate de s─ân─âtate de c─âtre persoane care fac obiectul unei obliga╚Ťii legale de a p─âstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui s─â prevad─â m─âsuri specifice ╚Öi adecvate pentru a proteja drepturile fundamentale ╚Öi datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui s─â aib─â posibilitatea de a men╚Ťine sau de a introduce condi╚Ťii suplimentare, inclusiv restric╚Ťii, ├«n ceea ce prive╚Öte prelucrarea datelor genetice, a datelor biometrice sau a datelor privind s─ân─âtatea. Totu╚Öi, acest lucru nu ar trebui s─â ├«mpiedice libera circula╚Ťie a datelor cu caracter personal ├«n cadrul Uniunii atunci c├ónd aceste condi╚Ťii se aplic─â prelucr─ârii transfrontaliere a unor astfel de date.

(54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesar─â din motive de interes public ├«n domeniile s─ân─ât─â╚Ťii publice, f─âr─â consim╚Ť─âm├óntul persoanei vizate. O astfel de prelucrare ar trebui condi╚Ťionat─â de m─âsuri adecvate ╚Öi specifice destinate s─â protejeze drepturile ╚Öi libert─â╚Ťile persoanelor fizice. ├Än acest context, conceptul de ÔÇ×s─ân─âtate public─âÔÇŁ ar trebui interpretat astfel cum este definit ├«n Regulamentul (CE) nr. 1338/2008 al Parlamentului European ╚Öi al Consiliului (11), ╚Öi anume toate elementele referitoare la s─ân─âtate ╚Öi anume starea de s─ân─âtate, inclusiv morbiditatea sau handicapul, factorii determinan╚Ťi care au efect asupra st─ârii de s─ân─âtate, necesit─â╚Ťile ├«n domeniul asisten╚Ťei medicale, resursele alocate asisten╚Ťei medicale, furnizarea asisten╚Ťei medicale ╚Öi asigurarea accesului universal la aceasta, precum ╚Öi cheltuielile ╚Öi sursele de finan╚Ťare ├«n domeniul s─ân─ât─â╚Ťii ╚Öi cauzele mortalit─â╚Ťii. Aceast─â prelucrare a datelor privind s─ân─âtatea din motive de interes public nu ar trebui s─â duc─â la prelucrarea acestor date ├«n alte scopuri de c─âtre p─âr╚Ťi ter╚Ťe, cum ar fi angajatorii sau societ─â╚Ťile de asigur─âri ╚Öi b─âncile.

(55) ├Än plus, prelucrarea datelor cu caracter personal de c─âtre autorit─â╚Ťile publice ├«n vederea realiz─ârii obiectivelor prev─âzute de dreptul constitu╚Ťional sau de dreptul interna╚Ťional public, ale asocia╚Ťiilor religioase recunoscute oficial se efectueaz─â din motive de interes public.

(56) ├Än cazul ├«n care, ├«n cadrul activit─â╚Ťilor electorale, func╚Ťionarea sistemului democratic necesit─â, ├«ntr-un stat membru, ca partidele politice s─â colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permis─â din motive de interes public, cu condi╚Ťia s─â se prevad─â garan╚Ťiile corespunz─âtoare.

(57) Dac─â datele cu caracter personal prelucrate de un operator nu ├«i permit acestuia s─â identifice o persoan─â fizic─â, operatorul de date nu ar trebui s─â aib─â obliga╚Ťia de a ob╚Ťine informa╚Ťii suplimentare ├«n vederea identific─ârii persoanei vizate, cu unicul scop de a respecta oricare dintre dispozi╚Ťiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui s─â refuze s─â preia informa╚Ťiile suplimentare furnizate de persoana vizat─â cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui s─â includ─â identificarea digital─â a unei persoane vizate, de exemplu prin mecanisme de autentificare precum acelea╚Öi acredit─âri utilizate de c─âtre persoana vizat─â pentru a accesa serviciile online oferite de operatorul de date.

(58) Principiul transparen╚Ťei prevede c─â orice informa╚Ťii care se adreseaz─â publicului sau persoanei vizate s─â fie concise, u╚Öor accesibile ╚Öi u╚Öor de ├«n╚Ťeles ╚Öi s─â se utilizeze un limbaj simplu ╚Öi clar, precum ╚Öi vizualizare acolo unde este cazul. Aceste informa╚Ťii ar putea fi furnizate ├«n format electronic, de exemplu atunci c├ónd sunt adresate publicului, prin intermediul unui site. Acest lucru este important ├«n special ├«n situa╚Ťii ├«n care datorit─â multitudinii actorilor ╚Öi a complexit─â╚Ťii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizat─â s─â ╚Ötie ╚Öi s─â ├«n╚Ťeleag─â dac─â datele cu caracter personal care o privesc sunt colectate, de c─âtre cine ╚Öi ├«n ce scop, cum este cazul publicit─â╚Ťii online. ├Äntruc├ót copiiii necesit─â o protec╚Ťie specific─â, orice informa╚Ťii ╚Öi orice comunicare, ├«n cazul ├«n care prelucrarea vizeaz─â un copil, ar trebui s─â fie exprimate ├«ntr-un limbaj simplu ╚Öi clar, astfel ├«nc├ót copilul s─â ├«l poat─â ├«n╚Ťelege cu u╚Öurin╚Ť─â.

(59) Ar trebui s─â fie prev─âzute modalit─â╚Ťi de facilitare a exercit─ârii de c─âtre persoana vizat─â a drepturilor care ├«i sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita ╚Öi, dac─â este cazul, ob╚Ťine, ├«n mod gratuit, ├«n special, acces la datele cu caracter personal, precum ╚Öi rectificarea sau ╚Ötergerea acestora, ╚Öi exercitarea dreptului la opozi╚Ťie. Operatorul ar trebui s─â ofere, de asemenea, modalit─â╚Ťi de introducere a cererilor pe cale electronic─â, mai ales ├«n cazul ├«n care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui s─â aib─â obliga╚Ťia de a r─âspunde cererilor persoanelor vizate f─âr─â ├«nt├órzieri nejustificate ╚Öi cel t├órziu ├«n termen de o lun─â ╚Öi, ├«n cazul ├«n care nu inten╚Ťioneaz─â s─â se conformeze respectivele cereri, s─â motiveze acest refuz.

(60) Conform principiilor prelucr─ârii echitabile ╚Öi transparente, persoana vizat─â este informat─â cu privire la existen╚Ťa unei opera╚Ťiuni de prelucrare ╚Öi la scopurile acesteia. Operatorul ar trebui s─â furnizeze persoanei vizate orice informa╚Ťii suplimentare necesare pentru a asigura o prelucrare echitabil─â ╚Öi transparent─â, ╚Ťin├ónd seama de circumstan╚Ťele specifice ╚Öi de contextul ├«n care sunt prelucrate datele cu caracter personal. ├Än plus, persoana vizat─â ar trebui informat─â cu privire la crearea de profiluri, precum ╚Öi la consecin╚Ťele acesteia. Atunci c├ónd datele cu caracter personal sunt colectate de la persoana vizat─â, aceasta ar trebui informat─â, de asemenea, dac─â are obliga╚Ťia de a furniza datele cu caracter personal ╚Öi care sunt consecin╚Ťele ├«n cazul unui refuz. Aceste informa╚Ťii pot fi furnizate ├«n combina╚Ťie cu pictograme standardizate pentru a oferi ├«ntr-un mod u╚Öor vizibil, inteligibil ╚Öi clar lizibil o imagine de ansamblu semnificativ─â asupra prelucr─ârii avute ├«n vedere. ├Än cazul ├«n care pictogramele sunt prezentate ├«n format electronic, acestea ar trebui s─â poat─â fi citite automat.

(61) Informa╚Ťiile ├«n leg─âtur─â cu prelucrarea datelor cu caracter personal referitoare la persoana vizat─â ar trebui furnizate acesteia la momentul colect─ârii de la persoana vizat─â sau, ├«n cazul ├«n care datele cu caracter personal sunt ob╚Ťinute din alt─â surs─â, ├«ntr-o perioad─â rezonabil─â, ├«n func╚Ťie de circumstan╚Ťele cazului. ├Än cazul ├«n care datele cu caracter personal pot fi divulgate ├«n mod legitim unui alt destinatar, persoana vizat─â ar trebui informat─â atunci c├ónd datele cu caracter personal sunt divulgate pentru prima dat─â destinatarului. ├Än cazul ├«n care operatorul inten╚Ťioneaz─â s─â prelucreze datele cu caracter personal ├«ntr-un alt scop dec├ót cel pentru care acestea au fost colectate, operatorul ar trebui s─â furnizeze persoanei vizate, ├«nainte de aceast─â prelucrare ulterioar─â, informa╚Ťii privind scopul secundar respectiv ╚Öi alte informa╚Ťii necesare. ├Än cazul ├«n care originea datelor cu caracter personal nu a putut fi comunicat─â persoanei vizate din cauz─â c─â au fost utilizate surse diverse, informa╚Ťiile generale ar trebui furnizate.

(62) Cu toate acestea, nu este necesar─â impunerea obliga╚Ťiei de a furniza informa╚Ťii ├«n cazul ├«n care persoana vizat─â de╚Ťine deja informa╚Ťiile, ├«n cazul ├«n care ├«nregistrarea sau divulgarea datelor cu caracter personal este prev─âzut─â ├«n mod expres de lege sau ├«n cazul ├«n care informarea persoanei vizate se dovede╚Öte imposibil─â sau ar implica eforturi dispropor╚Ťionate. Acesta din urm─â ar putea fi cazul ├«n special atunci c├ónd prelucrarea se efectueaz─â ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice. ├Än aceast─â privin╚Ť─â, ar trebui luate ├«n considerare num─ârul persoanelor vizate, vechimea datelor ╚Öi orice garan╚Ťii adecvate adoptate.

(63) O persoan─â vizat─â ar trebui s─â aib─â drept de acces la datele cu caracter personal colectate care o privesc ╚Öi ar trebui s─â ├«╚Öi exercite acest drept cu u╚Öurin╚Ť─â ╚Öi la intervale de timp rezonabile, pentru a fi informat─â cu privire la prelucrare ╚Öi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind s─ân─âtatea, de exemplu datele din registrele lor medicale con╚Ťin├ónd informa╚Ťii precum diagnostice, rezultate ale examin─ârilor, evalu─âri ale medicilor curan╚Ťi ╚Öi orice tratament sau interven╚Ťie efectuat─â. Orice persoan─â vizat─â ar trebui, prin urmare, s─â aib─â dreptul de a cunoa╚Öte ╚Öi de a i se comunica ├«n special scopurile ├«n care sunt prelucrate datele, dac─â este posibil perioada pentru care se prelucreaz─â datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automat─â a datelor cu caracter personal ╚Öi, cel pu╚Ťin ├«n cazul ├«n care se bazeaz─â pe crearea de profiluri, consecin╚Ťele unei astfel de prelucr─âri. Dac─â acest lucru este posibil, operatorul de date ar trebui s─â poat─â furniza acces de la distan╚Ť─â la un sistem sigur, care s─â ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui s─â aduc─â atingere drepturilor sau libert─â╚Ťilor altora, inclusiv secretului comercial sau propriet─â╚Ťii intelectuale ╚Öi, ├«n special, drepturilor de autor care asigur─â protec╚Ťia programelor software. Cu toate acestea, considera╚Ťiile de mai sus nu ar trebui s─â aib─â drept rezultat refuzul de a furniza toate informa╚Ťiile persoanei vizate. Atunci c├ónd operatorul prelucreaz─â un volum mare de informa╚Ťii privind persoana vizat─â, operatorul ar trebui s─â poat─â solicita ca, ├«nainte de a ├«i fi furnizate informa╚Ťiile, persoana vizat─â s─â precizeze informa╚Ťiile sau activit─â╚Ťile de prelucrare la care se refer─â cererea sa.

(64) Operatorul ar trebui s─â ia toate m─âsurile rezonabile pentru a verifica identitatea unei persoane vizate care solicit─â acces la date, ├«n special ├«n contextul serviciilor online ╚Öi al identificatorilor online. Un operator nu ar trebui s─â re╚Ťin─â datele cu caracter personal ├«n scopul exclusiv de a fi ├«n m─âsur─â s─â reac╚Ťioneze la cereri poten╚Ťiale.

(65) O persoan─â vizat─â ar trebui s─â aib─â dreptul la rectificarea datelor cu caracter personal care o privesc ╚Öi ÔÇ×dreptul de a fi uitat─âÔÇŁ, ├«n cazul ├«n care p─âstrarea acestor date ├«ncalc─â prezentul regulament sau dreptul Uniunii sau dreptul intern sub inciden╚Ťa c─âruia intr─â operatorul. ├Än special, persoanele vizate ar trebui s─â aib─â dreptul ca datele lor cu caracter personal s─â fie ╚Öterse ╚Öi s─â nu mai fie prelucrate, ├«n cazul ├«n care datele cu caracter personal nu mai sunt necesare pentru scopurile ├«n care sunt colectate sau sunt prelucrate, ├«n cazul ├«n care persoanele vizate ╚Öi-au retras consim╚Ť─âm├óntul pentru prelucrare sau ├«n cazul ├«n care acestea se opun prelucr─ârii datelor cu caracter personal care le privesc sau ├«n cazul ├«n care prelucrarea datelor cu caracter personal ale acestora nu este conform─â cu prezentul regulament. Acest drept este relevant ├«n special ├«n cazul ├«n care persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul c├ónd era copil ╚Öi nu cuno╚Ötea pe deplin riscurile pe care le implic─â prelucrarea, iar ulterior dore╚Öte s─â elimine astfel de date cu caracter personal, ├«n special de pe internet. Persoana vizat─â ar trebui s─â aib─â posibilitatea de a-╚Öi exercita acest drept ├«n pofida faptului c─â nu mai este copil. Cu toate acestea, p─âstrarea ├«n continuare a datelor cu caracter personal ar trebui s─â fie legal─â ├«n cazul ├«n care este necesar─â pentru exercitarea dreptului la libertatea de exprimare ╚Öi de informare, pentru respectarea unei obliga╚Ťii legale, pentru ├«ndeplinirea unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea autorit─â╚Ťii publice cu care este ├«nvestit operatorul, din motive de interes public ├«n domeniul s─ân─ât─â╚Ťii publice, ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice sau pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â.

(66) Pentru a se consolida ÔÇ×dreptul de a fi uitatÔÇŁ ├«n mediul online, dreptul de ╚Ötergere ar trebui s─â fie extins astfel ├«nc├ót un operator care a f─âcut publice date cu caracter personal ar trebui s─â aib─â obliga╚Ťia de a informa operatorii care prelucreaz─â respectivele date cu caracter personal s─â ╚Ötearg─â orice linkuri c─âtre datele respective sau copii sau reproduceri ale acestora. ├Än acest scop, operatorul ├«n cauz─â ar trebui s─â ia m─âsuri rezonabile, ╚Ťin├ónd seama de tehnologia disponibil─â ╚Öi de mijloacele aflate la dispozi╚Ťia lui, inclusiv m─âsuri tehnice, pentru a informa operatorii care prelucreaz─â datele cu caracter personal ├«n ceea ce prive╚Öte cererea persoanei vizate.

(67) Metodele de restric╚Ťionare a prelucr─ârii de date cu caracter personal ar putea include, printre altele, mutarea temporar─â a datelor cu caracter personal selectate ├«ntr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau ├«nl─âturarea temporar─â a datelor publicate de pe un site. ├Än ceea ce prive╚Öte sistemele automatizate de eviden╚Ť─â a datelor, restric╚Ťionarea prelucr─ârii ar trebui, ├«n principiu, asigurat─â prin mijloace tehnice ├«n a╚Öa fel ├«nc├ót datele cu caracter personal s─â nu fac─â obiectul unor opera╚Ťiuni de prelucrare ulterioar─â ╚Öi s─â nu mai poat─â fi schimbate. Faptul c─â prelucrarea datelor cu caracter personal este restric╚Ťionat─â ar trebui indicat ├«n mod clar ├«n sistem.

(68) Pentru a spori suplimentar controlul asupra propriilor date, persoana vizat─â ar trebui, ├«n cazul ├«n care datele cu caracter personal sunt prelucrate prin mijloace automate, s─â poat─â primi datele cu caracter personal care o privesc ╚Öi pe care le-a furnizat unui operator, ├«ntr-un format structurat, utilizat ├«n mod curent, prelucrabil automat ╚Öi interoperabil ╚Öi s─â le poat─â transmite unui alt operator. Operatorii de date ar trebui s─â fie ├«ncuraja╚Ťi s─â dezvolte formate interoperabile care s─â permit─â portabilitatea datelor. Acest drept ar trebui s─â se aplice ├«n cazul ├«n care persoana vizat─â a furnizat datele cu caracter personal pe baza propriului consim╚Ť─âm├ónt sau ├«n cazul ├«n care prelucrarea datelor este necesar─â pentru executarea unui contract. Acest drept nu ar trebui s─â se aplice ├«n cazul ├«n care prelucrarea se bazeaz─â pe un alt temei juridic dec├ót consim╚Ť─âm├óntul sau contractul. Prin ├«ns─â╚Öi natura sa, acest drept nu ar trebui exercitat ├«mpotriva operatorilor care prelucreaz─â date cu caracter personal ├«n cadrul exercit─ârii func╚Ťiilor lor publice. Acesta nu ar trebui s─â se aplice ├«n special ├«n cazul ├«n care prelucrarea de date cu caracter personal este necesar─â ├«n vederea respect─ârii unei obliga╚Ťii legale c─âreia ├«i este supus operatorul sau ├«n cazul ├«ndeplinirii unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea unei autorit─â╚Ťi publice cu care este ├«nvestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui s─â creeze pentru operatori obliga╚Ťia de a adopta sau de a men╚Ťine sisteme de prelucrare care s─â fie compatibile din punct de vedere tehnic. ├Än cazul ├«n care, ├«ntr-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui s─â aduc─â atingere drepturilor ╚Öi libert─â╚Ťilor altor persoane vizate, ├«n conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui s─â aduc─â atingere dreptului persoanei vizate de a ob╚Ťine ╚Ötergerea datelor cu caracter personal ╚Öi limit─ârilor dreptului respectiv, astfel cum sunt prev─âzute ├«n prezentul regulament, ╚Öi nu ar trebui, ├«n special, s─â implice ╚Ötergerea acelor date cu caracter personal referitoare la persoana vizat─â care au fost furnizate de c─âtre aceasta ├«n vederea execut─ârii unui contract, ├«n m─âsura ├«n care ╚Öi at├ót timp c├ót datele respective sunt necesare pentru executarea contractului. Persoana vizat─â ar trebui s─â aib─â dreptul ca datele cu caracter personal s─â fie transmise direct de la un operator la altul, dac─â acest lucru este fezabil din punct de vedere tehnic.

(69) ├Än cazurile ├«n care datele cu caracter personal ar putea fi prelucrate ├«n mod legal deoarece prelucrarea este necesar─â pentru ├«ndeplinirea unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea autorit─â╚Ťii publice cu care este ├«nvestit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei p─âr╚Ťi ter╚Ťe, o persoan─â vizat─â ar trebui s─â aib─â totu╚Öi dreptul de a se opune prelucr─ârii oric─âror date cu caracter personal care se refer─â la situa╚Ťia sa particular─â. Ar trebui s─â revin─â operatorului sarcina de a demonstra c─â interesele sale legitime ╚Öi imperioase prevaleaz─â asupra intereselor sau a drepturilor ╚Öi libert─â╚Ťilor fundamentale ale persoanei vizate.

(70) ├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri de marketing direct, persoana vizat─â ar trebui s─â aib─â dreptul de a se opune unei astfel de prelucr─âri, inclusiv cre─ârii de profiluri ├«n m─âsura ├«n care aceasta are leg─âtur─â cu marketingul direct, indiferent dac─â prelucrarea ├«n cauz─â este cea ini╚Ťial─â sau una ulterioar─â, ├«n orice moment ╚Öi ├«n mod gratuit. Acest drept ar trebui adus ├«n mod explicit ├«n aten╚Ťia persoanei vizate ╚Öi prezentat ├«n mod clar ╚Öi separat de orice alte informa╚Ťii.

(71) Persoana vizat─â ar trebui s─â aib─â dreptul de a nu face obiectul unei decizii, care poate include o m─âsur─â, care evalueaz─â aspecte personale referitoare la persoana vizat─â, care se bazeaz─â exclusiv pe prelucrarea automat─â ╚Öi care produce efecte juridice care privesc persoana vizat─â sau o afecteaz─â ├«n mod similar ├«ntr-o m─âsur─â semnificativ─â, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronic─â, f─âr─â interven╚Ťie uman─â. O astfel de prelucrare include ÔÇ×crearea de profiluriÔÇŁ, care const─â ├«n orice form─â de prelucrare automat─â a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoan─â fizic─â, ├«n special ├«n vederea analiz─ârii sau preconiz─ârii anumitor aspecte privind randamentul la locul de munc─â al persoanei vizate, situa╚Ťia economic─â, starea de s─ân─âtate, preferin╚Ťele sau interesele personale, fiabilitatea sau comportamentul, loca╚Ťia sau deplas─ârile, atunci c├ónd aceasta produce efecte juridice care privesc persoana vizat─â sau o afecteaz─â ├«n mod similar ├«ntr-o m─âsur─â semnificativ─â. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucr─âri, inclusiv crearea de profiluri, ar trebui permis─â ├«n cazul ├«n care este autorizat─â ├«n mod expres ├«n dreptul Uniunii sau ├«n dreptul intern care se aplic─â operatorului, inclusiv ├«n scopul monitoriz─ârii ╚Öi prevenirii fraudei ╚Öi a evaziunii fiscale, desf─â╚Öurate ├«n conformitate cu reglement─ârile, standardele ╚Öi recomand─ârile institu╚Ťiilor Uniunii sau ale organismelor na╚Ťionale de supraveghere, ╚Öi ├«n scopul asigur─ârii securit─â╚Ťii ╚Öi fiabilit─â╚Ťii unui serviciu oferit de operator sau ├«n cazul ├«n care este necesar─â pentru ├«ncheierea sau executarea unui contract ├«ntre persoana vizat─â ╚Öi un operator sau ├«n cazul ├«n care persoana vizat─â ╚Öi-a dat ├«n mod explicit consim╚Ť─âm├óntul. ├Än orice caz, o astfel de prelucrare ar trebui s─â fac─â obiectul unor garan╚Ťii corespunz─âtoare, care ar trebui s─â includ─â o informare specific─â a persoanei vizate ╚Öi dreptul acesteia de a ob╚Ťine interven╚Ťie uman─â, de a-╚Öi exprima punctul de vedere, de a primi o explica╚Ťie privind decizia luat─â ├«n urma unei astfel de evalu─âri, precum ╚Öi dreptul de a contesta decizia. O astfel de m─âsur─â nu ar trebui s─â se refere la un copil.

Pentru a asigura o prelucrare echitabil─â ╚Öi transparent─â ├«n ceea ce prive╚Öte persoana vizat─â, av├ónd ├«n vedere circumstan╚Ťele specifice ╚Öi contextul ├«n care sunt prelucrate datele cu caracter personal, operatorul ar trebui s─â utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, s─â implementeze m─âsuri tehnice ╚Öi organizatorice adecvate pentru a asigura ├«n special faptul c─â factorii care duc la inexactit─â╚Ťi ale datelor cu caracter personal sunt corecta╚Ťi ╚Öi c─â riscul de erori este redus la minimum, precum ╚Öi s─â securizeze datele cu caracter personal ├«ntr-un mod care s─â ╚Ťin─â seama de pericolele poten╚Ťiale la adresa intereselor ╚Öi drepturilor persoanei vizate ╚Öi care s─â previn─â, printre altele, efectele discriminatorii ├«mpotriva persoanelor pe motiv de ras─â sau origine etnic─â, opinii politice, religie sau convingeri, apartenen╚Ť─â sindical─â, caracteristici genetice, stare de s─ân─âtate sau orientare sexual─â sau care s─â duc─â la m─âsuri care s─â aib─â astfel de efecte. Procesul decizional automatizat ╚Öi crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai ├«n condi╚Ťii specifice.

(72) Crearea de profiluri este supus─â normelor prezentului regulament care reglementeaz─â prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucr─ârii sau principiile de protec╚Ťie a datelor. Comitetul european pentru protec╚Ťia datelor instituit prin prezentul regulament (ÔÇ×comitetulÔÇŁ) ar trebui s─â poat─â emite orient─âri ├«n acest context.

(73) Dreptul Uniunii sau dreptul intern poate impune restric╚Ťii ├«n privin╚Ťa unor principii specifice, ├«n privin╚Ťa dreptului de informare, a dreptului de acces la datele cu caracter personal ╚Öi de rectificare sau ╚Ötergere a acestora, ├«n privin╚Ťa dreptului la portabilitatea datelor, a dreptului la opozi╚Ťie, a deciziilor bazate pe crearea de profiluri, precum ╚Öi ├«n privin╚Ťa comunic─ârii unei ├«nc─âlc─âri a securit─â╚Ťii datelor cu caracter personal persoanei vizate ╚Öi a anumitor obliga╚Ťii conexe ale operatorilor, ├«n m─âsura ├«n care acest lucru este necesar ╚Öi propor╚Ťional ├«ntr-o societate democratic─â pentru a se garanta siguran╚Ťa public─â, inclusiv protec╚Ťia vie╚Ťii oamenilor, ├«n special ca r─âspuns la dezastre naturale sau provocate de om, prevenirea, investigarea ╚Öi urm─ârirea penal─â a infrac╚Ťiunilor sau executarea pedepselor, inclusiv protejarea ├«mpotriva amenin╚Ť─ârilor la adresa siguran╚Ťei publice sau ├«mpotriva ├«nc─âlc─ârii eticii ├«n cazul profesiilor reglementate ╚Öi prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, ├«n special un interes economic sau financiar important al Uniunii sau al unui stat membru, men╚Ťinerea de registre publice din motive de interes public general, prelucrarea ulterioar─â a datelor cu caracter personal arhivate pentru a transmite informa╚Ťii specifice legate de comportamentul politic ├«n perioada regimurilor fostelor state totalitare, protec╚Ťia persoanei vizate sau a drepturilor ╚Öi libert─â╚Ťilor unor ter╚Ťi, inclusiv protec╚Ťia social─â, s─ân─âtatea public─â ╚Öi scopurile umanitare. Aceste restric╚Ťii ar trebui s─â fie conforme cu cerin╚Ťele prev─âzute de cart─â ╚Öi de Conven╚Ťia european─â pentru ap─ârarea drepturilor omului ╚Öi a libert─â╚Ťilor fundamentale.

(74) Ar trebui s─â se stabileasc─â responsabilitatea ╚Öi r─âspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuat─â de c─âtre acesta sau ├«n numele s─âu. ├Än special, operatorul ar trebui s─â fie obligat s─â implementeze m─âsuri adecvate ╚Öi eficace ╚Öi s─â fie ├«n m─âsur─â s─â demonstreze conformitatea activit─â╚Ťilor de prelucrare cu prezentul regulament, inclusiv eficacitatea m─âsurilor. Aceste m─âsuri ar trebui s─â ╚Ťin─â seama de natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii, precum ╚Öi de riscul pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice.

(75) Riscul pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, prezent├ónd grade diferite de probabilitate de materializare ╚Öi de gravitate, poate fi rezultatul unei prelucr─âri a datelor cu caracter personal care ar putea genera prejudicii de natur─â fizic─â, material─â sau moral─â, ├«n special ├«n cazurile ├«n care: prelucrarea poate conduce la discriminare, furt sau fraud─â a identit─â╚Ťii, pierdere financiar─â, compromiterea reputa╚Ťiei, pierderea confiden╚Ťialit─â╚Ťii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizat─â a pseudonimiz─ârii sau la orice alt dezavantaj semnificativ de natur─â economic─â sau social─â; persoanele vizate ar putea fi private de drepturile ╚Öi libert─â╚Ťile lor sau ├«mpiedicate s─â-╚Öi exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezv─âluie originea rasial─â sau etnic─â, opiniile politice, religia sau convingerile filozofice, apartenen╚Ťa sindical─â; sunt prelucrate date genetice, date privind s─ân─âtatea sau date privind via╚Ťa sexual─â sau privind condamn─ârile penale ╚Öi infrac╚Ťiunile sau m─âsurile de securitate conexe; sunt evaluate aspecte de natur─â personal─â, ├«n special analizarea sau previzionarea unor aspecte privind randamentul la locul de munc─â, situa╚Ťia economic─â, starea de s─ân─âtate, preferin╚Ťele sau interesele personale, fiabilitatea sau comportamentul, loca╚Ťia sau deplas─ârile, ├«n scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, ├«n special ale unor copii; sau prelucrarea implic─â un volum mare de date cu caracter personal ╚Öi afecteaz─â un num─âr larg de persoane vizate.

(76) Probabilitatea de a se materializa ╚Öi gravitatea riscului pentru drepturile ╚Öi libert─â╚Ťile persoanei vizate ar trebui s─â fie determinate ├«n func╚Ťie de natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evalu─âri obiective prin care se stabile╚Öte dac─â opera╚Ťiunile de prelucrare a datelor prezint─â un risc sau un risc ridicat.

(77) Orient─âri pentru implementarea unor m─âsuri adecvate ╚Öi pentru demonstrarea conformit─â╚Ťii de c─âtre operator sau persoana ├«mputernicit─â de operator, mai ales ├«n ceea ce prive╚Öte identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilit─â╚Ťii de a se materializa ╚Öi al gravit─â╚Ťii, precum ╚Öi identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite ├«n special prin coduri de conduit─â aprobate, certific─âri aprobate, orient─âri ale comitetului sau prin indica╚Ťii furnizate de un responsabil cu protec╚Ťia datelor. Comitetul poate, de asemenea, s─â emit─â orient─âri cu privire la opera╚Ťiunile de prelucrare care sunt considerate pu╚Ťin susceptibile de a genera un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice ╚Öi s─â indice m─âsurile care se pot dovedi suficiente ├«n asemenea cazuri pentru a aborda un astfel de risc.

(78) Protec╚Ťia drepturilor ╚Öi libert─â╚Ťilor persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal necesit─â adoptarea de m─âsuri tehnice ╚Öi organizatorice corespunz─âtoare pentru a se asigura ├«ndeplinirea cerin╚Ťelor din prezentul regulament. Pentru a fi ├«n m─âsur─â s─â demonstreze conformitatea cu prezentul regulament, operatorul ar trebui s─â adopte politici interne ╚Öi s─â pun─â ├«n aplicare m─âsuri care s─â respecte ├«n special principiul protec╚Ťiei datelor ├«ncep├ónd cu momentul conceperii ╚Öi cel al protec╚Ťiei implicite a datelor. Astfel de m─âsuri ar putea consta, printre altele, ├«n reducerea la minimum a prelucr─ârii datelor cu caracter personal, pseudonimizarea acestor date c├ót mai cur├ónd posibil, transparen╚Ťa ├«n ceea ce prive╚Öte func╚Ťiile ╚Öi prelucrarea datelor cu caracter personal, abilitarea persoanei vizate s─â monitorizeze prelucrarea datelor, abilitarea operatorului s─â creeze elemente de siguran╚Ť─â ╚Öi s─â le ├«mbun─ât─â╚Ťeasc─â. Atunci c├ónd elaboreaz─â, proiecteaz─â, selecteaz─â ╚Öi utilizeaz─â aplica╚Ťii, servicii ╚Öi produse care se bazeaz─â pe prelucrarea datelor cu caracter personal sau care prelucreaz─â date cu caracter personal pentru a-╚Öi ├«ndeplini rolul, produc─âtorii acestor produse ╚Öi furnizorii acestor servicii ╚Öi aplica╚Ťii ar trebui s─â fie ├«ncuraja╚Ťi s─â aib─â ├«n vedere dreptul la protec╚Ťia datelor la momentul elabor─ârii ╚Öi proiect─ârii unor astfel de produse, servicii ╚Öi aplica╚Ťii ╚Öi, ╚Ťin├ónd cont de stadiul actual al dezvolt─ârii, s─â se asigure c─â operatorii ╚Öi persoanele ├«mputernicite de operatori sunt ├«n m─âsur─â s─â ├«╚Öi ├«ndeplineasc─â obliga╚Ťiile referitoare la protec╚Ťia datelor.Principiul protec╚Ťiei datelor ├«ncep├ónd cu momentul conceperii ╚Öi cel al protec╚Ťiei implicite a datelor ar trebui s─â fie luate ├«n considerare ╚Öi ├«n contextul licita╚Ťiilor publice.

(79) Protec╚Ťia drepturilor ╚Öi libert─â╚Ťilor persoanelor vizate, precum ╚Öi responsabilitatea ╚Öi r─âspunderea operatorilor ╚Öi a persoanelor ├«mputernicite de operator, inclusiv ├«n ceea ce prive╚Öte monitorizarea de c─âtre autorit─â╚Ťile de supraveghere ╚Öi m─âsurile adoptate de acestea, necesit─â o atribuire clar─â a responsabilit─â╚Ťilor ├«n temeiul prezentului regulament, inclusiv ├«n cazul ├«n care un operator stabile╚Öte scopurile ╚Öi mijloacele prelucr─ârii ├«mpreun─â cu al╚Ťi operatori sau ├«n cazul ├«n care o opera╚Ťiune de prelucrare este efectuat─â ├«n numele unui operator.

(80) Atunci c├ónd un operator sau o persoan─â ├«mputernicit─â de operator care nu este stabilit─â ├«n Uniune prelucreaz─â date cu caracter personal ale unor persoane vizate care se afl─â pe teritoriul Uniunii, iar activit─â╚Ťile sale de prelucrare au leg─âtur─â cu oferirea de bunuri sau servicii unor astfel de persoane vizate ├«n Uniune, indiferent dac─â se solicit─â sau nu efectuarea unei pl─â╚Ťi de c─âtre persoana vizat─â, sau cu monitorizarea comportamentului unor persoane vizate dac─â acesta se manifest─â ├«n cadrul Uniunii, operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â desemneze un reprezentant, cu excep╚Ťia cazului ├«n care prelucrarea are caracter ocazional, nu include prelucrarea pe scar─â larg─â a unor categorii speciale de date cu caracter personal ╚Öi nici prelucrarea de date referitoare la condamn─âri penale ╚Öi la infrac╚Ťiuni, ╚Öi este pu╚Ťin susceptibil─â s─â genereze un risc pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, av├ónd ├«n vedere natura, contextul, domeniul de aplicare ╚Öi scopurile prelucr─ârii, precum ╚Öi a cazului ├«n care operatorul este o autoritate public─â sau un organism public. Reprezentantul ar trebui s─â ac╚Ťioneze ├«n numele operatorului sau al persoanei ├«mputernicite de operator, put├ónd fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat ├«n mod explicit, printr-un mandat scris al operatorului sau al persoanei ├«mputernicite de operator, s─â ac╚Ťioneze ├«n numele acestuia (acesteia) ├«n ceea ce prive╚Öte obliga╚Ťiile lor ├«n temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere responsabilit─â╚Ťii sau r─âspunderii operatorului sau a persoanei ├«mputernicite de operator ├«n temeiul prezentului regulament. Un astfel de reprezentant ar trebui s─â ├«╚Öi ├«ndeplineasc─â sarcinile ├«n conformitate cu mandatul primit de la operator sau de la persoana ├«mputernicit─â de operator, inclusiv s─â coopereze cu autorit─â╚Ťile de supraveghere competente ├«n ceea ce prive╚Öte orice ac╚Ťiune ├«ntreprins─â pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui s─â fie supus unor proceduri de asigurare a respect─ârii legii ├«n cazul nerespect─ârii prezentului regulament de c─âtre operator sau de c─âtre persoana ├«mputernicit─â de operator.

(81) Pentru a asigura respectarea cerin╚Ťelor impuse de prezentul regulament ├«n ceea ce prive╚Öte prelucrarea care trebuie efectuat─â ├«n numele operatorului de c─âtre persoana ├«mputernicit─â de operator, atunci c├ónd atribuie activit─â╚Ťi de prelucrare unei persoane ├«mputernicite de operator, acesta din urm─â ar trebui s─â utilizeze numai persoane ├«mputernicite care ofer─â garan╚Ťii suficiente, ├«n special ├«n ceea ce prive╚Öte cuno╚Ötin╚Ťele de specialitate, fiabilitatea ╚Öi resursele, pentru a implementa m─âsuri tehnice ╚Öi organizatorice care ├«ndeplinesc cerin╚Ťele impuse de prezentul regulament, inclusiv pentru securitatea prelucr─ârii. Aderarea de c─âtre persoana ├«mputernicit─â de operator la un cod de conduit─â aprobat sau la un mecanism de certificare aprobat poate fi utilizat─â drept element care s─â demonstreze respectarea obliga╚Ťiilor de c─âtre operator. Efectuarea prelucr─ârii de c─âtre o persoan─â ├«mputernicit─â de un operator ar trebui s─â fie reglementat─â printr-un contract sau un alt tip de act juridic, ├«n temeiul dreptului Uniunii sau al dreptului intern, care creeaz─â obliga╚Ťii pentru persoana ├«mputernicit─â de operator ├«n raport cu operatorul ╚Öi care stabile╚Öte obiectul ╚Öi durata prelucr─ârii, natura ╚Öi scopurile prelucr─ârii, tipul de date cu caracter personal ╚Öi categoriile de persoane vizate, ╚Öi ar trebui s─â ╚Ťin─â seama de sarcinile ╚Öi responsabilit─â╚Ťile specifice ale persoanei ├«mputernicite de operator ├«n contextul prelucr─ârii care trebuie efectuat─â, precum ╚Öi de riscul pentru drepturile ╚Öi libert─â╚Ťile persoanei vizate. Operatorul ╚Öi persoana ├«mputernicit─â de operator pot alege s─â utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere ├«n conformitate cu mecanismul de asigurare a coeren╚Ťei ╚Öi apoi adoptate de Comisie. Dup─â finalizarea prelucr─ârii ├«n numele operatorului, persoana ├«mputernicit─â de operator ar trebui s─â returneze sau s─â ╚Ötearg─â, ├«n func╚Ťie de op╚Ťiunea operatorului, datele cu caracter personal, cu excep╚Ťia cazului ├«n care exist─â o cerin╚Ť─â de stocare a datelor cu caracter personal ├«n temeiul dreptului Uniunii sau al dreptului intern care instituie obliga╚Ťii pentru persoana ├«mputernicit─â de operator.

(82) ├Än vederea demonstr─ârii conformit─â╚Ťii cu prezentul regulament, operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â p─âstreze eviden╚Ťe ale activit─â╚Ťilor de prelucrare aflate ├«n responsabilitatea sa. Fiecare operator ╚Öi fiecare persoan─â ├«mputernicit─â de operator ar trebui s─â aib─â obliga╚Ťia de a coopera cu autoritatea de supraveghere ╚Öi de a pune la dispozi╚Ťia acesteia, la cerere, aceste eviden╚Ťe, pentru a putea fi utilizate ├«n scopul monitoriz─ârii opera╚Ťiunilor de prelucrare respective.

(83) ├Än vederea men╚Ťinerii securit─â╚Ťii ╚Öi a prevenirii prelucr─ârilor care ├«ncalc─â prezentul regulament, operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â evalueze riscurile inerente prelucr─ârii ╚Öi s─â implementeze m─âsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. M─âsurile respective ar trebui s─â asigure un nivel corespunz─âtor de securitate, inclusiv confiden╚Ťialitatea, lu├ónd ├«n considerare stadiul actual al dezvolt─ârii ╚Öi costurile implement─ârii ├«n raport cu riscurile ╚Öi cu natura datelor cu caracter personal a c─âror protec╚Ťie trebuie asigurat─â. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui s─â se acorde aten╚Ťie riscurilor pe care le prezint─â prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizat─â sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate ├«n alt mod, ├«n mod accidental sau ilegal, care pot duce ├«n special la prejudicii fizice, materiale sau morale.

(84) Pentru a favoriza respectarea dispozi╚Ťiilor prezentului regulament ├«n cazurile ├«n care opera╚Ťiunile de prelucrare sunt susceptibile s─â genereze un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, operatorul ar trebui s─â fie responsabil de efectuarea unei evalu─âri a impactului asupra protec╚Ťiei datelor, care s─â estimeze, ├«n special, originea, natura, specificitatea ╚Öi gravitatea acestui risc. Rezultatul evalu─ârii ar trebui luat ├«n considerare la stabilirea m─âsurilor adecvate care trebuie luate pentru a demonstra c─â prelucrarea datelor cu caracter personal respect─â prezentul regulament. ├Än cazul ├«n care o evaluare a impactului asupra protec╚Ťiei datelor arat─â c─â opera╚Ťiunile de prelucrare implic─â un risc ridicat, pe care operatorul nu ├«l poate atenua prin m─âsuri adecvate sub aspectul tehnologiei disponibile ╚Öi al costurilor implement─ârii, ar trebui s─â aib─â loc o consultare a autorit─â╚Ťii de supraveghere ├«nainte de prelucrare.

(85) Dac─â nu este solu╚Ťionat─â la timp ╚Öi ├«ntr-un mod adecvat, o ├«nc─âlcare a securit─â╚Ťii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraud─â de identitate, pierdere financiar─â, inversarea neautorizat─â a pseudonimiz─ârii, compromiterea reputa╚Ťiei, pierderea confiden╚Ťialit─â╚Ťii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natur─â economic─â sau social─â adus persoanei fizice ├«n cauz─â. Prin urmare, de ├«ndat─â ce a luat cuno╚Ötin╚Ť─â de producerea unei ├«nc─âlc─âri a securit─â╚Ťii datelor cu caracter personal, operatorul ar trebui s─â notifice aceast─â ├«nc─âlcare autorit─â╚Ťii de supraveghere, f─âr─â ├«nt├órziere nejustificat─â ╚Öi, dac─â este posibil, ├«n cel mult 72 de ore dup─â ce a luat la cuno╚Ötin╚Ť─â de existen╚Ťa acesteia, cu excep╚Ťia cazului ├«n care operatorul este ├«n m─âsur─â s─â demonstreze, ├«n conformitate cu principiul responsabilit─â╚Ťii, c─â ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal nu este susceptibil─â s─â genereze un risc pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice. Atunci c├ónd notificarea nu se poate realiza ├«n termen de 72 de ore, aceasta ar trebui s─â cuprind─â motivele ├«nt├órzierii, iar informa╚Ťiile pot fi furnizate treptat, f─âr─â alt─â ├«nt├órziere.

(86) Operatorul ar trebui s─â comunice persoanei vizate o ├«nc─âlcare a securit─â╚Ťii datelor cu caracter personal, f─âr─â ├«nt├órzieri nejustificate, atunci c├ónd ├«nc─âlcarea este susceptibil─â s─â genereze un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanei fizice, pentru a-i permite s─â ia m─âsurile de precau╚Ťie necesare. Comunicarea ar trebui s─â descrie natura ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal ╚Öi s─â cuprind─â recomand─âri pentru persoana fizic─â ├«n cauz─â ├«n scopul atenu─ârii eventualelor efecte negative. Comunic─ârile c─âtre persoanele vizate ar trebui efectuate ├«n cel mai scurt timp posibil ├«n mod rezonabil ╚Öi ├«n str├óns─â cooperare cu autoritatea de supraveghere, respect├óndu-se orient─ârile furnizate de aceasta sau de alte autorit─â╚Ťi competente, cum ar fi autorit─â╚Ťile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine c─âtre persoanele vizate, ├«n timp ce necesitatea de a implementa m─âsuri corespunz─âtoare ├«mpotriva ├«nc─âlc─ârii ├«n continuare a securit─â╚Ťii datelor cu caracter personal sau ├«mpotriva unor ├«nc─âlc─âri similare ale securit─â╚Ťii datelor cu caracter personal ar putea justifica un termen mai ├«ndelungat pentru comunicare.

(87) Ar trebui s─â se stabileasc─â dac─â au fost implementate toate m─âsurile tehnologice de protec╚Ťie ╚Öi organizatorice corespunz─âtoare ├«n scopul de a se stabili imediat dac─â s-a produs o ├«nc─âlcare a securit─â╚Ťii datelor cu caracter personal ╚Öi de a se informa cu promptitudine autoritatea de supraveghere ╚Öi persoana vizat─â. Faptul c─â notificarea a fost efectuat─â f─âr─â ├«nt├órziere nejustificat─â ar trebui stabilit lu├óndu-se ├«n considerare, ├«n special, natura ╚Öi gravitatea ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal, precum ╚Öi consecin╚Ťele ╚Öi efectele negative ale acesteia asupra persoanei vizate. Aceast─â notificare poate conduce la o interven╚Ťie a autorit─â╚Ťii de supraveghere, ├«n conformitate cu sarcinile ╚Öi competen╚Ťele specificate ├«n prezentul regulament.

(88) La stabilirea de norme detaliate privind formatul ╚Öi procedurile aplicabile notific─ârii referitoare la ├«nc─âlc─ârile securit─â╚Ťii datelor cu caracter personal, ar trebui s─â se acorde aten╚Ťia cuvenit─â circumstan╚Ťelor ├«n care a avut loc ├«nc─âlcarea, stabilindu-se inclusiv dac─â protec╚Ťia datelor cu caracter personal a fost sau nu a fost asigurat─â prin m─âsuri tehnice de protec╚Ťie corespunz─âtoare, care s─â limiteze efectiv probabilitatea fraud─ârii identit─â╚Ťii sau a altor forme de utilizare abuziv─â. ├Än plus, astfel de norme ╚Öi proceduri ar trebui s─â ╚Ťin─â cont de interesele legitime ale autorit─â╚Ťilor de aplicare a legii ├«n cazurile ├«n care divulgarea timpurie ar putea ├«ngreuna ├«n mod inutil investigarea circumstan╚Ťelor ├«n care a avut loc o ├«nc─âlcare a datelor cu caracter personal.

(89) Directiva 95/46/CE a prev─âzut o obliga╚Ťie general─â de a notifica prelucrarea datelor cu caracter personal autorit─â╚Ťilor de supraveghere. Cu toate c─â obliga╚Ťia respectiv─â genereaz─â sarcini administrative ╚Öi financiare, aceasta nu a contribuit ├«ntotdeauna la ├«mbun─ât─â╚Ťirea protec╚Ťiei datelor cu caracter personal. Prin urmare, astfel de obliga╚Ťii de notificare general─â nediferen╚Ťiat─â ar trebui s─â fie abrogate ╚Öi ├«nlocuite cu proceduri ╚Öi mecanisme eficace care s─â pun─â accentul, ├«n schimb, pe acele tipuri de opera╚Ťiuni de prelucrare susceptibile s─â genereze un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice prin ├«ns─â╚Öi natura lor, prin domeniul lor de aplicare, prin contextul ╚Öi prin scopurile lor. Astfel de tipuri de opera╚Ťiuni de prelucrare pot fi cele care presupun, ├«n special, utilizarea unor noi tehnologii sau care reprezint─â un nou tip de opera╚Ťiuni, pentru care nicio evaluare a impactului asupra protec╚Ťiei datelor nu a fost efectuat─â anterior de c─âtre operator ori care devin necesare dat─â fiind perioada de timp care s-a scurs de la prelucrarea ini╚Ťial─â.

(90) ├Än astfel de cazuri, operatorul ar trebui s─â efectueze, ├«nainte de prelucrare, o evaluare a impactului asupra protec╚Ťiei datelor, ├«n scopul evalu─ârii gradului specific de probabilitate a materializ─ârii riscului ridicat ╚Öi gravitatea acestuia, av├ónd ├«n vedere natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii, precum ╚Öi sursele riscului. Respectiva evaluare a impactului ar trebui s─â includ─â, ├«n special, m─âsurile, garan╚Ťiile ╚Öi mecanismele avute ├«n vedere pentru atenuarea riscului respectiv, pentru asigurarea protec╚Ťiei datelor cu caracter personal ╚Öi pentru demonstrarea conformit─â╚Ťii cu prezentul regulament.

(91) Aceasta ar trebui s─â se aplice, ├«n special, opera╚Ťiunilor de prelucrare la scar─â larg─â, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, na╚Ťional sau suprana╚Ťional, care ar putea afecta un num─âr mare de persoane vizate ╚Öi care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilit─â╚Ťii lor, ├«n cazul ├«n care, ├«n conformitate cu nivelul atins al cuno╚Ötin╚Ťelor tehnologice, se folose╚Öte la scar─â larg─â o tehnologie nou─â, precum ╚Öi altor opera╚Ťiuni de prelucrare care genereaz─â un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate, ├«n special ├«n cazul ├«n care opera╚Ťiunile respective limiteaz─â capacitatea persoanelor vizate de a-╚Öi exercita drepturile. Ar trebui efectuat─â o evaluare a impactului asupra protec╚Ťiei datelor ╚Öi ├«n situa╚Ťiile ├«n care datele cu caracter personal sunt prelucrate ├«n scopul lu─ârii de decizii care vizeaz─â anumite persoane fizice ├«n urma unei evalu─âri sistematice ╚Öi cuprinz─âtoare a aspectelor personale referitoare la persoane fizice, pe baza cre─ârii de profiluri pentru datele respective, sau ├«n urma prelucr─ârii unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamn─ârile penale ╚Öi infrac╚Ťiunile sau m─âsurile de securitate conexe. Este la fel de necesar─â o evaluare a impactului asupra protec╚Ťiei datelor pentru monitorizarea la scar─â larg─â a zonelor accesibile publicului, mai ales ├«n cazul utiliz─ârii dispozitivelor optoelectronice sau pentru orice alte opera╚Ťiuni ├«n cazul ├«n care autoritatea de supraveghere competent─â consider─â c─â prelucrarea este susceptibil─â de a genera un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate, ├«n special deoarece acestea ├«mpiedic─â persoanele vizate s─â exercite un drept sau s─â utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate ├«n mod sistematic la scar─â larg─â. Prelucrarea datelor cu caracter personal nu ar trebui considerat─â a fi la scar─â larg─â ├«n cazul ├«n care prelucrarea se refer─â la date cu caracter personal de la pacien╚Ťi sau clien╚Ťi de c─âtre un anumit medic, un alt profesionist ├«n domeniul s─ân─ât─â╚Ťii sau un avocat. ├Än aceste cazuri, o evaluare a impactului asupra protec╚Ťiei datelor nu ar trebui s─â fie obligatorie.

(92) ├Än unele circumstan╚Ťe ar putea fi rezonabil ╚Öi util din punct de vedere economic ca o evaluare a impactului asupra protec╚Ťiei datelor s─â aib─â o perspectiv─â mai extins─â dec├ót cea a unui singur proiect, de exemplu ├«n cazul ├«n care autorit─â╚Ťi sau organisme publice inten╚Ťioneaz─â s─â instituie o aplica╚Ťie sau o platform─â de prelucrare comun─â sau ├«n cazul ├«n care mai mul╚Ťi operatori preconizeaz─â s─â introduc─â o aplica╚Ťie comun─â sau un mediu de prelucrare comun ├«n cadrul unui sector sau segment industrial sau pentru o activitate orizontal─â utilizat─â la scar─â larg─â.

(93) ├Än contextul adopt─ârii legisla╚Ťiei na╚Ťionale pe care se bazeaz─â ├«ndeplinirea sarcinilor autorit─â╚Ťii publice sau ale organismului public ╚Öi care reglementeaz─â opera╚Ťiunea sau seria de opera╚Ťiuni de prelucrare ├«n cauz─â, statele membre pot considera c─â este necesar─â efectuarea unei astfel de evalu─âri ├«naintea desf─â╚Öur─ârii activit─â╚Ťilor de prelucrare.

(94) ├Än cazul ├«n care o evaluare a impactului asupra protec╚Ťiei datelor arat─â c─â prelucrarea ar genera, ├«n absen╚Ťa garan╚Ťiilor, m─âsurilor de securitate ╚Öi mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, iar operatorul consider─â c─â riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile ╚Öi al costurilor implement─ârii, autoritatea de supraveghere ar trebui s─â fie consultat─â ├«nainte de ├«nceperea activit─â╚Ťilor de prelucrare. Un astfel de risc ridicat este susceptibil s─â fie generat de anumite tipuri de prelucrare, precum ╚Öi de amploarea ╚Öi frecven╚Ťa prelucr─ârii, care pot duce ╚Öi la producerea unor prejudicii sau pot atinge drepturile ╚Öi libert─â╚Ťile persoanelor fizice. Autoritatea de supraveghere ar trebui s─â r─âspund─â cererii de consultare ├«ntr-un anumit termen. Cu toate acestea, lipsa unei reac╚Ťii din partea autorit─â╚Ťii de supraveghere ├«n termenul respectiv ar trebui s─â nu aduc─â atingere niciunei interven╚Ťii a autorit─â╚Ťii de supraveghere ├«n conformitate cu sarcinile ╚Öi competen╚Ťele sale prev─âzute ├«n prezentul regulament, inclusiv competen╚Ťa de a interzice opera╚Ťiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evalu─âri a impactului asupra protec╚Ťiei datelor efectuate cu privire la prelucrarea ├«n cauz─â poate fi transmis autorit─â╚Ťii de supraveghere, ├«n special m─âsurile avute ├«n vedere pentru a atenua riscul pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice.

(95) Persoana ├«mputernicit─â de operator ar trebui s─â acorde asisten╚Ť─â operatorului, dac─â este necesar ╚Öi la cerere, la asigurarea respect─ârii obliga╚Ťiilor care decurg din realizarea de evalu─âri ale impactului asupra protec╚Ťiei datelor ╚Öi din consultarea prealabil─â a autorit─â╚Ťii de supraveghere.

(96) ├Än timpul elabor─ârii unei m─âsuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter personal ar trebui, de asemenea, s─â aib─â loc o consultare a autorit─â╚Ťii de supraveghere, pentru a garanta conformitatea prelucr─ârii avute ├«n vedere cu prezentul regulament ╚Öi, ├«n special, pentru a atenua riscul la care este expus─â persoana vizat─â.

(97) ├Än cazul ├«n care prelucrarea este efectuat─â de o autoritate public─â, cu excep╚Ťia instan╚Ťelor sau a autorit─â╚Ťilor judiciare independente atunci c├ónd ac╚Ťioneaz─â ├«n calitatea lor judiciar─â, ├«n cazul ├«n care, ├«n sectorul privat, prelucrarea este efectuat─â de un operator a c─ârui activitate principal─â const─â ├«n opera╚Ťiuni de prelucrare care necesit─â o monitorizare regulat─â ╚Öi sistematic─â a persoanelor vizate pe scar─â larg─â, sau ├«n cazul ├«n care activitatea principal─â a operatorului sau a persoanei ├«mputernicite de operator const─â ├«n prelucrarea pe scar─â larg─â de categorii speciale de date cu caracter personal ╚Öi de date privind condamn─ârile penale ╚Öi infrac╚Ťiunile, o persoan─â care de╚Ťine cuno╚Ötin╚Ťe de specialitate ├«n materie de legisla╚Ťie ╚Öi practici privind protec╚Ťia datelor ar trebui s─â acorde asisten╚Ť─â operatorului sau persoanei ├«mputernicite de operator pentru monitorizarea conformit─â╚Ťii, la nivel intern, cu prezentul regulament. ├Än sectorul privat, activit─â╚Ťile principale ale unui operator se refer─â la activit─â╚Ťile sale de baz─â, ╚Öi nu la prelucrarea datelor cu caracter personal drept activit─â╚Ťi auxiliare. Nivelul necesar al cuno╚Ötin╚Ťelor de specialitate ar trebui s─â fie stabilit ├«n special ├«n func╚Ťie de opera╚Ťiunile de prelucrare a datelor efectuate ╚Öi de nivelul de protec╚Ťie impus pentru datele cu caracter personal prelucrate de operator sau de persoana ├«mputernicit─â de operator. Ace╚Öti responsabili cu protec╚Ťia datelor, indiferent dac─â sunt sau nu angaja╚Ťi ai operatorului, ar trebui s─â fie ├«n m─âsur─â s─â ├«╚Öi ├«ndeplineasc─â atribu╚Ťiile ╚Öi sarcinile ├«n mod independent.

(98) Asocia╚Ťiile sau alte organisme care reprezint─â categorii de operatori sau de persoane ├«mputernicite de operatori ar trebui ├«ncurajate s─â elaboreze coduri de conduit─â, ├«n limitele prezentului regulament, astfel ├«nc├ót s─â se faciliteze aplicarea efectiv─â a prezentului regulament, lu├óndu-se ├«n considerare caracteristicile specifice ale prelucr─ârii efectuate ├«n anumite sectoare ╚Öi necesit─â╚Ťile specifice ale micro├«ntreprinderilor ╚Öi ale ├«ntreprinderilor mici ╚Öi mijlocii. ├Än special, astfel de coduri de conduit─â ar putea s─â ajusteze obliga╚Ťiile operatorilor ╚Öi ale persoanelor ├«mputernicite de operatori, ╚Ťin├ónd seama de riscul aferent prelucr─ârii care este susceptibil de a fi generat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice.

(99) Atunci c├ónd elaboreaz─â un cod de conduit─â sau c├ónd modific─â sau extind un astfel de cod, asocia╚Ťiile ╚Öi alte organisme care reprezint─â categorii de operatori sau persoane ├«mputernicite de operatori ar trebui s─â consulte p─âr╚Ťile implicate relevante, inclusiv persoanele vizate, dac─â este fezabil, ╚Öi s─â ia ├«n considerare contribu╚Ťiile transmise ╚Öi opiniile exprimate ├«n cadrul unor astfel de consult─âri.

(100) Pentru a se ├«mbun─ât─â╚Ťi transparen╚Ťa ╚Öi conformitatea cu prezentul regulament, ar trebui s─â se ├«ncurajeze instituirea de mecanisme de certificare, precum ╚Öi de sigilii ╚Öi m─ârci ├«n materie de protec╚Ťie a datelor, care s─â permit─â persoanelor vizate s─â evalueze rapid nivelul de protec╚Ťie a datelor aferent produselor ╚Öi serviciilor relevante.

(101) Fluxurile de date cu caracter personal c─âtre ╚Öi dinspre ╚Ť─âri situate ├«n afara Uniunii ╚Öi organiza╚Ťii interna╚Ťionale sunt necesare pentru dezvoltarea comer╚Ťului interna╚Ťional ╚Öi a cooper─ârii interna╚Ťionale. Cre╚Öterea acestor fluxuri a generat noi provoc─âri ╚Öi preocup─âri cu privire la protec╚Ťia datelor cu caracter personal. Cu toate acestea, ├«n cazul ├«n care se transfer─â date cu caracter personal din Uniune c─âtre operatori, persoane ├«mputernicite de operatori sau al╚Ťi destinatari din ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale, nivelul de protec╚Ťie a persoanelor fizice asigurat ├«n Uniune prin prezentul regulament nu ar trebui s─â fie diminuat, inclusiv ├«n cazurile de transferuri ulterioare de date cu caracter personal dinspre ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â c─âtre operatori, persoane ├«mputernicite de operatori din aceea╚Öi sau dintr-o alt─â ╚Ťar─â ter╚Ť─â sau organiza╚Ťie interna╚Ťional─â. ├Än orice caz, transferurile c─âtre ╚Ť─âri ter╚Ťe ╚Öi organiza╚Ťii interna╚Ťionale pot fi desf─â╚Öurate numai ├«n conformitate deplin─â cu prezentul regulament. Un transfer ar putea avea loc numai dac─â, sub rezerva respect─ârii celorlalte dispozi╚Ťii ale prezentului regulament, operatorul sau persoana ├«mputernicit─â de operator ├«ndepline╚Öte condi╚Ťiile prev─âzute de dispozi╚Ťiile prezentului regulament privind transferul de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale.

(102) Prezentul regulament nu aduce atingere acordurilor interna╚Ťionale ├«ncheiate ├«ntre Uniune ╚Öi ╚Ť─âri ter╚Ťe ├«n vederea reglement─ârii transferului de date cu caracter personal, inclusiv garan╚Ťii adecvate pentru persoanele vizate. Statele membre pot ├«ncheia acorduri interna╚Ťionale care implic─â transferul de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale, ├«n m─âsura ├«n care astfel de acorduri nu afecteaz─â prezentul regulament ╚Öi nici alte dispozi╚Ťii din dreptul Uniunii ╚Öi includ un nivel corespunz─âtor de protec╚Ťie a drepturilor fundamentale ale persoanelor vizate.

(103) Comisia poate decide, cu efect ├«n ├«ntreaga Uniune, c─â o ╚Ťar─â ter╚Ť─â, un teritoriu sau un anumit sector dintr-o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â ofer─â un nivel adecvat de protec╚Ťie a datelor, asigur├ónd astfel securitate juridic─â ╚Öi uniformitate ├«n Uniune ├«n ceea ce prive╚Öte ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â care este considerat─â a furniza un astfel de nivel de protec╚Ťie. ├Än aceste cazuri, transferurile de date cu caracter personal c─âtre ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â respectiv─â pot avea loc f─âr─â a fi necesar s─â se ob╚Ťin─â autoriz─âri suplimentare. De asemenea, Comisia poate s─â decid─â, dup─â trimiterea unei notific─âri ╚Öi a unei justific─âri complete ╚Ť─ârii ter╚Ťe sau organiza╚Ťiei interna╚Ťionale, s─â anuleze o astfel de decizie.

(104) ├Än conformitate cu valorile fundamentale pe care se ├«ntemeiaz─â Uniunea, ├«n special protec╚Ťia drepturilor omului, Comisia ar trebui, ├«n evaluarea sa referitoare la ╚Ťara ter╚Ť─â sau la un teritoriu sau la un sector specificat dintr-o ╚Ťar─â ter╚Ť─â, s─â ia ├«n considerare modul ├«n care aceasta respect─â statul de drept, accesul la justi╚Ťie, precum ╚Öi normele ╚Öi standardele interna╚Ťionale ├«n materie de drepturi ale omului ╚Öi legisla╚Ťia sa general─â ╚Öi sectorial─â, inclusiv legisla╚Ťia privind securitatea public─â, ap─ârarea ╚Öi securitatea na╚Ťional─â, precum ╚Öi ordinea public─â ╚Öi dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protec╚Ťie pentru un teritoriu sau un sector specificat dintr-o ╚Ťar─â ter╚Ť─â ar trebui s─â ╚Ťin─â seama de criterii clare ╚Öi obiective, cum ar fi activit─â╚Ťile specifice de prelucrare ╚Öi domeniul de aplicare al standardelor legale aplicabile ╚Öi legisla╚Ťia ├«n vigoare ├«n ╚Ťara ter╚Ť─â respectiv─â. ╚Üara ter╚Ť─â ar trebui s─â ofere garan╚Ťii care s─â asigure un nivel adecvat de protec╚Ťie, echivalent ├«n esen╚Ť─â cu cel asigurat ├«n cadrul Uniunii, ├«n special atunci c├ónd datele cu caracter personal sunt prelucrate ├«n unul sau mai multe sectoare specifice. ├Än special, ╚Ťara ter╚Ť─â ar trebui s─â asigure o supraveghere efectiv─â independent─â ├«n materie de protec╚Ťie a datelor ╚Öi s─â prevad─â mecanisme de cooperare cu autorit─â╚Ťile statelor membre de protec╚Ťie a datelor, iar persoanele vizate ar trebui s─â beneficieze de drepturi efective ╚Öi opozabile ╚Öi de repara╚Ťii efective pe cale administrativ─â ╚Öi judiciar─â.

(105) Pe l├óng─â angajamentele interna╚Ťionale asumate de ╚Ťara ter╚Ť─â sau de organiza╚Ťia interna╚Ťional─â, Comisia ar trebui s─â ╚Ťin─â seama de obliga╚Ťiile care decurg din participarea ╚Ť─ârii ter╚Ťe sau a organiza╚Ťiei interna╚Ťionale la sistemele multilaterale sau regionale, ├«n special ├«n ceea ce prive╚Öte protec╚Ťia datelor cu caracter personal, precum ╚Öi de punerea ├«n aplicare a unor astfel de obliga╚Ťii. ├Än special, ar trebui s─â fie luat─â ├«n considerare aderarea ╚Ť─ârii ter╚Ťe la Conven╚Ťia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor fa╚Ť─â de prelucrarea automatizat─â a datelor cu caracter personal ╚Öi protocolul adi╚Ťional la aceasta. Comisia ar trebui s─â consulte comitetul atunci c├ónd evalueaz─â nivelul de protec╚Ťie din ╚Ť─ârile ter╚Ťe sau din organiza╚Ťiile interna╚Ťionale.

(106) Comisia ar trebui s─â monitorizeze func╚Ťionarea deciziilor privind nivelul de protec╚Ťie dintr-o ╚Ťar─â ter╚Ť─â sau un teritoriu sau un anumit sector dintr-o ╚Ťar─â ter╚Ť─â sau dintr-o organiza╚Ťie interna╚Ťional─â ╚Öi s─â monitorizeze func╚Ťionarea deciziilor adoptate ├«n temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. ├Än deciziile sale privind caracterul adecvat al nivelului de protec╚Ťie, Comisia ar trebui s─â prevad─â un mecanism de revizuire periodic─â a modului lor de func╚Ťionare. Aceast─â revizuire periodic─â ar trebui s─â fie efectuat─â ├«n consultare cu ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â ├«n cauz─â ╚Öi ar trebui s─â ia ├«n considerare toate evolu╚Ťiile relevante din ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â. ├Än scopul monitoriz─ârii ╚Öi al efectu─ârii revizuirilor periodice, Comisia ar trebui s─â ia ├«n considerare opiniile ╚Öi constat─ârile Parlamentului European ╚Öi ale Consiliului, precum ╚Öi ale altor organisme ╚Öi surse relevante. Comisia ar trebui s─â evalueze, ├«ntr-un termen rezonabil, func╚Ťionarea deciziilor din urm─â ╚Öi s─â raporteze toate constat─ârile relevante comitetului, ├«n sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European ╚Öi al Consiliului (12), dup─â cum s-a stabilit ├«n temeiul prezentului regulament, Parlamentului European ╚Öi Consiliului.

(107) Comisia poate s─â recunoasc─â faptul c─â o ╚Ťar─â ter╚Ť─â,un teritoriu sau un sector specificat dintr-o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â nu mai asigur─â un nivel adecvat de protec╚Ťie a datelor. ├Än consecin╚Ť─â, transferul de date cu caracter personal c─âtre ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â respectiv─â ar trebui s─â fie interzis, cu excep╚Ťia cazului ├«n care sunt ├«ndeplinite cerin╚Ťele prev─âzute ├«n prezentul regulament privind transferurile ├«n baza unor garan╚Ťii adecvate, inclusiv regulile corporatiste obligatorii ╚Öi derog─ârile de la situa╚Ťiile specifice. ├Än acest caz, ar trebui s─â se prevad─â dispozi╚Ťii pentru consult─âri ├«ntre Comisie ╚Öi astfel de ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale. Comisia ar trebui ca, ├«n timp util, s─â informeze ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â cu privire la aceste motive ╚Öi s─â ini╚Ťieze consult─âri cu aceasta pentru remedierea situa╚Ťiei.

(108) ├Än absen╚Ťa unei decizii privind caracterul adecvat al nivelului de protec╚Ťie, operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â adopte m─âsuri pentru a compensa lipsa protec╚Ťiei datelor ├«ntr-o ╚Ťar─â ter╚Ť─â prin intermediul unor garan╚Ťii adecvate pentru persoana vizat─â. Astfel de garan╚Ťii adecvate pot consta ├«n utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protec╚Ťie a datelor adoptate de Comisie, a clauzelor standard de protec╚Ťie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garan╚Ťii ar trebui s─â asigure respectarea cerin╚Ťelor ├«n materie de protec╚Ťie a datelor ╚Öi drepturi ale persoanelor vizate corespunz─âtoare prelucr─ârii ├«n interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate ╚Öi a unor c─âi de atac eficiente, printre care dreptul de acces la repara╚Ťii efective pe cale administrativ─â sau judiciar─â ╚Öi dreptul de a solicita desp─âgubiri, ├«n Uniune sau ├«ntr-o ╚Ťar─â ter╚Ť─â. Acestea ar trebui s─â se refere ├«n special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protec╚Ťiei datelor ├«ncep├ónd cu momentul conceperii ╚Öi principiul protec╚Ťiei implicite a datelor. Transferurile pot fi efectuate ╚Öi de c─âtre autorit─â╚Ťile sau organismele publice cu autorit─â╚Ťi sau organisme publice ├«n ╚Ť─âri ter╚Ťe sau cu organiza╚Ťii interna╚Ťionale cu atribu╚Ťii ╚Öi func╚Ťii corespunz─âtoare, inclusiv pe baza dispozi╚Ťiilor care prev─âd drepturi opozabile ╚Öi efective pentru persoanele vizate, care trebuie introduse ├«n acordurile administrative, cum ar fi un memorandum de ├«n╚Ťelegere. Autoriza╚Ťia din partea autorit─â╚Ťii de supraveghere competente ar trebui ob╚Ťinut─â atunci c├ónd garan╚Ťiile sunt oferite ├«n cadrul unor acorduri administrative f─âr─â caracter juridic obligatoriu.

(109) Posibilitatea ca operatorul sau persoana ├«mputernicit─â de operator s─â utilizeze clauze standard ├«n materie de protec╚Ťie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui s─â ├«mpiedice operatorii sau persoanele ├«mputernicite de ace╚Ötia s─â includ─â clauzele standard ├«n materie de protec╚Ťie a datelor ├«ntr-un contract mai amplu, precum un contract ├«ntre persoana ├«mputernicit─â de operator ╚Öi o alt─â persoan─â ├«mputernicit─â de operator, ╚Öi nici s─â adauge alte clauze sau garan╚Ťii suplimentare, at├ót timp c├ót acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciaz─â drepturile sau libert─â╚Ťile fundamentale ale persoanelor vizate. Operatorii ╚Öi persoanele ├«mputernicite de operatori ar trebui s─â fie ├«ncuraja╚Ťi s─â ofere garan╚Ťii suplimentare prin intermediul unor angajamente contractuale care s─â completeze clauzele standard ├«n materie de protec╚Ťie.

(110) Un grup de ├«ntreprinderi sau un grup de ├«ntreprinderi implicat ├«ntr-o activitate economic─â comun─â ar trebui s─â poat─â utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale interna╚Ťionale dinspre Uniune c─âtre organiza╚Ťii din cadrul aceluia╚Öi grup de ├«ntreprinderi sau grup de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â, cu condi╚Ťia ca astfel de reguli corporatiste s─â includ─â toate principiile esen╚Ťiale ╚Öi drepturile opozabile ├«n scopul asigur─ârii unor garan╚Ťii adecvate pentru transferurile sau categoriile de transferuri de date cu caracter personal.

(111) Ar trebui s─â se prevad─â posibilitatea de a se efectua transferuri ├«n anumite circumstan╚Ťe ├«n care persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul explicit, ├«n care transferul este ocazional ╚Öi necesar ├«n leg─âtur─â cu un contract sau cu o ac╚Ťiune ├«n justi╚Ťie, indiferent dac─â este ├«n contextul unei proceduri judiciare sau ├«n contextul unei proceduri administrative sau extrajudiciare, inclusiv ├«n cadrul procedurilor ├«naintate organismelor de reglementare. De asemenea, ar trebui s─â se prevad─â posibilitatea de a se efectua transferuri ├«n cazul ├«n care motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau ├«n cazul ├«n care transferul se efectueaz─â dintr-un registru instituit prin lege ╚Öi destinat s─â fie consultat de c─âtre public sau de c─âtre persoane care au un interes legitim. ├Än acest ultim caz, un astfel de transfer nu ar trebui s─â implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date con╚Ťinute ├«n registru, iar atunci c├ónd registrul este destinat s─â fie consultat de persoane care au un interes legitim, transferul ar trebui s─â fie efectuat doar la cererea persoanelor respective sau dac─â acestea sunt destinatarii, lu├ónd pe deplin ├«n considerare interesele ╚Öi drepturile fundamentale ale persoanei vizate.

(112) Aceste derog─âri ar trebui s─â se aplice, ├«n special, transferurilor de date solicitate ╚Öi necesare din considerente importante de interes public, de exemplu ├«n cazul schimbului interna╚Ťional de date ├«ntre autorit─â╚Ťile din domeniul concuren╚Ťei, administra╚Ťiile fiscale sau vamale, ├«ntre autorit─â╚Ťile de supraveghere financiar─â, ├«ntre serviciile competente ├«n materie de securitate social─â sau de s─ân─âtate public─â, de exemplu ├«n cazul depist─ârii punctelor de contact pentru bolile contagioase sau pentru reducerea ╚Öi/sau eliminarea dopajului ├«n sport. Un transfer de date cu caracter personal ar trebui, de asemenea, s─â fie considerat legal ├«n cazul ├«n care este necesar ├«n scopul protej─ârii unui interes care este esen╚Ťial ├«n interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizic─â sau pentru via╚Ťa acesteia, ├«n cazul ├«n care persona vizat─â nu are capacitatea s─â ├«╚Öi dea consim╚Ť─âm├óntul. ├Än absen╚Ťa unei decizii privind caracterul adecvat al nivelului de protec╚Ťie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, stabili ├«n mod expres limite asupra transferului unor categorii specifice de date c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â. Statele membre ar trebui s─â notifice Comisiei aceste dispozi╚Ťii. Orice transfer c─âtre o organiza╚Ťie umanitar─â interna╚Ťional─â al datelor cu caracter personal ale unei persoane vizate care se afl─â ├«n incapacitate fizic─â sau juridic─â de a ├«╚Öi da consim╚Ť─âm├óntul, ├«n vederea ├«ndeplinirii unei sarcini care decurge din Conven╚Ťiile de la Geneva sau ├«n vederea conform─ârii cu dreptul interna╚Ťional umanitar aplicabil ├«n conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru c─â este ├«n interesul vital al persoanei vizate.

(113) Transferurile care pot fi considerate ca nefiind repetitive ╚Öi care se refer─â doar la un num─âr limitat de persoane vizate, ar putea, de asemenea, s─â fie efectuate ├«n scopul realiz─ârii intereselor legitime urm─ârite de operator, atunci c├ónd asupra respectivelor interese nu prevaleaz─â interesele sau drepturile ╚Öi libert─â╚Ťile persoanei vizate ╚Öi atunci c├ónd operatorul a evaluat toate circumstan╚Ťele aferente transferului de date. Operatorul ar trebui s─â acorde o aten╚Ťie deosebit─â naturii datelor cu caracter personal, scopului ╚Öi duratei opera╚Ťiunii sau opera╚Ťiunilor propuse de prelucrare, precum ╚Öi situa╚Ťiei din ╚Ťara de origine, din ╚Ťara ter╚Ť─â ╚Öi din ╚Ťara de destina╚Ťie final─â ╚Öi ar trebui s─â ofere garan╚Ťii adecvate pentru protec╚Ťia drepturilor ╚Öi libert─â╚Ťilor fundamentale ale persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui s─â fie posibile numai ├«n cazurile reziduale ├«n care nu se poate aplica niciunul dintre celelalte motive de transfer. ├Än ceea ce prive╚Öte scopurile de cercetare ╚Ötiin╚Ťific─â sau istoric─â sau scopurile statistice, ar trebui s─â se ia ├«n considerare a╚Ötept─ârile legitime ale societ─â╚Ťii cu privire la cre╚Öterea nivelului de cuno╚Ötin╚Ťe. Operatorul ar trebui s─â informeze autoritatea de supraveghere ╚Öi persoana vizat─â cu privire la transfer.

(114) ├Än orice caz, atunci c├ónd Comisia nu a luat o decizie cu privire la nivelul adecvat de protec╚Ťie a datelor dintr-o ╚Ťar─â ter╚Ť─â, operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â utilizeze solu╚Ťii care s─â ofere persoanelor vizate drepturi opozabile ╚Öi efective ├«n ceea ce prive╚Öte prelucrarea datelor lor ├«n Uniune odat─â ce aceste date au fost transferate, astfel ├«nc├ót persoanele vizate s─â beneficieze ├«n continuare de drepturi fundamentale ╚Öi garan╚Ťii.

(115) Unele ╚Ť─âri ter╚Ťe au adoptat legi, reglement─âri ╚Öi alte acte juridice care au drept obiectiv s─â reglementeze ├«n mod direct activit─â╚Ťile de prelucrare a datelor ale persoanelor fizice ╚Öi juridice aflate sub jurisdic╚Ťia statelor membre. Aceasta poate include hot─âr├óri ale instan╚Ťelor judec─âtore╚Öti sau decizii ale autorit─â╚Ťilor administrative din ╚Ť─âri ter╚Ťe care solicit─â unui operator sau unei persoane ├«mputernicite de operator s─â transfere sau s─â divulge date cu caracter personal ╚Öi care nu se bazeaz─â pe un acord interna╚Ťional, cum ar fi un tratat de asisten╚Ť─â juridic─â reciproc─â, ├«n vigoare ├«ntre ╚Ťara ter╚Ť─â solicitant─â ╚Öi Uniune sau un stat membru. Aplicarea extrateritorial─â a acestor legi, reglement─âri ╚Öi alte acte juridice poate ├«nc─âlca dreptul interna╚Ťional ╚Öi poate ├«mpiedica asigurarea protec╚Ťiei persoanelor fizice asigurat─â ├«n Uniune prin prezentul regulament. Transferurile ar trebui s─â fie permise numai ├«n cazul ├«ndeplinirii condi╚Ťiilor prev─âzute de prezentul regulament pentru un transfer c─âtre ╚Ť─âri ter╚Ťe. Acesta ar putea fi cazul, inter alia, atunci c├ónd divulgarea este necesar─â dintr-un motiv important de interes public recunoscut ├«n dreptul Uniunii sau ├«n dreptul intern care se aplic─â operatorului.

(116) Fluxul transfrontalier de date cu caracter personal ├«n afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-╚Öi exercita drepturile ├«n materie de protec╚Ťie a datelor, ├«n special pentru a-╚Öi asigura protec╚Ťia ├«mpotriva utiliz─ârii sau a divulg─ârii ilegale a acestor informa╚Ťii. ├Än acela╚Öi timp, autorit─â╚Ťile de supraveghere pot constata c─â se afl─â ├«n imposibilitatea de a trata pl├óngeri sau de a efectua investiga╚Ťii referitoare la activit─â╚Ťile desf─â╚Öurate ├«n afara frontierelor lor. Eforturile acestora de a conlucra ├«n context transfrontalier pot fi, de asemenea, ├«ngreunate de insuficien╚Ťa competen╚Ťelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice ╚Öi de existen╚Ťa unor obstacole de ordin practic, cum ar fi constr├óngerile ├«n materie de resurse. Prin urmare, este necesar s─â se promoveze o cooperare mai str├óns─â ├«ntre autorit─â╚Ťile de supraveghere a protec╚Ťiei datelor pentru a putea face schimb de informa╚Ťii ╚Öi a desf─â╚Öura investiga╚Ťii ├«mpreun─â cu omologii lor interna╚Ťionali. ├Än scopul elabor─ârii de mecanisme de cooperare interna╚Ťional─â pentru a facilita ╚Öi a oferi asisten╚Ť─â interna╚Ťional─â reciproc─â ├«n asigurarea aplic─ârii legisla╚Ťiei din domeniul protec╚Ťiei datelor cu caracter personal, Comisia ╚Öi autorit─â╚Ťile de supraveghere ar trebui s─â fac─â schimb de informa╚Ťii ╚Öi s─â coopereze ├«n cadrul activit─â╚Ťilor legate de exercitarea competen╚Ťelor lor cu autorit─â╚Ťile competente din ╚Ť─âri ter╚Ťe, pe baz─â de reciprocitate ╚Öi ├«n conformitate cu prezentul regulament.

(117) Instituirea ├«n statele membre a unor autorit─â╚Ťi de supraveghere, ├«mputernicite s─â ├«╚Öi ├«ndeplineasc─â sarcinile ╚Öi s─â ├«╚Öi exercite competen╚Ťele ├«n deplin─â independen╚Ť─â, este un element esen╚Ťial al protec╚Ťiei persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor lor cu caracter personal. Statele membre ar trebui s─â poat─â institui mai multe autorit─â╚Ťi de supraveghere, pentru a reflecta structura lor constitu╚Ťional─â, organizatoric─â ╚Öi administrativ─â.

(118) Independen╚Ťa autorit─â╚Ťilor de supraveghere nu ar trebui s─â ├«nsemne c─â autorit─â╚Ťile de supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare ├«n ceea ce prive╚Öte cheltuielile acestora sau unui control jurisdic╚Ťional.

(119) ├Än cazul ├«n care un stat membru instituie mai multe autorit─â╚Ťi de supraveghere, acesta ar trebui s─â stabileasc─â prin lege mecanisme care s─â asigure participarea efectiv─â a autorit─â╚Ťilor de supraveghere respective la mecanismul pentru asigurarea coeren╚Ťei. Statul membru respectiv ar trebui, ├«n special, s─â desemneze autoritatea de supraveghere care ├«ndepline╚Öte func╚Ťia de punct unic de contact pentru participarea efectiv─â a acestor autorit─â╚Ťi la mecanism, ├«n scopul asigur─ârii unei cooper─âri rapide ╚Öi armonioase cu alte autorit─â╚Ťi de supraveghere, cu comitetul ╚Öi cu Comisia.

(120) Fiecare autoritate de supraveghere ar trebui s─â beneficieze de resurse financiare ╚Öi umane, de spa╚Ťiile ╚Öi de infrastructura necesare pentru ├«ndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asisten╚Ťa reciproc─â ╚Öi cooperarea cu alte autorit─â╚Ťi de supraveghere ├«n ├«ntreaga Uniune. Fiecare autoritate de supraveghere ar trebui s─â aib─â un buget public anual separat, care poate face parte din bugetul general de stat sau na╚Ťional.

(121) Condi╚Ťiile generale pentru membrul sau membrii autorit─â╚Ťii de supraveghere ar trebui stabilite de lege ├«n fiecare stat membru ╚Öi ar trebui, ├«n special, s─â prevad─â c─â respectivii membri sunt numi╚Ťi printr-o procedur─â transparent─â fie de parlamentul, de guvernul ori ╚Öeful de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de c─âtre un organism independent ├«mputernicit prin dreptul intern. ├Än vederea asigur─ârii independen╚Ťei autorit─â╚Ťii de supraveghere, membrul sau membrii acesteia ar trebui s─â ac╚Ťioneze cu integritate, s─â nu ├«ntreprind─â ac╚Ťiuni incompatibile cu ├«ndatoririle lor, iar, pe durata mandatului, ar trebui s─â nu desf─â╚Öoare activit─â╚Ťi incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui s─â aib─â personal propriu, ales de autoritatea de supraveghere sau de un organism independent ├«nfiin╚Ťat ├«n temeiul dreptului intern, care ar trebui s─â fie subordonat exclusiv membrului sau membrilor autorit─â╚Ťii de supraveghere.

(122) Fiecare autoritate de supraveghere ar trebui s─â aib─â, pe teritoriul statului membru de care apar╚Ťine, atribu╚Ťia de a exercita competen╚Ťele ╚Öi de a ├«ndeplini sarcinile cu care este ├«nvestit─â ├«n conformitate cu prezentul regulament. Aceasta ar trebui s─â includ─â ├«n special prelucrarea ├«n contextul activit─â╚Ťilor unui sediu al operatorului sau al persoanei ├«mputernicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuat─â de autorit─â╚Ťile publice sau de organisme private care ac╚Ťioneaz─â ├«n interes public, prelucrarea care afecteaz─â persoanele vizate de pe teritoriul s─âu sau prelucrarea efectuat─â de c─âtre un operator sau o persoan─â ├«mputernicit─â de operator care nu ├«╚Öi are sediul ├«n Uniune ├«n cazul ├«n care aceasta prive╚Öte persoane vizate care ├«╚Öi au re╚Öedin╚Ťa pe teritoriul s─âu. Aceasta ar trebui s─â includ─â tratarea pl├óngerilor depuse de o persoan─â vizat─â, efectuarea de investiga╚Ťii privind aplicarea prezentului regulament ╚Öi promovarea inform─ârii publicului cu privire la riscurile, normele, garan╚Ťiile ╚Öi drepturile ├«n materie de prelucrare a datelor cu caracter personal.

(123) Autorit─â╚Ťile de supraveghere ar trebui s─â monitorizeze aplicarea dispozi╚Ťiilor prev─âzute de prezentul regulament ╚Öi s─â contribuie la aplicarea coerent─â a acestuia ├«n ├«ntreaga Uniune, ├«n scopul asigur─ârii protec╚Ťiei persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor lor cu caracter personal ╚Öi al facilit─ârii liberei circula╚Ťii a datelor cu caracter personal ├«n interiorul pie╚Ťei interne. ├Än acest sens, autorit─â╚Ťile de supraveghere ar trebui s─â coopereze reciproc, precum ╚Öi cu Comisia, f─âr─â s─â fie necesar niciun acord ├«ntre statele membre cu privire la acordarea de asisten╚Ť─â reciproc─â sau cu privire la respectiva cooperare.

(124) ├Än cazul ├«n care prelucrarea datelor cu caracter personal se desf─â╚Öoar─â ├«n cadrul activit─â╚Ťilor unui sediu al unui operator sau al unei persoane ├«mputernicite de operator din Uniune, iar operatorul sau persoana ├«mputernicit─â de operator are sedii ├«n mai multe state membre, sau ├«n cazul ├«n care prelucrarea care se desf─â╚Öoar─â ├«n contextul activit─â╚Ťilor unui singur sediu al unui operator sau al unei persoane ├«mputernicite de operator din Uniune afecteaz─â sau este susceptibil─â s─â afecteze semnificativ persoane vizate din mai multe state membre, autoritatea de supraveghere a sediului principal al operatorului sau al persoanei ├«mputernicite de operator ori a sediului unic al operatorului sau al persoanei ├«mputernicite de operator ar trebui s─â ac╚Ťioneze ├«n calitate de autoritate principal─â. Aceasta ar trebui s─â coopereze cu celelalte autorit─â╚Ťi vizate, pentru c─â operatorul sau persoana ├«mputernicit─â de operator are un sediu pe teritoriul statului lor membru, pentru c─â persoanele vizate care ├«╚Öi au re╚Öedin╚Ťa pe teritoriul lor sunt afectate ├«n mod semnificativ sau pentru c─â le-a fost ├«naintat─â o pl├óngere. De asemenea, ├«n cazul ├«n care o persoan─â vizat─â care nu ├«╚Öi are re╚Öedin╚Ťa ├«n statul membru respectiv a depus o pl├óngere, autoritatea de supraveghere la care a fost depus─â pl├óngerea ar trebui, de asemenea, s─â fie o autoritate de supraveghere vizat─â. ├Än cadrul sarcinilor sale de a emite orient─âri cu privire la orice chestiune referitoare la punerea ├«n aplicare a prezentului regulament, comitetul ar trebui s─â poat─â emite orient─âri privind, ├«n special, criteriile care trebuie luate ├«n considerare pentru a se stabili dac─â prelucrarea ├«n cauz─â afecteaz─â ├«n mod semnificativ persoane vizate din mai multe state membre ╚Öi privind con╚Ťinutul unei obiec╚Ťii relevante ╚Öi motivate.

(125) Autoritatea principal─â ar trebui s─â aib─â competen╚Ťa de a adopta decizii obligatorii privind m─âsurile de aplicare a competen╚Ťelor care ├«i sunt conferite ├«n conformitate cu prezentul regulament. ├Än calitatea sa de autoritate principal─â, autoritatea de supraveghere ar trebui s─â implice ├«ndeaproape ╚Öi s─â coordoneze activit─â╚Ťile autorit─â╚Ťilor de supraveghere vizate ├«n procesul decizional. ├Än cazurile ├«n care decizia este de respingere par╚Ťial─â sau total─â a pl├óngerii din partea persoanei vizate, o asemenea decizie ar trebui adoptat─â de c─âtre autoritatea de supraveghere la care s-a depus pl├óngerea.

(126) Decizia ar trebui convenit─â ├«n comun de autoritatea de supraveghere principal─â ╚Öi de autorit─â╚Ťile de supraveghere vizate ╚Öi ar trebui s─â vizeze sediul principal sau sediul unic al operatorului sau al persoanei ├«mputernicite de operator ╚Öi s─â fie obligatorie pentru operator ╚Öi pentru persoana ├«mputernicit─â de operator. Operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â ia m─âsurile necesare pentru a asigura conformitatea cu prezentul regulament ╚Öi punerea ├«n aplicare a deciziei notificate de autoritatea de supraveghere principal─â sediului principal al operatorului sau al persoanei ├«mputernicite de operator ├«n ceea ce prive╚Öte activit─â╚Ťile de prelucrare ├«n Uniune.

(127) Fiecare autoritate de supraveghere care nu ac╚Ťioneaz─â ca autoritate de supraveghere principal─â ar trebui s─â aib─â competen╚Ťa de a trata cazuri locale, ├«n care operatorul sau persoana ├«mputernicit─â de operator are sedii ├«n mai multe state membre, dar obiectul respectivei prelucr─âri prive╚Öte doar prelucrarea efectuat─â ├«ntr-un singur stat membru ╚Öi implic├ónd doar persoane vizate din acel unic stat membru, de exemplu ├«n cazul ├«n care obiectul ├«l constituie prelucrarea datelor cu caracter personal ale angaja╚Ťilor ├«n contextul specific legat de for╚Ťa de munc─â dintr-un stat membru. ├Än astfel de cazuri, autoritatea de supraveghere ar trebui s─â informeze f─âr─â ├«nt├órziere autoritatea de supraveghere principal─â cu privire la aceast─â chestiune. Dup─â ce a fost informat─â, autoritatea de supraveghere principal─â ar trebui s─â decid─â dac─â va trata ea ├«ns─â╚Öi cazul ├«n temeiul dispozi╚Ťiei privind cooperarea ├«ntre autoritatea de supraveghere principal─â ╚Öi alte autorit─â╚Ťi de supraveghere vizate (ÔÇ×mecanismul ghi╚Öeului unicÔÇŁ), sau dac─â autoritatea de supraveghere care a informat-o ar trebui s─â se ocupe de caz la nivel local. Atunci c├ónd decide dac─â va trata cazul, autoritatea de supraveghere principal─â ar trebui s─â ia ├«n considerare dac─â exist─â un sediu al operatorului sau al persoanei ├«mputernicite de operator ├«n statul membru al autorit─â╚Ťii de supraveghere care a informat-o, ├«n vederea garant─ârii respect─ârii efective a unei decizii ├«n ceea ce prive╚Öte operatorul sau persoana ├«mputernicit─â de operator. ├Än cazul ├«n care autoritatea de supraveghere principal─â decide s─â trateze cazul, autoritatea de supraveghere care a informat-o ar trebui s─â beneficieze de posibilitatea de a prezenta un proiect de decizie, de care autoritatea de supraveghere principal─â ar trebui s─â ╚Ťin─â seama ├«n cea mai mare m─âsur─â atunci c├ónd preg─âte╚Öte proiectul s─âu de decizie ├«n cadrul respectivului mecanism al ghi╚Öeului unic.

(128) Normele privind autoritatea de supraveghere principal─â ╚Öi mecanismul ghi╚Öeului unic nu ar trebui s─â se aplice ├«n cazul ├«n care prelucrarea este efectuat─â de autorit─â╚Ťi publice sau organisme private ├«n interes public. ├Än asemenea cazuri, singura autoritate de supraveghere competent─â s─â ├«╚Öi exercite competen╚Ťele care i-au fost atribuite ├«n conformitate cu prezentul regulament ar trebui s─â fie autoritatea de supraveghere a statului membru ├«n care autoritatea public─â sau organismul privat ├«╚Öi are sediul.

(129) Pentru a se asigura consecven╚Ťa monitoriz─ârii ╚Öi a aplic─ârii prezentului regulament ├«n ├«ntreaga Uniune, autorit─â╚Ťile de supraveghere ar trebui s─â aib─â ├«n fiecare stat membru acelea╚Öi sarcini ╚Öi competen╚Ťe efective, inclusiv competen╚Ťe de investigare, competen╚Ťe corective ╚Öi sanc╚Ťiuni, precum ╚Öi competen╚Ťe de autorizare ╚Öi de consiliere, ├«n special ├«n cazul pl├óngerilor depuse de persoane fizice, precum ╚Öi, f─âr─â a aduce atingere competen╚Ťelor autorit─â╚Ťilor de urm─ârire penal─â ├«n temeiul dreptului intern, de a aduce ├«n aten╚Ťia autorit─â╚Ťilor judiciare cazurile de ├«nc─âlcare a prezentului regulament ╚Öi de a se implica ├«n proceduri judiciare. Aceste competen╚Ťe ar trebui s─â includ─â ╚Öi competen╚Ťa de a impune o limitare temporar─â sau definitiv─â, inclusiv o interdic╚Ťie, asupra prelucr─ârii. Statele membre pot stabili alte sarcini legate de protec╚Ťia datelor cu caracter personal ├«n temeiul prezentului regulament. Competen╚Ťele autorit─â╚Ťilor de supraveghere ar trebui exercitate ├«n conformitate cu garan╚Ťii procedurale adecvate prev─âzute ├«n dreptul Uniunii ╚Öi ├«n dreptul intern, ├«n mod impar╚Ťial, echitabil ╚Öi ├«ntr-un termen rezonabil. ├Än special, fiecare m─âsur─â ar trebui s─â fie adecvat─â, necesar─â ╚Öi propor╚Ťional─â ├«n scopul de a asigura conformitatea cu dispozi╚Ťiile prezentului regulament, lu├ónd ├«n considerare circumstan╚Ťele fiec─ârui caz ├«n parte, s─â respecte dreptul oric─ârei persoane de a fi ascultat─â ├«nainte de luarea oric─ârei m─âsuri individuale care ar putea s─â ├«i aduc─â atingere ╚Öi s─â evite costurile inutile ╚Öi inconvenientele excesive pentru persoanele ├«n cauz─â. Competen╚Ťele de investigare ├«n ceea ce prive╚Öte accesul ├«n incinte ar trebui exercitate ├«n conformitate cu cerin╚Ťele specifice din dreptul procedural na╚Ťional, cum ar fi obliga╚Ťia de a ob╚Ťine ├«n prealabil o autorizare judiciar─â. Fiecare m─âsur─â obligatorie din punct de vedere juridic luat─â de autoritatea de supraveghere ar trebui s─â fie prezentat─â ├«n scris, s─â fie clar─â ╚Öi lipsit─â de ambiguitate, s─â indice autoritatea de supraveghere care a emis m─âsura, data emiterii m─âsurii, s─â poarte semn─âtura ╚Öefului sau a unui membru al autorit─â╚Ťii de supraveghere autorizat de acesta, s─â furnizeze motivele pentru care s-a luat m─âsura ╚Öi s─â fac─â trimitere la dreptul la o cale de atac eficient─â. Acest lucru nu ar trebui s─â exclud─â cerin╚Ťe suplimentare ├«n conformitate cu dreptul procedural na╚Ťional. Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implic─â faptul c─â se poate da na╚Ötere unui control jurisdic╚Ťional ├«n statul membru al autorit─â╚Ťii de supraveghere care a adoptat decizia.

(130) ├Än cazul ├«n care autoritatea de supraveghere la care s-a depus pl├óngerea nu este autoritatea de supraveghere principal─â, autoritatea de supraveghere principal─â ar trebui s─â coopereze ├«ndeaproape cu autoritatea de supraveghere la care s-a depus pl├óngerea, ├«n conformitate cu dispozi╚Ťiile privind cooperarea ╚Öi consecven╚Ťa prev─âzute ├«n prezentul regulament. ├Än astfel de cazuri, autoritatea de supraveghere principal─â ar trebui, atunci c├ónd ia m─âsuri destinate s─â produc─â efecte juridice, inclusiv impunerea de amenzi administrative, s─â ╚Ťin─â seama c├ót mai mult posibil de opinia autorit─â╚Ťii de supraveghere la care a fost depus─â pl├óngerea ╚Öi care ar trebui s─â ├«╚Öi men╚Ťin─â competen╚Ťa de a desf─â╚Öura orice investiga╚Ťie pe teritoriul propriului stat membru, ├«n colaborare cu autoritatea de supraveghere principal─â.

(131) ├Än cazurile ├«n care o alt─â autoritate de supraveghere ar trebui s─â ac╚Ťioneze ├«n calitate de autoritate de supraveghere principal─â pentru activit─â╚Ťile de prelucrare ale operatorului sau ale persoanei ├«mputernicite de operator, dar obiectul concret al unei pl├óngeri sau posibila ├«nc─âlcare vizeaz─â numai activit─â╚Ťile de prelucrare ale operatorului sau ale persoanei ├«mputernicite de operator ├«n statul membru ├«n care a fost depus─â pl├óngerea sau a fost depistat─â posibila ├«nc─âlcare, iar chestiunea nu afecteaz─â ├«n mod substan╚Ťial sau nu este susceptibil─â s─â afecteze ├«n mod substan╚Ťial persoane vizate din alte state membre, autoritatea de supraveghere care a primit o pl├óngere sau a depistat ori a fost informat─â ├«n alt mod asupra unor situa╚Ťii de posibile ├«nc─âlc─âri ale prezentului regulament ar trebui s─â ├«ncerce o solu╚Ťionare pe cale amiabil─â cu operatorul ╚Öi, ├«n cazul ├«n care aceasta e╚Öueaz─â, s─â ├«╚Öi exercite plenitudinea competen╚Ťelor. Aceasta ar trebui s─â includ─â activit─â╚Ťi specifice de prelucrare efectuate pe teritoriul statului membru al autorit─â╚Ťii de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui stat membru, activit─â╚Ťi de prelucrare care au loc ├«n contextul unei oferte de bunuri sau servicii destinate ├«n mod special persoanelor vizate pe teritoriul statului membru al autorit─â╚Ťii de supraveghere sau activit─â╚Ťi de prelucrare care trebuie evaluate ╚Ťin├ónd seama de obliga╚Ťiile juridice relevante ├«n temeiul dreptului intern.

(132) Activit─â╚Ťile de cre╚Ötere a gradului de con╚Ötientizare organizate pentru public de autorit─â╚Ťile de supraveghere ar trebui s─â includ─â m─âsuri specifice care s─â vizeze operatorii ╚Öi persoanele ├«mputernicite de operatori, inclusiv micro├«ntreprinderile ╚Öi ├«ntreprinderile mici ╚Öi mijlocii, precum ╚Öi persoanele fizice, ├«n special ├«n context educa╚Ťional.

(133) Autorit─â╚Ťile de supraveghere ar trebui s─â ├«╚Öi acorde reciproc asisten╚Ť─â ├«n ├«ndeplinirea sarcinilor care le revin, pentru a se asigura coeren╚Ťa aplic─ârii prezentului regulament pe pia╚Ťa intern─â. O autoritate de supraveghere care solicit─â asisten╚Ť─â reciproc─â poate adopta o m─âsur─â provizorie ├«n cazul ├«n care nu prime╚Öte un r─âspuns la o solicitare de asisten╚Ť─â reciproc─â ├«n termen de o lun─â de la primirea solicit─ârii de c─âtre cealalt─â autoritate de supraveghere.

(134) Fiecare autoritate de supraveghere ar trebui s─â participe, dup─â caz, la opera╚Ťiuni comune ├«ntre autorit─â╚Ťile de supraveghere. Autoritatea de supraveghere c─âreia i s-a adresat solicitarea ar trebui s─â aib─â obliga╚Ťia de a r─âspunde cererii ├«ntr-un anumit termen.

(135) Pentru a se asigura aplicarea coerent─â a prezentului regulament ├«n ├«ntreaga Uniune, ar trebui s─â se instituie un mecanism pentru asigurarea coeren╚Ťei ├«n cadrul c─âruia autorit─â╚Ťile de supraveghere s─â coopereze. Acest mecanism ar trebui s─â se aplice, ├«n special, ├«n cazul ├«n care o autoritate de supraveghere inten╚Ťioneaz─â s─â adopte o m─âsur─â prev─âzut─â a produce efecte juridice ├«n ceea ce prive╚Öte opera╚Ťiunile de prelucrare care afecteaz─â ├«n mod substan╚Ťial un num─âr semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui s─â se aplice, de asemenea, ├«n cazul ├«n care o autoritate de supraveghere vizat─â sau Comisia solicit─â ca aspectul respectiv s─â fie tratat ├«n cadrul mecanismului pentru asigurarea coeren╚Ťei. Acest mecanism nu ar trebui s─â aduc─â atingere m─âsurilor pe care Comisia le poate adopta ├«n exercitarea competen╚Ťelor care ├«i revin ├«n temeiul tratatelor.

(136) ├Än aplicarea mecanismului pentru asigurarea coeren╚Ťei, comitetul ar trebui, ├«ntr-un anumit termen, s─â emit─â un aviz ├«n cazul ├«n care o majoritate a membrilor s─âi decide astfel sau ├«n cazul ├«n care orice autoritate de supraveghere vizat─â sau Comisia solicit─â acest lucru. Comitetul ar trebui, de asemenea, s─â fie ├«mputernicit s─â adopte decizii obligatorii din punct de vedere juridic ├«n cazul unor litigii ├«ntre autorit─â╚Ťile de supraveghere. ├Än acest scop, acesta ar trebui s─â emit─â, ├«n principiu cu o majoritate de dou─â treimi din membrii s─âi, decizii obligatorii din punct de vedere juridic, ├«n cazuri bine definite, ├«n cazul ├«n care exist─â opinii divergente ├«ntre autorit─â╚Ťile de supraveghere, ├«n special ├«n cadrul mecanismului de cooperare ├«ntre autoritatea de supraveghere principal─â ╚Öi autorit─â╚Ťile de supraveghere vizate privind fondul cauzei, ├«n special existen╚Ťa sau nu a unei ├«nc─âlc─âri a prezentului regulament.

(137) Este posibil s─â existe o necesitate urgent─â de a se ac╚Ťiona pentru asigurarea protec╚Ťiei drepturilor ╚Öi libert─â╚Ťilor persoanelor vizate, ├«n special ├«n cazul ├«n care exist─â pericolul ca exercitarea unui drept al unei persoane vizate s─â fie ├«mpiedicat─â ├«n mod considerabil. Prin urmare, o autoritate de supraveghere ar trebui s─â poat─â adopta m─âsuri provizorii pe teritoriul s─âu, justificate ├«n mod corespunz─âtor, av├ónd o perioad─â de valabilitate determinat─â care nu ar trebui s─â dep─â╚Öeasc─â trei luni.

(138) Aplicarea unui astfel de mecanism ar trebui s─â constituie o condi╚Ťie pentru legalitatea unei m─âsuri destinate s─â produc─â efecte juridice, luate de o autoritate de supraveghere, ├«n cazurile ├«n care aplicarea acesteia este obligatorie. ├Än alte cazuri cu relevan╚Ť─â transfrontalier─â, ar trebui pus ├«n aplicare mecanismul de cooperare ├«ntre autoritatea de supraveghere principal─â ╚Öi autorit─â╚Ťile de supraveghere vizate, iar ├«ntre autorit─â╚Ťile de supraveghere vizate s-ar putea acorda asisten╚Ť─â reciproc─â ╚Öi s-ar putea desf─â╚Öura opera╚Ťiuni comune pe baz─â bilateral─â sau multilateral─â, f─âr─â declan╚Öarea mecanismului pentru asigurarea coeren╚Ťei.

(139) Cu scopul de a promova aplicarea coerent─â a prezentului regulament, comitetul ar trebui instituit ca organ independent al Uniunii. Pentru a-╚Öi ├«ndeplini obiectivele, comitetul ar trebui s─â aib─â personalitate juridic─â. Comitetul ar trebui s─â fie reprezentat de pre╚Öedintele s─âu. Acesta ar trebui s─â ├«nlocuiasc─â Grupul de lucru pentru protec╚Ťia persoanelor ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui s─â fie alc─âtuit din ╚Öefii autorit─â╚Ťilor de supraveghere din fiecare stat membru ╚Öi din Autoritatea European─â pentru Protec╚Ťia Datelor sau reprezentan╚Ťii acestora. Comisia ar trebui s─â participe la activit─â╚Ťile comitetului f─âr─â a avea drept de vot, iar Autoritatea European─â pentru Protec╚Ťia Datelor ar trebui s─â aib─â drepturi de vot speciale. Comitetul ar trebui s─â contribuie la aplicarea coerent─â a prezentului regulament ├«n ├«ntreaga Uniune, inclusiv prin oferirea de consiliere Comisiei, ├«n special cu privire la nivelul de protec╚Ťie ├«n ╚Ť─ârile ter╚Ťe ╚Öi ├«n cadrul organiza╚Ťiilor interna╚Ťionale, ╚Öi prin promovarea cooper─ârii autorit─â╚Ťilor de supraveghere ├«n ├«ntreaga Uniune. Comitetul ar trebui s─â ac╚Ťioneze ├«n mod independent ├«n ├«ndeplinirea sarcinilor sale.

(140) Comitetul ar trebui s─â fie asistat de un secretariat asigurat de Autoritatea European─â pentru Protec╚Ťia Datelor. Personalul Autorit─â╚Ťii Europene pentru Protec╚Ťia Datelor implicat ├«n ├«ndeplinirea sarcinilor conferite comitetului ├«n temeiul prezentului regulament ar trebui s─â ├«╚Öi ├«ndeplineasc─â sarcinile exclusiv conform instruc╚Ťiunilor pre╚Öedintelui comitetului ╚Öi s─â raporteze acestuia.

(141) Orice persoan─â vizat─â ar trebui s─â aib─â dreptul de a depune o pl├óngere la o singur─â autoritate de supraveghere, ├«n special ├«n statul membru ├«n care ├«╚Öi are re╚Öedin╚Ťa obi╚Önuit─â, precum ╚Öi dreptul la o cale de atac eficient─â ├«n conformitate cu articolul 47 din cart─â, ├«n cazul ├«n care persoana vizat─â consider─â c─â drepturile sale ├«n temeiul prezentului regulament sunt ├«nc─âlcate sau ├«n cazul ├«n care autoritatea de supraveghere nu reac╚Ťioneaz─â la o pl├óngere, respinge sau refuz─â par╚Ťial sau total o pl├óngere sau nu ac╚Ťioneaz─â atunci c├ónd o astfel de ac╚Ťiune este necesar─â pentru asigurarea protec╚Ťiei drepturilor persoanei vizate. Investiga╚Ťia ├«n urma unei pl├óngeri ar trebui s─â fie efectuat─â, sub control judiciar, ├«n m─âsura ├«n care este necesar, ├«n func╚Ťie de caz. Autoritatea de supraveghere ar trebui s─â informeze persoana vizat─â cu privire la evolu╚Ťia ╚Öi solu╚Ťionarea pl├óngerii ├«ntr-un termen rezonabil. ├Än eventualitatea ├«n care cazul necesit─â o investigare suplimentar─â sau coordonarea cu o alt─â autoritate de supraveghere, ar trebui s─â se furnizeze informa╚Ťii intermediare persoanei vizate. ├Än vederea facilit─ârii depunerii pl├óngerilor, fiecare autoritate de supraveghere ar trebui s─â ia m─âsuri precum punerea la dispozi╚Ťie a unui formular de depunere a pl├óngerii, care s─â poat─â fi completat inclusiv ├«n format electronic, f─âr─â a exclude alte mijloace de comunicare.

(142) ├Än cazul ├«n care persoana vizat─â consider─â c─â drepturile sale ├«n temeiul prezentului regulament sunt ├«nc─âlcate, aceasta ar trebui s─â aib─â dreptul de a mandata un organism, o organiza╚Ťie sau o asocia╚Ťie f─âr─â scop lucrativ care este ├«nfiin╚Ťat(─â) ├«n conformitate cu dreptul intern, ale c─ârui (c─ârei) obiective statutare sunt ├«n interesul public ╚Öi care ├«╚Öi desf─â╚Öoar─â activitatea ├«n domeniul asigur─ârii protec╚Ťiei datelor cu caracter personal, s─â depun─â o pl├óngere ├«n numele s─âu la o autoritate de supraveghere, s─â exercite dreptul la o cale de atac ├«n numele persoanelor vizate sau, ├«n cazul ├«n care se prevede ├«n dreptul intern, s─â exercite dreptul de a primi desp─âgubiri ├«n numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organiza╚Ťie sau asocia╚Ťie s─â aib─â dreptul de a depune o pl├óngere ├«n statul membru respectiv, independent de mandatul acordat de o persoan─â vizat─â, ╚Öi s─â aib─â dreptul la o cale de atac eficient─â ├«n cazul ├«n care are motive s─â considere c─â drepturile unei persoane vizate au fost ├«nc─âlcate ca rezultat al unei prelucr─âri a datelor cu caracter personal care ├«ncalc─â prezentul regulament. Organismul, organiza╚Ťia sau asocia╚Ťia ├«n cauza nu poate pretinde desp─âgubiri ├«n numele unei persoane vizate, independent de mandatul acordat de persoana vizat─â.

(143) Orice persoan─â fizic─â sau juridic─â are dreptul de a introduce o ac╚Ťiune ├«n anulare ├«mpotriva deciziilor comitetului ├«n fa╚Ťa Cur╚Ťii de Justi╚Ťie, ├«n conformitate cu condi╚Ťiile prev─âzute la articolul 263 din TFUE. ├Än calitate de destinatare ale acestor decizii, autorit─â╚Ťile de supraveghere vizate care doresc s─â le conteste trebuie s─â introduc─â o ac╚Ťiune ├«mpotriva deciziilor respective ├«n termen de dou─â luni de la data la care le-au fost notificate, ├«n conformitate cu articolul 263 din TFUE. ├Än cazul ├«n care deciziile comitetului vizeaz─â ├«n mod direct ╚Öi individual un operator, o persoan─â ├«mputernicit─â de operator sau reclamantul, ace╚Ötia din urm─â pot introduce o ac╚Ťiune ├«n anularea respectivelor decizii ├«n termen de dou─â luni de la publicarea acestora pe site-ul comitetului, ├«n conformitate cu articolul 263 din TFUE. F─âr─â a aduce atingere acestui drept ├«n temeiul articolului 263 din TFUE, orice persoan─â fizic─â sau juridic─â ar trebui s─â aib─â dreptul la o cale de atac judiciar─â eficient─â ├«n fa╚Ťa instan╚Ťei na╚Ťionale competente ├«mpotriva unei decizii a unei autorit─â╚Ťi de supraveghere care produce efecte juridice privind respectiva persoan─â. O astfel de decizie se refer─â ├«n special la exercitarea competen╚Ťelor de investigare, corective ╚Öi de autorizare de c─âtre autoritatea de supraveghere sau la refuzul sau respingerea pl├óngerilor. Cu toate acestea, dreptul la o cale de atac judiciar─â eficient─â nu include m─âsuri ale autorit─â╚Ťilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizat─â de aceasta. Ac╚Ťiunile ├«mpotriva unei autorit─â╚Ťi de supraveghere ar trebui s─â fie aduse ├«n fa╚Ťa instan╚Ťelor statului membru ├«n care este stabilit─â autoritatea de supraveghere ╚Öi ar trebui s─â se desf─â╚Öoare ├«n conformitate cu dreptul procesual al statului membru respectiv. Respectivele instan╚Ťe ar trebui s─â ├«╚Öi exercite competen╚Ťa judiciar─â deplin─â, care ar trebui s─â includ─â competen╚Ťa de a examina toate aspectele de fapt sau de drept care au relevan╚Ť─â pentru litigiul cu care acestea sunt sesizate.

├Än cazul ├«n care o pl├óngere a fost respins─â sau refuzat─â de o autoritate de supraveghere, reclamantul poate introduce o ac╚Ťiune la instan╚Ťele din acela╚Öi stat membru. ├Än contextul c─âilor de atac judiciare privind aplicarea prezentului regulament, instan╚Ťele na╚Ťionale care consider─â necesar─â o decizie privind chestiunea respectiv─â pentru a le permite s─â ia o hot─âr├óre pot sau, ├«n cazul prev─âzut la articolul 267 din TFUE, trebuie s─â solicite Cur╚Ťii de Justi╚Ťie s─â pronun╚Ťe o decizie preliminar─â privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. ├Än plus, ├«n cazul ├«n care o decizie a unei autorit─â╚Ťi de supraveghere care pune ├«n aplicare o decizie a comitetului este contestat─â ├«n fa╚Ťa unei instan╚Ťe na╚Ťionale ╚Öi este ├«n discu╚Ťie validitatea deciziei comitetului, respectiva instan╚Ť─â na╚Ťional─â nu are competen╚Ťa de a declara nul─â decizia comitetului, ci trebuie s─â aduc─â chestiunea validit─â╚Ťii ├«n fa╚Ťa Cur╚Ťii de Justi╚Ťie, ├«n conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea de Justi╚Ťie, ori de c├óte ori instan╚Ťa na╚Ťional─â consider─â decizia nul─â. Cu toate acestea, o instan╚Ť─â na╚Ťional─â nu poate s─â transmit─â o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane fizice sau juridice care a avut posibilitatea de a introduce o ac╚Ťiune ├«n anulare ├«mpotriva respectivei decizii, ├«n special dac─â aceasta era vizat─â ├«n mod direct ╚Öi individual de decizia ├«n cauz─â, dar nu a f─âcut acest lucru ├«n termenul prev─âzut la articolul 263 din TFUE.

(144) Atunci c├ónd o instan╚Ť─â sesizat─â cu o procedur─â ├«mpotriva unei decizii a unei autorit─â╚Ťi de supraveghere are motive s─â cread─â c─â ├«n fa╚Ťa unei instan╚Ťe competente dintr-un alt stat membru au fost introduse proceduri cu privire la aceea╚Öi prelucrare, cum ar fi acela╚Öi obiect al prelucr─ârii, de c─âtre acela╚Öi operator sau aceleea╚Öi persoan─â ├«mputernicit─â de operator, sau aceea╚Öi cauz─â, instan╚Ťa respectiv─â ar trebui s─â contacteze cea de a doua instan╚Ť─â pentru a confirma existen╚Ťa unor astfel de proceduri conexe. ├Än cazul ├«n care aceste proceduri conexe se afl─â pe rolul unei instan╚Ťe dintr-un alt stat membru, orice instan╚Ť─â, cu excep╚Ťia celei sesizate ini╚Ťial, poate s─â ├«╚Öi suspende procedurile sau, la cererea uneia dintre p─âr╚Ťi, ├«╚Öi poate declina competen╚Ťa ├«n favoarea instan╚Ťei sesizate ini╚Ťial, cu condi╚Ťia ca aceasta din urm─â s─â aib─â competen╚Ťa de a solu╚Ťiona procedurile ├«n cauz─â ╚Öi ca dreptul care i se aplic─â s─â ├«i permit─â consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci c├ónd sunt at├ót de str├óns legate ├«ntre ele ├«nc├ót este oportun─â instrumentarea ╚Öi judecarea lor ├«n acela╚Öi timp pentru a se evita riscul pronun╚Ť─ârii unor hot─âr├óri ireconciliabile ├«n cazul judec─ârii lor ├«n mod separat.

(145) ├Än ceea ce prive╚Öte ac╚Ťiunile ini╚Ťiate ├«mpotriva unui operator sau unei persoane ├«mputernicite de operator, reclamantul ar trebui s─â aib─â posibilitatea de a introduce ac╚Ťiunea ├«n fa╚Ťa instan╚Ťelor din statele membre ├«n care operatorul sau persoana ├«mputernicit─â de operator are un sediu sau ├«n care persoana vizat─â ├«╚Öi are re╚Öedin╚Ťa, cu excep╚Ťia cazului ├«n care operatorul este o autoritate public─â dintr-un stat membru ce ac╚Ťioneaz─â ├«n exercitarea competen╚Ťelor sale publice.

(146) Operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â pl─âteasc─â desp─âgubiri pentru orice prejudiciu pe care o persoan─â ├«l poate suferi ca urmare a unei prelucr─âri care ├«ncalc─â prezentul regulament. Operatorul sau persoana ├«mputernicit─â de operator ar trebui s─â fie exonera╚Ťi de r─âspundere dac─â dovedesc c─â nu sunt ├«n niciun fel r─âspunz─âtori pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat ├«n sens larg, din perspectiva jurispruden╚Ťei Cur╚Ťii de Justi╚Ťie, ├«ntr-un mod care s─â reflecte pe deplin obiectivele prezentului regulament. Aceast─â dispozi╚Ťie nu aduce atingere niciunei cereri de desp─âgubire care rezult─â din ├«nc─âlcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care ├«ncalc─â prezentul regulament include ╚Öi prelucrarea care ├«ncalc─â actele delegate ╚Öi de punere ├«n aplicare adoptate ├«n conformitate cu prezentul regulament ╚Öi cu dreptul intern care specific─â norme din prezentul regulament. Persoanele vizate ar trebui s─â primeasc─â desp─âgubiri integrale ╚Öi eficace pentru prejudiciul pe care le-au suferit. ├Än cazul ├«n care operatorii sau persoanele ├«mputernicite de operatori sunt implicate ├«n aceea╚Öi prelucrare, fiecare operator sau fiecare persoan─â ├«mputernicit─â de operator ar trebui s─â fie considerat─â r─âspunz─âtoare pentru ├«ntregul prejudiciu. Cu toate acestea, atunci c├ónd procedurile juridice care le vizeaz─â sunt conexate, ├«n conformitate cu dreptul intern, desp─âgubirile pot fi ├«mp─âr╚Ťite ├«n func╚Ťie de r─âspunderea fiec─ârui operator sau a fiec─ârei persoane ├«mputernicite de operator, cu condi╚Ťia s─â se asigure desp─âgubirea integral─â ╚Öi efectiv─â a persoanei vizate care a suferit prejudiciul. Orice operator sau persoan─â ├«mputernicit─â de operator care a pl─âtit desp─âgubiri integrale poate formula ulterior o ac╚Ťiune ├«n regres ├«mpotriva altor operatori sau persoane ├«mputernicite de operatori implicate ├«n aceea╚Öi prelucrare.

(147) ├Än cazul ├«n care prezentul regulament cuprinde norme specifice privind competen╚Ťa judiciar─â, ├«n special ├«n ceea ce prive╚Öte c─âile de atac judiciare, inclusiv ac╚Ťiunile ├«n desp─âgubiri, ├«mpotriva unui operator sau a unei persoane ├«mputernicite de operator, normele generale privind competen╚Ťa judiciar─â precum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului European ╚Öi al Consiliului (13) nu ar trebui s─â aduc─â atingere aplic─ârii unor astfel de norme specifice.

(148) Pentru a consolida respectarea aplic─ârii normelor prev─âzute ├«n prezentul regulament, ar trebui impuse sanc╚Ťiuni, inclusiv amenzi administrative, pentru orice ├«nc─âlcare a prezentului regulament, pe l├óng─â sau ├«n locul m─âsurilor adecvate impuse de autoritatea de supraveghere ├«n temeiul prezentului regulament. ├Än cazul unei ├«nc─âlc─âri minore sau ├«n cazul ├«n care amenda susceptibil─â de a fi impus─â ar constitui o sarcin─â dispropor╚Ťionat─â pentru o persoan─â fizic─â, poate fi emis un avertisment ├«n locul unei amenzi. Cu toate acestea, ar trebui s─â se ia ├«n considerare ├«n mod corespunz─âtor natura, gravitatea ╚Öi durata ├«nc─âlc─ârii, caracterul deliberat al ├«nc─âlc─ârii, ac╚Ťiunile ├«ntreprinse pentru a reduce prejudiciul cauzat, gradul de r─âspundere sau orice ├«nc─âlc─âri anterioare relevante, modul ├«n care ├«nc─âlcarea a fost adus─â la cuno╚Ötin╚Ťa autorit─â╚Ťii de supraveghere, conformitatea cu m─âsurile adoptate ├«mpotriva operatorului sau a persoanei ├«mputernicite de operator, aderarea la un cod de conduit─â ╚Öi orice alt factor agravant sau atenuant. Impunerea de sanc╚Ťiuni, inclusiv de amenzi administrative, ar trebui s─â fac─â obiectul unor garan╚Ťii procedurale adecvate, ├«n conformitate cu principiile generale ale dreptului Uniunii ╚Öi cu carta, inclusiv o protec╚Ťie judiciar─â eficient─â ╚Öi un proces echitabil.

(149) Statele membre ar trebui s─â poat─â stabili normele privind sanc╚Ťiunile penale pentru ├«nc─âlc─ârile prezentului regulament, inclusiv pentru ├«nc─âlcarea normelor de drept intern adoptate ├«n temeiul ╚Öi ├«n limitele prezentului regulament. Respectivele sanc╚Ťiuni penale pot, de asemenea, permite privarea de profiturile ob╚Ťinute prin ├«nc─âlcarea prezentului regulament. Cu toate acestea, impunerea de sanc╚Ťiuni penale pentru ├«nc─âlc─âri ale unor asemenea norme de drept intern ╚Öi de sanc╚Ťiuni administrative nu ar trebui s─â duc─â la ├«nc─âlcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justi╚Ťie.

(150) Pentru consolidarea ╚Öi armonizarea sanc╚Ťiunilor administrative ├«n cazul ├«nc─âlc─ârii prezentului regulament, fiecare autoritate de supraveghere ar trebui s─â aib─â competen╚Ťa de a impune amenzi administrative. Prezentul regulament ar trebui s─â indice ├«nc─âlc─ârile, ╚Öi limita maxim─â ╚Öi criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui s─â fie stabilite de autoritatea de supraveghere competent─â ├«n fiecare caz ├«n parte, ╚Ťin├ónd seama de toate circumstan╚Ťele relevante ale situa╚Ťiei specifice, lu├óndu-se ├«n considerare ├«n mod corespunz─âtor, ├«n special, natura, gravitatea ╚Öi durata ├«nc─âlc─ârii, precum ╚Öi consecin╚Ťele acesteia ╚Öi m─âsurile luate pentru a se asigura respectarea obliga╚Ťiilor ├«n temeiul prezentului regulament ╚Öi pentru a se preveni sau atenua consecin╚Ťele ├«nc─âlc─ârii. ├Än cazul ├«n care amenzile administrative sunt impuse unei ├«ntreprinderi, o ├«ntreprindere ar trebui ├«n╚Ťeleas─â ca fiind o ├«ntreprindere ├«n conformitate cu articolele 101 ╚Öi 102 din TFUE ├«n aceste scopuri. ├Än cazul ├«n care se impun amenzi administrative unor persoane care nu sunt ├«ntreprinderi, autoritatea de supraveghere ar trebui s─â ╚Ťin─â seama de nivelul general al veniturilor din statul membru respectiv, precum ╚Öi de situa╚Ťia economic─â a persoanei atunci c├ónd estimeaz─â cuantumul adecvat al amenzii. Mecanismul pentru asigurarea coeren╚Ťei poate fi, de asemenea, utilizat pentru a promova aplicarea consecvent─â a amenzilor administrative. Competen╚Ťa de a stabili dac─â ╚Öi ├«n ce m─âsur─â autorit─â╚Ťile publice ar trebui s─â fac─â obiectul unor amenzi administrative ar trebui s─â revin─â statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertiz─âri nu afecteaz─â aplicarea altor competen╚Ťe ale autorit─â╚Ťilor de supraveghere sau a altor sanc╚Ťiuni ├«n temeiul prezentului regulament.

(151) Sistemele juridice ale Danemarcei ╚Öi Estoniei nu permit amenzi administrative astfel cum sunt prev─âzute ├«n prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel ├«nc├ót, ├«n Danemarca, amenda s─â fie impus─â de instan╚Ťele na╚Ťionale competente ca sanc╚Ťiune penal─â, iar ├«n Estonia amenda s─â fie impus─â de autoritatea de supraveghere ├«n cadrul unei proceduri privind delictele, cu condi╚Ťia ca o astfel de aplicare a normelor ├«n statele membre respective s─â aib─â un efect echivalent cu cel al amenzilor administrative impuse de autorit─â╚Ťile de supraveghere. Prin urmare, instan╚Ťele na╚Ťionale competente ar trebui s─â ╚Ťin─â seama de recomandarea autorit─â╚Ťii de supraveghere care a ini╚Ťiat amenda. ├Än orice caz, amenzile impuse ar trebui s─â fie eficace, propor╚Ťionale ╚Öi disuasive.

(152) ├Än cazul ├«n care prezentul regulament nu armonizeaz─â sanc╚Ťiunile administrative sau ├«n alte cazuri, acolo unde este necesar, de exemplu ├«n cazul unor ├«nc─âlc─âri grave ale prezentului regulament, statele membre ar trebui s─â pun─â ├«n aplicare un sistem care s─â prevad─â sanc╚Ťiuni eficace, propor╚Ťionale ╚Öi disuasive. Natura unor astfel de sanc╚Ťiuni, penale sau administrative, ar trebui stabilit─â ├«n dreptul intern.

(153) Dreptul statelor membre ar trebui s─â stabileasc─â un echilibru ├«ntre normele care reglementeaz─â libertatea de exprimare ╚Öi de informare, inclusiv exprimarea jurnalistic─â, academic─â, artistic─â ╚Öi/sau literar─â, ╚Öi dreptul la protec╚Ťia datelor cu caracter personal ├«n temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv ├«n scopuri jurnalistice sau ├«n scopul exprim─ârii academice, artistice sau literare ar trebui s─â fac─â obiectul unor derog─âri sau al unor excep╚Ťii de la anumite dispozi╚Ťii ale prezentului regulament ├«n cazul ├«n care este necesar─â stabilirea unui echilibru ├«ntre dreptul la protec╚Ťia datelor cu caracter personal ╚Öi dreptul la libertatea de exprimare ╚Öi de informare, astfel cum este prev─âzut ├«n articolul 11 din cart─â. Acest lucru ar trebui s─â se aplice ├«n special prelucr─ârii datelor cu caracter personal ├«n domeniul audiovizualului, precum ╚Öi ├«n arhivele de ╚Ötiri ╚Öi ├«n bibliotecile ziarelor. Prin urmare, statele membre ar trebui s─â adopte m─âsuri legislative care s─â prevad─â excep╚Ťiile ╚Öi derog─ârile necesare ├«n vederea asigur─ârii echilibrului ├«ntre aceste drepturi fundamentale. Statele membre ar trebui s─â adopte astfel de excep╚Ťii ╚Öi derog─âri ├«n ceea ce prive╚Öte principiile generale, drepturile persoanelor vizate, operatorul ╚Öi persoana ├«mputernicit─â de operator, transferul de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale, autorit─â╚Ťile de supraveghere independente, cooperarea ╚Öi coeren╚Ťa, precum ╚Öi ├«n ceea ce prive╚Öte situa╚Ťii specifice de prelucrare a datelor. ├Än cazul ├«n care aceste excep╚Ťii sau derog─âri difer─â de la un stat membru la altul, ar trebui s─â se aplice dreptul statului membru sub inciden╚Ťa c─âruia intr─â operatorul. Pentru a ╚Ťine seama de importan╚Ťa dreptului la libertatea de exprimare ├«n fiecare societate democratic─â, este necesar ca no╚Ťiunile legate de aceast─â libertate, cum ar fi jurnalismul, s─â fie interpretate ├«n sens larg.

(154) Prezentul regulament permite luarea ├«n considerare a principiului accesului public la documente oficiale ├«n aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi ├«n interes public. Datele cu caracter personal din documentele de╚Ťinute de o autoritate public─â sau de un organism public ar trebui s─â poat─â fi divulgate de autoritatea respectiv─â sau de organismul respectiv ├«n cazul ├«n care dreptul Uniunii sau dreptul intern sub inciden╚Ťa c─âruia intr─â autoritatea public─â sau organismul public prevede acest lucru. Dreptul Uniunii ╚Öi dreptul intern ar trebui s─â asigure un echilibru ├«ntre accesul public la documentele oficiale ╚Öi reutilizarea informa╚Ťiilor din sectorul public, pe de o parte, ╚Öi dreptul la protec╚Ťia datelor cu caracter personal, pe de alt─â parte, ╚Öi ar putea prin urmare s─â prevad─â echilibrul necesar cu dreptul la protec╚Ťia datelor cu caracter personal ├«n temeiul prezentului regulament. Trimiterea la autorit─â╚Ťile ╚Öi organismele publice ar trebui, ├«n acest context, s─â includ─â toate autorit─â╚Ťile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva 2003/98/CE a Parlamentului European ╚Öi a Consiliului (14) las─â intact ╚Öi nu aduce atingere ├«n niciun fel nivelului de protec╚Ťie a persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal ├«n conformitate cu dreptul Uniunii ╚Öi cu cel intern ╚Öi, ├«n special, nu modific─â drepturile ╚Öi obliga╚Ťiile prev─âzute de prezentul regulament. ├Än special, directiva sus-men╚Ťionat─â nu se aplic─â documentelor la care accesul este exclus sau restr├óns ├«n temeiul regimurilor de acces din motive legate de protec╚Ťia datelor cu caracter personal ╚Öi nici p─âr╚Ťilor din documente accesibile ├«n temeiul respectivelor regimuri care con╚Ťin date cu caracter personal a c─âror reutilizare a fost stabilit─â prin lege ca fiind incompatibil─â cu dreptul privind protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal.

(155) Dreptul intern sau acordurile colective, inclusiv ÔÇ×acordurile de munc─âÔÇŁ, pot prevedea norme specifice care s─â reglementeze prelucrarea datelor cu caracter personal ale angaja╚Ťilor ├«n contextul ocup─ârii unui loc de munc─â, ├«n special condi╚Ťiile ├«n care datele cu caracter personal ├«n contextul ocup─ârii unui loc de munc─â pot fi prelucrate pe baza consim╚Ť─âm├óntului angajatului, ├«n scopul recrut─ârii, al respect─ârii clauzelor contractului de munc─â, inclusiv desc─ârcarea de obliga╚Ťiile stabilite prin lege sau prin acorduri colective, al gestion─ârii, planific─ârii ╚Öi organiz─ârii muncii, al egalit─â╚Ťii ╚Öi diversit─â╚Ťii la locul de munc─â, al asigur─ârii s─ân─ât─â╚Ťii ╚Öi securit─â╚Ťii la locul de munc─â, precum ╚Öi ├«n scopul exercit─ârii ╚Öi beneficierii, ├«n mod individual sau colectiv, de drepturile ╚Öi beneficiile legate de ocuparea unui loc de munc─â, precum ╚Öi ├«n scopul ├«ncet─ârii raporturilor de munc─â.

(156) Prelucrarea datelor cu caracter personal ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice ar trebui s─â fac─â obiectul unor garan╚Ťii adecvate pentru drepturile ╚Öi libert─â╚Ťile persoanei vizate ├«n temeiul prezentului regulament. Respectivele garan╚Ťii ar trebui s─â asigure faptul c─â au fost instituite m─âsuri tehnice ╚Öi organizatorice necesare pentru a se asigura, ├«n special, principiul reducerii la minimum a datelor. Prelucrarea ulterioar─â a datelor cu caracter personal ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice se efectueaz─â atunci c├ónd operatorul a evaluat fezabilitatea pentru ├«ndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condi╚Ťia s─â existe garan╚Ťii adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Statele membre ar trebui s─â prevad─â garan╚Ťii adecvate pentru prelucrarea datelor cu caracter personal ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice. Statele membre ar trebui s─â fie autorizate s─â ofere, ├«n anumite condi╚Ťii ╚Öi sub rezerva unor garan╚Ťii adecvate pentru persoanele vizate, preciz─âri ╚Öi derog─âri ├«n ceea ce prive╚Öte cererile de informa╚Ťii ╚Öi dreptul la rectificare, dreptul la ╚Ötergere, dreptul de a fi uitat, dreptul la restric╚Ťionarea prelucr─ârii,dreptul la portabilitatea datelor, precum ╚Öi dreptul la opozi╚Ťie ├«n cazul prelucr─ârii datelor cu caracter personal ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice. Condi╚Ťiile ╚Öi garan╚Ťiile ├«n cauz─â pot genera proceduri specifice astfel ├«nc├ót persoanele vizate s─â ├«╚Öi exercite respectivele drepturi dac─â acest lucru este adecvat ├«n contextul scopurilor vizate de prelucrarea specific─â, precum ╚Öi m─âsuri tehnice ╚Öi organiza╚Ťionale viz├ónd reducerea la minimum a prelucr─ârii datelor cu caracter personal, ├«n conformitate cu principiile propor╚Ťionalit─â╚Ťii ╚Öi necesit─â╚Ťii. Prelucrarea datelor cu caracter personal ├«n scopuri ╚Ötiin╚Ťifice ar trebui s─â fie, de asemenea, conform─â cu alte acte legislative relevante, cum ar fi cele privind studiile clinice.

(157) Prin combinarea informa╚Ťiilor din registre, cercet─âtorii pot ob╚Ťine noi cuno╚Ötin╚Ťe de mare valoare ├«n ceea ce prive╚Öte bolile cu larg─â r─âsp├óndire, cum ar fi bolile cardiovasculare, cancerul ╚Öi depresia. Pe baza registrelor, rezultatele cercet─ârilor pot fi ├«nt─ârite, ├«ntruc├ót acestea se bazeaz─â pe o popula╚Ťie mai mare. ├Än domeniul ╚Ötiin╚Ťelor sociale, cercetarea pe baza registrelor le permite cercet─âtorilor s─â ob╚Ťin─â informa╚Ťii esen╚Ťiale despre corelarea pe termen lung a unei serii de condi╚Ťii sociale, precum ╚Öomajul sau educa╚Ťia, cu alte condi╚Ťii de via╚Ť─â. Rezultatele cercet─ârilor ob╚Ťinute pe baza registrelor furnizeaz─â cuno╚Ötin╚Ťe solide, de ├«nalt─â calitate, care pot constitui baza pentru elaborarea ╚Öi punerea ├«n aplicare a unor politici bazate pe cunoa╚Ötere ╚Öi care pot ├«mbun─ât─â╚Ťi calitatea vie╚Ťii pentru un num─âr de persoane, eficien╚Ťa serviciilor sociale. Pentru a facilita cercetarea ╚Ötiin╚Ťific─â, datele cu caracter personal pot fi prelucrate ├«n scopuri de cercetare ╚Ötiin╚Ťific─â, sub rezerva condi╚Ťiilor ╚Öi a garan╚Ťiilor corespunz─âtoare stabilite ├«n dreptul Uniunii sau ├«n dreptul intern.

(158) ├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri de arhivare, prezentul regulament ar trebui s─â se aplice ╚Öi prelucr─ârii respective, ╚Ťin├ónd seama de faptul c─â prezentul regulament nu ar trebui s─â se aplice persoanelor decedate. Autorit─â╚Ťile publice sau organismele publice sau private care de╚Ťin eviden╚Ťe de interes public ar trebui, ├«n temeiul dreptului Uniunii sau al dreptului na╚Ťional, s─â aib─â o obliga╚Ťie legal─â de a dob├óndi, a p─âstra, a evalua, a preg─âti, a descrie, a comunica, a promova, a disemina ╚Öi a asigura accesul la eviden╚Ťe de valoare durabil─â de interes public general. Statele membre ar trebui, de asemenea, s─â poat─â s─â prevad─â prelucrarea ulterioar─â a datelor cu caracter personal ├«n scopuri de arhivare, de exemplu cu scopul de a furniza informa╚Ťii specifice referitoare la comportamentul politic ├«n perioada fostelor regimuri de stat totalitare, la genociduri, la crime ├«mpotriva umanit─â╚Ťii, ├«n special holocaustul, sau la crime de r─âzboi.

(159) ├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri de cercetare ╚Ötiin╚Ťific─â, prezentul regulament ar trebui s─â se aplice ╚Öi prelucr─ârii respective. ├Än sensul prezentului regulament, prelucrarea datelor cu caracter personal ├«n scopuri de cercetare ╚Ötiin╚Ťific─â ar trebui s─â fie interpretat─â ├«n sens larg, incluz├ónd de exemplu dezvoltarea tehnologic─â ╚Öi activit─â╚Ťile demonstrative, cercetarea fundamental─â, cercetarea aplicat─â ╚Öi cercetarea finan╚Ťat─â din surse private. Ar trebui, ├«n plus, luat ├«n considerare obiectivul Uniunii de creare a unui Spa╚Ťiu european de cercetare, astfel cum este men╚Ťionat la articolul 179 alineatul (1) din TFUE. Scopurile de cercetare ╚Ötiin╚Ťific─â ar trebui s─â includ─â, de asemenea, studii efectuate ├«n interes public ├«n domeniul s─ân─ât─â╚Ťii publice. Pentru a ├«ndeplini caracteristicile specifice ale prelucr─ârii datelor cu caracter personal ├«n scopuri de cercetare ╚Ötiin╚Ťific─â, ar trebui s─â se aplice condi╚Ťii specifice, ├«n special ├«n ceea ce prive╚Öte publicarea sau divulgarea ├«ntr-un alt mod a datelor cu caracter personal ├«n contextul scopurilor de cercetare ╚Ötiin╚Ťific─â. ├Än cazul ├«n care rezultatul cercet─ârii ╚Ötiin╚Ťifice, ├«n special ├«n contextul s─ân─ât─â╚Ťii, constituie un motiv pentru m─âsuri suplimentare ├«n interesul persoanei vizate, normele generale ale prezentului regulament ar trebui s─â se aplice av├ónd ├«n vedere aceste m─âsuri. (160)

├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri de cercetare istoric─â, prezentul regulament ar trebui s─â se aplice ╚Öi prelucr─ârii respective. Acest lucru ar trebui s─â includ─â, de asemenea, cercetarea istoric─â ╚Öi cercetarea ├«n scopuri genealogice, ╚Ťin├ónd seama de faptul c─â prezentul regulament nu ar trebui s─â se aplice persoanelor decedate.

(161) ├Än scopul acord─ârii consim╚Ť─âm├óntului de a participa la activit─â╚Ťi de cercetare ╚Ötiin╚Ťific─â ├«n cadrul testelor clinice, ar trebui s─â se aplice dispozi╚Ťiile relevante ale Regulamentului (UE) nr. 536/2014 al Parlamentului European ╚Öi al Consiliului (15).

(162) ├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri statistice, prezentul regulament ar trebui s─â se aplice prelucr─ârii respective. Dreptul Uniunii sau dreptul intern ar trebui, ├«n limitele prezentului regulament, s─â determine con╚Ťinutul statistic, controlul accesului, specifica╚Ťiile pentru prelucrarea datelor cu caracter personal ├«n scopuri statistice ╚Öi m─âsurile adecvate pentru a proteja drepturile ╚Öi libert─â╚Ťile persoanelor vizate ╚Öi pentru a asigura confiden╚Ťialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior ├«n diferite scopuri, inclusiv ├«n scopuri de cercetare ╚Ötiin╚Ťific─â. Scopuri statistice ├«nseamn─â orice opera╚Ťiune de colectare ╚Öi prelucrare de date cu caracter personal necesar─â pentru anchetele statistice sau pentru producerea de rezultate statistice. Scopurile statistice presupun c─â rezultatul prelucr─ârii ├«n scopuri statistice nu constituie date cu caracter personal, ci date agregate ╚Öi c─â acest rezultat sau datele cu caracter personal nu sunt utilizate ├«n sprijinul unor m─âsuri sau decizii privind o anumit─â persoan─â fizic─â.

(163) Informa╚Ťiile confiden╚Ťiale pe care autorit─â╚Ťile statistice de la nivelul Uniunii ╚Öi de la nivel na╚Ťional le colecteaz─â ├«n vederea elabor─ârii de statistici europene ╚Öi na╚Ťionale oficiale ar trebui s─â fie protejate. Statisticile europene ar trebui concepute, elaborate ╚Öi difuzate ├«n conformitate cu principiile statistice prev─âzute la articolul 338 alineatul (2) din TFUE, ├«n timp ce statisticile na╚Ťionale ar trebui, de asemenea, s─â fie ├«n conformitate cu dreptul intern. Regulamentul (CE) nr. 223/2009 al Parlamentului European ╚Öi al Consiliului (16) prevede specifica╚Ťii suplimentare privind confiden╚Ťialitatea datelor statistice pentru statisticile europene.

(164) ├Än ceea ce prive╚Öte competen╚Ťele autorit─â╚Ťilor de supraveghere de a ob╚Ťine de la operator sau de la persoana ├«mputernicit─â de operator accesul la datele cu caracter personal ╚Öi accesul ├«n cl─âdirile lor, statele membre pot adopta, pe cale legislativ─â ╚Öi ├«n limitele stabilite de prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor obliga╚Ťii echivalente, ├«n m─âsura ├«n care acest lucru este necesar pentru a asigura un echilibru ├«ntre dreptul la protec╚Ťia datelor cu caracter personal ╚Öi obliga╚Ťia de p─âstrare a secretului profesional. Aceasta nu aduce atingere obliga╚Ťiilor existente ale statelor membre de a adopta norme privind secretul profesional ├«n situa╚Ťiile cerute de dreptul Uniunii.

(165) Prezentul regulament respect─â ╚Öi nu aduce atingere statutului de care beneficiaz─â, ├«n temeiul dreptului constitu╚Ťional existent, bisericile ╚Öi asocia╚Ťiile sau comunit─â╚Ťile religioase din statele membre, astfel cum este recunoscut ├«n articolul 17 din TFUE.

(166) ├Än vederea ├«ndeplinirii obiectivelor prezentului regulament, ╚Öi anume protejarea drepturilor ╚Öi libert─â╚Ťilor fundamentale ale persoanelor fizice ╚Öi, ├«n special, a dreptului acestora la protec╚Ťia datelor cu caracter personal, ╚Öi pentru a se garanta libera circula╚Ťie a datelor cu caracter personal pe teritoriul Uniunii, competen╚Ťa de a adopta acte ├«n conformitate cu articolul 290 din TFUE ar trebui s─â fie delegat─â Comisiei. ├Än special, ar trebui adoptate acte delegate ├«n ceea ce prive╚Öte criteriile ╚Öi cerin╚Ťele privind mecanismele de certificare, informa╚Ťiile care trebuie prezentate prin pictograme standardizate ╚Öi procedurile pentru furnizarea unor astfel de pictograme. Este deosebit de important ca, ├«n cadrul activit─â╚Ťii sale preg─âtitoare, Comisia s─â organizeze consult─âri adecvate, inclusiv la nivel de exper╚Ťi. Atunci c├ónd preg─âte╚Öte ╚Öi elaboreaz─â acte delegate, Comisia ar trebui s─â asigure transmiterea simultan─â, la timp ╚Öi ├«n mod corespunz─âtor a documentelor relevante c─âtre Parlamentul European ╚Öi c─âtre Consiliu.

(167) ├Än vederea asigur─ârii unor condi╚Ťii uniforme de punere ├«n aplicare a prezentului regulament, Comisia ar trebui ├«nvestit─â cu competen╚Ťe de executare ├«n situa╚Ťiile stabilite de prezentul regulament. Competen╚Ťele respective ar trebui s─â fie exercitate ├«n conformitate cu Regulamentul (UE) nr. 182/2011. ├Än acest context, Comisia ar trebui s─â ia ├«n considerare m─âsuri specifice pentru micro├«ntreprinderi ╚Öi pentru ├«ntreprinderile mici ╚Öi mijlocii.

(168) Procedura de examinare ar trebui utilizat─â pentru adoptarea de acte de punere ├«n aplicare privind: clauzele contractuale standard dintre operatori ╚Öi persoanele ├«mputernicite de operatori, precum ╚Öi dintre persoanele ├«mputernicite de operatori; codurile de conduit─â; standardele tehnice ╚Öi mecanismele de certificare; nivelul adecvat de protec╚Ťie oferit de o ╚Ťar─â ter╚Ť─â, de un teritoriu sau de un anumit sector de prelucrare din ╚Ťara ter╚Ť─â respectiv─â, sau de o organiza╚Ťie interna╚Ťional─â; clauzele standard de protec╚Ťie a datelor; formatele ╚Öi procedurile pentru schimbul electronic de informa╚Ťii ├«ntre operatori, persoanele ├«mputernicite de operatori ╚Öi autorit─â╚Ťile de supraveghere pentru regulile corporatiste obligatorii; asisten╚Ťa reciproc─â; precum ╚Öi modalit─â╚Ťile de realizare a schimbului electronic de informa╚Ťii ├«ntre autorit─â╚Ťile de supraveghere, precum ╚Öi ├«ntre autorit─â╚Ťile de supraveghere ╚Öi comitetul.

(169) Comisia ar trebui s─â adopte acte de punere ├«n aplicare imediat aplicabile atunci c├ónd dovezile disponibile arat─â c─â o ╚Ťar─â ter╚Ť─â, un teritoriu sau un anumit sector de prelucrare din ╚Ťara ter╚Ť─â respectiv─â, sau o organiza╚Ťie interna╚Ťional─â nu asigur─â un nivel de protec╚Ťie adecvat, precum ╚Öi din motive imperative de urgen╚Ť─â.

(170) Deoarece obiectivul prezentului regulament, ╚Öi anume asigurarea unui nivel echivalent de protec╚Ťie a persoanelor fizice ╚Öi libera circula╚Ťie a datelor cu caracter personal ├«n ├«ntreaga Uniune, nu poate fi realizat ├«n mod satisf─âc─âtor de c─âtre statele membre dar, av├ónd ├«n vedere amploarea sau efectele ac╚Ťiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta m─âsuri ├«n conformitate cu principiul subsidiarit─â╚Ťii, astfel cum este definit la articolul 5 din Tratatul privind Uniunea European─â (ÔÇ×Tratatul UEÔÇŁ). ├Än conformitate cu principiul propor╚Ťionalit─â╚Ťii, astfel cum este definit la articolul respectiv, prezentul regulament nu dep─â╚Öe╚Öte ceea ce este necesar pentru realizarea obiectivelor men╚Ťionate.

(171) Directiva 95/46/CE ar trebui s─â fie abrogat─â prin prezentul regulament. Prelucr─ârile ├«n derulare la data aplic─ârii prezentului regulament ar trebui s─â fie aduse ├«n conformitate cu prezentul regulament ├«n termen de doi ani de la data intr─ârii ├«n vigoare a prezentului regulament. ├Än cazul ├«n care prelucr─ârile se bazeaz─â pe consim╚Ť─âm├ónt ├«n temeiul Directivei 95/46/CE, nu este necesar ca persoana vizat─â s─â ├«╚Öi dea ├«nc─â o dat─â consim╚Ť─âm├óntul ├«n cazul ├«n care modul ├«n care consim╚Ť─âm├óntul a fost dat este ├«n conformitate cu condi╚Ťiile din prezentul regulament, astfel ├«nc├ót operatorului s─â i se permit─â s─â continue o astfel de prelucrare dup─â data aplic─ârii prezentului regulament. Deciziile adoptate ale Comisiei ╚Öi autoriza╚Ťiile autorit─â╚Ťilor de supraveghere emise pe baza Directivei 95/46/CE r─âm├ón ├«n vigoare p├ón─â c├ónd vor fi modificate, ├«nlocuite sau abrogate.

(172) Autoritatea European─â pentru Protec╚Ťia Datelor a fost consultat─â ├«n conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 ╚Öi a emis un aviz la 7 martie 2012 (17).

(173) Prezentul regulament ar trebui s─â se aplice tuturor aspectelor referitoare la protec╚Ťia drepturilor ╚Öi libert─â╚Ťilor fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obliga╚Ťii specifice cu acela╚Öi obiectiv ca cel stabilit ├«n Directiva 2002/58/CE a Parlamentului European ╚Öi a Consiliului (18), inclusiv obliga╚Ťiile privind operatorul ╚Öi drepturile persoanelor fizice. Pentru a se clarifica rela╚Ťia dintre prezentul regulament ╚Öi Directiva 2002/58/CE, respectiva directiv─â ar trebui s─â fie modificat─â ├«n consecin╚Ť─â. Dup─â adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui s─â fie revizuit─â ├«n special pentru a se asigura coeren╚Ťa cu prezentul regulament,

ADOPT─é PREZENTUL REGULAMENT:

CAPITOLUL I

Dispozi╚Ťii generale

Articolul 1

Obiect și obiective

(1) Prezentul regulament stabile╚Öte normele referitoare la protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal, precum ╚Öi normele referitoare la libera circula╚Ťie a datelor cu caracter personal.

(2) Prezentul regulament asigur─â protec╚Ťia drepturilor ╚Öi libert─â╚Ťilor fundamentale ale persoanelor fizice ╚Öi ├«n special a dreptului acestora la protec╚Ťia datelor cu caracter personal.

(3) Libera circula╚Ťie a datelor cu caracter personal ├«n interiorul Uniunii nu poate fi restric╚Ťionat─â sau interzis─â din motive legate de protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal.

Articolul 2

Domeniul de aplicare material

(1) Prezentul regulament se aplic─â prelucr─ârii datelor cu caracter personal, efectuat─â total sau par╚Ťial prin mijloace automatizate, precum ╚Öi prelucr─ârii prin alte mijloace dec├ót cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de eviden╚Ť─â a datelor sau care sunt destinate s─â fac─â parte dintr-un sistem de eviden╚Ť─â a datelor.

(2) Prezentul regulament nu se aplic─â prelucr─ârii datelor cu caracter personal:

(a) ├«n cadrul unei activit─â╚Ťi care nu intr─â sub inciden╚Ťa dreptului Uniunii;

(b) de c─âtre statele membre atunci c├ónd desf─â╚Öoar─â activit─â╚Ťi care intr─â sub inciden╚Ťa capitolului 2 al titlului V din Tratatul UE;

(c) de c─âtre o persoan─â fizic─â ├«n cadrul unei activit─â╚Ťi exclusiv personale sau domestice;

(d) de c─âtre autorit─â╚Ťile competente ├«n scopul prevenirii, investig─ârii, depist─ârii sau urm─âririi penale a infrac╚Ťiunilor, sau al execut─ârii sanc╚Ťiunilor penale, inclusiv al protej─ârii ├«mpotriva amenin╚Ť─ârilor la adresa siguran╚Ťei publice ╚Öi al prevenirii acestora.

(3) Pentru prelucrarea datelor cu caracter personal de c─âtre institu╚Ťiile, organele, oficiile ╚Öi agen╚Ťiile Uniunii, se aplic─â Regulamentul (CE) nr. 45/2001. Regulamentul (CE) nr. 45/2001 ╚Öi alte acte juridice ale Uniunii aplicabile unei asemenea prelucr─âri a datelor cu caracter personal se adapteaz─â la principiile ╚Öi normele din prezentul regulament ├«n conformitate cu articolul 98.

(4) Prezentul regulament nu aduce atingere aplic─ârii Directivei 2000/31/CE, ├«n special normelor privind r─âspunderea furnizorilor de servicii intermediari, prev─âzute la articolele 12-15 din directiva men╚Ťionat─â.

Articolul 3

Domeniul de aplicare teritorial

(1) Prezentul regulament se aplic─â prelucr─ârii datelor cu caracter personal ├«n cadrul activit─â╚Ťilor unui sediu al unui operator sau al unei persoane ├«mputernicite de operator pe teritoriul Uniunii, indiferent dac─â prelucrarea are loc sau nu pe teritoriul Uniunii.

(2) Prezentul regulament se aplic─â prelucr─ârii datelor cu caracter personal ale unor persoane vizate care se afl─â ├«n Uniune de c─âtre un operator sau o persoan─â ├«mputernicit─â de operator care nu este stabilit(─â) ├«n Uniune, atunci c├ónd activit─â╚Ťile de prelucrare sunt legate de:

(a) oferirea de bunuri sau servicii unor astfel de persoane vizate ├«n Uniune, indiferent dac─â se solicit─â sau nu efectuarea unei pl─â╚Ťi de c─âtre persoana vizat─â; sau

(b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

(3) Prezentul regulament se aplic─â prelucr─ârii datelor cu caracter personal de c─âtre un operator care nu este stabilit ├«n Uniune, ci ├«ntr-un loc ├«n care dreptul intern se aplic─â ├«n temeiul dreptului interna╚Ťional public.

Articolul 4

Defini╚Ťii

În sensul prezentului regulament:

1. ÔÇ×date cu caracter personalÔÇŁ ├«nseamn─â orice informa╚Ťii privind o persoan─â fizic─â identificat─â sau identificabil─â (ÔÇ×persoana vizat─âÔÇŁ); o persoan─â fizic─â identificabil─â este o persoan─â care poate fi identificat─â, direct sau indirect, ├«n special prin referire la un element de identificare, cum ar fi un nume, un num─âr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identit─â╚Ťii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2. ÔÇ×prelucrareÔÇŁ ├«nseamn─â orice opera╚Ťiune sau set de opera╚Ťiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau f─âr─â utilizarea de mijloace automatizate, cum ar fi colectarea, ├«nregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozi╚Ťie ├«n orice alt mod, alinierea sau combinarea, restric╚Ťionarea, ╚Ötergerea sau distrugerea;

3. ÔÇ×restric╚Ťionarea prelucr─âriiÔÇŁ ├«nseamn─â marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

4. ÔÇ×creare de profiluriÔÇŁ ├«nseamn─â orice form─â de prelucrare automat─â a datelor cu caracter personal care const─â ├«n utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoan─â fizic─â, ├«n special pentru a analiza sau prevedea aspecte privind performan╚Ťa la locul de munc─â, situa╚Ťia economic─â, s─ân─âtatea, preferin╚Ťele personale, interesele, fiabilitatea, comportamentul, locul ├«n care se afl─â persoana fizic─â respectiv─â sau deplas─ârile acesteia;

5. ÔÇ×pseudonimizareÔÇŁ ├«nseamn─â prelucrarea datelor cu caracter personal ├«ntr-un asemenea mod ├«nc├ót acestea s─â nu mai poat─â fi atribuite unei anume persoane vizate f─âr─â a se utiliza informa╚Ťii suplimentare, cu condi╚Ťia ca aceste informa╚Ťii suplimentare s─â fie stocate separat ╚Öi s─â fac─â obiectul unor m─âsuri de natur─â tehnic─â ╚Öi organizatoric─â care s─â asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

6. ÔÇ×sistem de eviden╚Ť─â a datelorÔÇŁ ├«nseamn─â orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dup─â criterii func╚Ťionale sau geografice;

7. ÔÇ×operatorÔÇŁ ├«nseamn─â persoana fizic─â sau juridic─â, autoritatea public─â, agen╚Ťia sau alt organism care, singur sau ├«mpreun─â cu altele, stabile╚Öte scopurile ╚Öi mijloacele de prelucrare a datelor cu caracter personal; atunci c├ónd scopurile ╚Öi mijloacele prelucr─ârii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prev─âzute ├«n dreptul Uniunii sau ├«n dreptul intern;

8. ÔÇ×persoan─â ├«mputernicit─â de operatorÔÇŁ ├«nseamn─â persoana fizic─â sau juridic─â, autoritatea public─â, agen╚Ťia sau alt organism care prelucreaz─â datele cu caracter personal ├«n numele operatorului;

9. ÔÇ×destinatarÔÇŁ ├«nseamn─â persoana fizic─â sau juridic─â, autoritatea public─â, agen╚Ťia sau alt organism c─âreia (c─âruia) ├«i sunt divulgate datele cu caracter personal, indiferent dac─â este sau nu o parte ter╚Ť─â. Cu toate acestea, autorit─â╚Ťile publice c─ârora li se pot comunica date cu caracter personal ├«n cadrul unei anumite anchete ├«n conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de c─âtre autorit─â╚Ťile publice respective respect─â normele aplicabile ├«n materie de protec╚Ťie a datelor, ├«n conformitate cu scopurile prelucr─ârii;

10. ÔÇ×parte ter╚Ť─âÔÇŁ ├«nseamn─â o persoan─â fizic─â sau juridic─â, autoritate public─â, agen╚Ťie sau organism altul dec├ót persoana vizat─â, operatorul, persoana ├«mputernicit─â de operator ╚Öi persoanele care, sub directa autoritate a operatorului sau a persoanei ├«mputernicite de operator, sunt autorizate s─â prelucreze date cu caracter personal;

11. ÔÇ×consim╚Ť─âm├óntÔÇŁ al persoanei vizate ├«nseamn─â orice manifestare de voin╚Ť─â liber─â, specific─â, informat─â ╚Öi lipsit─â de ambiguitate a persoanei vizate prin care aceasta accept─â, printr-o declara╚Ťie sau printr-o ac╚Ťiune f─âr─â echivoc, ca datele cu caracter personal care o privesc s─â fie prelucrate;

12. ÔÇ×├«nc─âlcarea securit─â╚Ťii datelor cu caracter personalÔÇŁ ├«nseamn─â o ├«nc─âlcare a securit─â╚Ťii care duce, ├«n mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizat─â a datelor cu caracter personal transmise, stocate sau prelucrate ├«ntr-un alt mod, sau la accesul neautorizat la acestea;

13. ÔÇ×date geneticeÔÇŁ ├«nseamn─â datele cu caracter personal referitoare la caracteristicile genetice mo╚Ötenite sau dob├óndite ale unei persoane fizice, care ofer─â informa╚Ťii unice privind fiziologia sau s─ân─âtatea persoanei respective ╚Öi care rezult─â ├«n special ├«n urma unei analize a unei mostre de material biologic recoltate de la persoana ├«n cauz─â;

14. ÔÇ×date biometriceÔÇŁ ├«nseamn─â o date cu caracter personal care rezult─â ├«n urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirm─â identificarea unic─â a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

15. ÔÇ×date privind s─ân─âtateaÔÇŁ ├«nseamn─â date cu caracter personal legate de s─ân─âtatea fizic─â sau mental─â a unei persoane fizice, inclusiv prestarea de servicii de asisten╚Ť─â medical─â, care dezv─âluie informa╚Ťii despre starea de s─ân─âtate a acesteia;

16. ÔÇ×sediu principalÔÇŁ ├«nseamn─â:

(a) ├«n cazul unui operator cu sedii ├«n cel pu╚Ťin dou─â state membre, locul ├«n care se afl─â administra╚Ťia central─â a acestuia ├«n Uniune, cu excep╚Ťia cazului ├«n care deciziile privind scopurile ╚Öi mijloacele de prelucrare a datelor cu caracter personal se iau ├«ntr-un alt sediu al operatorului din Uniune, sediu care are competen╚Ťa de a dispune punerea ├«n aplicare a acestor decizii, caz ├«n care sediul care a luat deciziile respective este considerat a fi sediul principal;

(b) ├«n cazul unei persoane ├«mputernicite de operator cu sedii ├«n cel pu╚Ťin dou─â state membre, locul ├«n care se afl─â administra╚Ťia central─â a acesteia ├«n Uniune, sau, ├«n cazul ├«n care persoana ├«mputernicit─â de operator nu are o administra╚Ťie central─â ├«n Uniune, sediul din Uniune al persoanei ├«mputernicite de operator ├«n care au loc activit─â╚Ťile principale de prelucrare, ├«n contextul activit─â╚Ťilor unui sediu al persoanei ├«mputernicite de operator, ├«n m─âsura ├«n care aceasta este supus─â unor obliga╚Ťii specifice ├«n temeiul prezentului regulament;

17. ÔÇ×reprezentantÔÇŁ ├«nseamn─â o persoan─â fizic─â sau juridic─â stabilit─â ├«n Uniune, desemnat─â ├«n scris de c─âtre operator sau persoana ├«mputernicit─â de operator ├«n temeiul articolului 27, care reprezint─â operatorul sau persoana ├«mputernicit─â ├«n ceea ce prive╚Öte obliga╚Ťiile lor respective care le revin ├«n temeiul prezentului regulament;

18. ÔÇ×├«ntreprindereÔÇŁ ├«nseamn─â o persoan─â fizic─â sau juridic─â ce desf─â╚Öoar─â o activitate economic─â, indiferent de forma juridic─â a acesteia, inclusiv parteneriate sau asocia╚Ťii care desf─â╚Öoar─â ├«n mod regulat o activitate economic─â;

19. ÔÇ×grup de ├«ntreprinderiÔÇŁ ├«nseamn─â o ├«ntreprindere care exercit─â controlul ╚Öi ├«ntreprinderile controlate de aceasta;

20. ÔÇ×reguli corporatiste obligatoriiÔÇŁ ├«nseamn─â politicile ├«n materie de protec╚Ťie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoan─â ├«mputernicit─â de operator stabilit─â pe teritoriul unui stat membru, ├«n ceea ce prive╚Öte transferurile sau seturile de transferuri de date cu caracter personal c─âtre un operator sau o persoan─â ├«mputernicit─â de operator ├«n una sau mai multe ╚Ť─âri ter╚Ťe ├«n cadrul unui grup de ├«ntreprinderi sau al unui grup de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â;

21. ÔÇ×autoritate de supraveghereÔÇŁ ├«nseamn─â o autoritate public─â independent─â instituit─â de un stat membru ├«n temeiul articolului 51;

22. ÔÇ×autoritate de supraveghere vizat─âÔÇŁ ├«nseamn─â o autoritate de supraveghere care este vizat─â de procesul de prelucrare a datelor cu caracter personal deoarece:

(a) operatorul sau persoana ├«mputernicit─â de operator este stabilit─â pe teritoriul statului membru al autorit─â╚Ťii de supraveghere respective;

(b) persoanele vizate care ├«╚Öi au re╚Öedin╚Ťa ├«n statul membru ├«n care se afl─â autoritatea de supraveghere respectiv─â sunt afectate ├«n mod semnificativ sau sunt susceptibile de a fi afectate ├«n mod semnificativ de prelucrare; sau

(c) la autoritatea de supraveghere respectivă a fost depusă o plângere;

23. ÔÇ×prelucrare transfrontalier─âÔÇŁ ├«nseamn─â:

(a) fie prelucrarea datelor cu caracter personal care are loc ├«n contextul activit─â╚Ťilor sediilor din mai multe state membre ale unui operator sau ale unei persoane ├«mputernicite de operator pe teritoriul Uniunii, dac─â operatorul sau persoana ├«mputernicit─â de operator are sedii ├«n cel pu╚Ťin dou─â state membre; sau

(b) fie prelucrarea datelor cu caracter personal care are loc ├«n contextul activit─â╚Ťilor unui singur sediu al unui operator sau al unei persoane ├«mputernicite de operator pe teritoriul Uniunii, dar care afecteaz─â ├«n mod semnificativ sau este susceptibil─â de a afecta ├«n mod semnificativ persoane vizate din cel pu╚Ťin dou─â state membre;

24. ÔÇ×obiec╚Ťie relevant─â ╚Öi motivat─âÔÇŁ ├«nseamn─â o obiec╚Ťie la un proiect de decizie ├«n scopul de a stabili dac─â exist─â o ├«nc─âlcare a prezentului regulament sau dac─â m─âsurile preconizate ├«n ceea ce prive╚Öte operatorul sau persoana ├«mputernicit─â de operator respect─â prezentul regulament, care demonstreaz─â ├«n mod clar importan╚Ťa riscurilor pe care le prezint─â proiectul de decizie ├«n ceea ce prive╚Öte drepturile ╚Öi libert─â╚Ťile fundamentale ale persoanelor vizate ╚Öi, dup─â caz, libera circula╚Ťie a datelor cu caracter personal ├«n cadrul Uniunii;

25. ÔÇ×serviciile societ─â╚Ťii informa╚ŤionaleÔÇŁ ├«nseamn─â un serviciu astfel cum este definit la articolul 1 alineatul (1) litera (b) din Directiva 98/34/CE a Parlamentului European ╚Öi a Consiliului (19);

26. ÔÇ×organiza╚Ťie interna╚Ťional─âÔÇŁ ├«nseamn─â o organiza╚Ťie ╚Öi organismele sale subordonate reglementate de dreptul interna╚Ťional public sau orice alt organism care este instituit printr-un acord ├«ncheiat ├«ntre dou─â sau mai multe ╚Ť─âri sau ├«n temeiul unui astfel de acord.

CAPITOLUL II

Principii

Articolul 5

Principii legate de prelucrarea datelor cu caracter personal

(1) Datele cu caracter personal sunt:

(a) prelucrate ├«n mod legal, echitabil ╚Öi transparent fa╚Ť─â de persoana vizat─â (ÔÇ×legalitate, echitate ╚Öi transparen╚Ť─âÔÇŁ);

(b) colectate ├«n scopuri determinate, explicite ╚Öi legitime ╚Öi nu sunt prelucrate ulterior ├«ntr-un mod incompatibil cu aceste scopuri; prelucrarea ulterioar─â ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice nu este considerat─â incompatibil─â cu scopurile ini╚Ťiale, ├«n conformitate cu articolul 89 alineatul (1) (ÔÇ×limit─âri legate de scopÔÇŁ);

(c) adecvate, relevante ╚Öi limitate la ceea ce este necesar ├«n raport cu scopurile ├«n care sunt prelucrate (ÔÇ×reducerea la minimum a datelorÔÇŁ);

(d) exacte ╚Öi, ├«n cazul ├«n care este necesar, s─â fie actualizate; trebuie s─â se ia toate m─âsurile necesare pentru a se asigura c─â datele cu caracter personal care sunt inexacte, av├ónd ├«n vedere scopurile pentru care sunt prelucrate, sunt ╚Öterse sau rectificate f─âr─â ├«nt├órziere (ÔÇ×exactitateÔÇŁ);

(e) p─âstrate ├«ntr-o form─â care permite identificarea persoanelor vizate pe o perioad─â care nu dep─â╚Öe╚Öte perioada necesar─â ├«ndeplinirii scopurilor ├«n care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi ├«n m─âsura ├«n care acestea vor fi prelucrate exclusiv ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice, ├«n conformitate cu articolul 89 alineatul (1), sub rezerva punerii ├«n aplicare a m─âsurilor de ordin tehnic ╚Öi organizatoric adecvate prev─âzute ├«n prezentul regulament ├«n vederea garant─ârii drepturilor ╚Öi libert─â╚Ťilor persoanei vizate (ÔÇ×limit─âri legate de stocareÔÇŁ);

(f) prelucrate ├«ntr-un mod care asigur─â securitatea adecvat─â a datelor cu caracter personal, inclusiv protec╚Ťia ├«mpotriva prelucr─ârii neautorizate sau ilegale ╚Öi ├«mpotriva pierderii, a distrugerii sau a deterior─ârii accidentale, prin luarea de m─âsuri tehnice sau organizatorice corespunz─âtoare (ÔÇ×integritate ╚Öi confiden╚ŤialitateÔÇŁ).

(2) Operatorul este responsabil de respectarea alineatului (1) ╚Öi poate demonstra aceast─â respectare (ÔÇ×responsabilitateÔÇŁ).

Articolul 6

Legalitatea prelucr─ârii

(1) Prelucrarea este legal─â numai dac─â ╚Öi ├«n m─âsura ├«n care se aplic─â cel pu╚Ťin una dintre urm─âtoarele condi╚Ťii:

(a) persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

(c) prelucrarea este necesar─â ├«n vederea ├«ndeplinirii unei obliga╚Ťii legale care ├«i revine operatorului;

(d) prelucrarea este necesar─â pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;

(e) prelucrarea este necesar─â pentru ├«ndeplinirea unei sarcini care serve╚Öte unui interes public sau care rezult─â din exercitarea autorit─â╚Ťii publice cu care este ├«nvestit operatorul;

(f) prelucrarea este necesar─â ├«n scopul intereselor legitime urm─ârite de operator sau de o parte ter╚Ť─â, cu excep╚Ťia cazului ├«n care prevaleaz─â interesele sau drepturile ╚Öi libert─â╚Ťile fundamentale ale persoanei vizate, care necesit─â protejarea datelor cu caracter personal, ├«n special atunci c├ónd persoana vizat─â este un copil.

Litera (f) din primul paragraf nu se aplic─â ├«n cazul prelucr─ârii efectuate de autorit─â╚Ťi publice ├«n ├«ndeplinirea atribu╚Ťiilor lor.

(2) Statele membre pot men╚Ťine sau introduce dispozi╚Ťii mai specifice de adaptare a aplic─ârii normelor prezentului regulament ├«n ceea ce prive╚Öte prelucrarea ├«n vederea respect─ârii alineatului (1) literele (c) ╚Öi (e) prin definirea unor cerin╚Ťe specifice mai precise cu privire la prelucrare ╚Öi a altor m─âsuri de asigurare a unei prelucr─âri legale ╚Öi echitabile, inclusiv pentru alte situa╚Ťii concrete de prelucrare, astfel cum este prev─âzut ├«n capitolul IX.

(3) Temeiul pentru prelucrarea men╚Ťionat─â la alineatul (1) literele (c) ╚Öi (e) trebuie s─â fie prev─âzut ├«n:

(a) dreptul Uniunii; sau

(b) dreptul intern care se aplic─â operatorului.

Scopul prelucr─ârii este stabilit pe baza respectivului temei juridic sau, ├«n ceea ce prive╚Öte prelucrarea men╚Ťionat─â la alineatul (1) litera (e), este necesar pentru ├«ndeplinirea unei sarcini efectuate ├«n interes public sau ├«n cadrul exercit─ârii unei func╚Ťii publice atribuite operatorului. Respectivul temei juridic poate con╚Ťine dispozi╚Ťii specifice privind adaptarea aplic─ârii normelor prezentului regulament, printre altele: condi╚Ťiile generale care reglementeaz─â legalitatea prelucr─ârii de c─âtre operator; tipurile de date care fac obiectul prelucr─ârii; persoanele vizate; entit─â╚Ťile c─ârora le pot fi divulgate datele ╚Öi scopul pentru care respectivele date cu caracter personal pot fi divulgate; limit─ârile legate de scop; perioadele de stocare; ╚Öi opera╚Ťiunile ╚Öi procedurile de prelucrare, inclusiv m─âsurile de asigurare a unei prelucr─âri legale ╚Öi echitabile cum sunt cele pentru alte situa╚Ťii concrete de prelucrare astfel cum sunt prev─âzute ├«n capitolul IX. Dreptul Uniunii sau dreptul intern urm─âre╚Öte un obiectiv de interes public ╚Öi este propor╚Ťional cu obiectivul legitim urm─ârit.

(4) ├Än cazul ├«n care prelucrarea ├«n alt scop dec├ót cel pentru care datele cu caracter personal au fost colectate nu se bazeaz─â pe consim╚Ť─âm├óntul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o m─âsur─â necesar─â ╚Öi propor╚Ťional─â ├«ntr-o societate democratic─â pentru a proteja obiectivele men╚Ťionate la articolul 23 alineatul (1), operatorul, pentru a stabili dac─â prelucrarea ├«n alt scop este compatibil─â cu scopul pentru care datele cu caracter personal au fost colectate ini╚Ťial, ia ├«n considerare, printre altele:

(a) orice legătură dintre scopurile în care datele cu caracter personal au fost colectate și scopurile prelucrării ulterioare preconizate;

(b) contextul ├«n care datele cu caracter personal au fost colectate, ├«n special ├«n ceea ce prive╚Öte rela╚Ťia dintre persoanele vizate ╚Öi operator;

(c) natura datelor cu caracter personal, ├«n special ├«n cazul prelucr─ârii unor categorii speciale de date cu caracter personal, ├«n conformitate cu articolul 9, sau ├«n cazul ├«n care sunt prelucrate date cu caracter personal referitoare la condamn─âri penale ╚Öi infrac╚Ťiuni, ├«n conformitate cu articolul 10;

(d) posibilele consecin╚Ťe asupra persoanelor vizate ale prelucr─ârii ulterioare preconizate;

(e) existen╚Ťa unor garan╚Ťii adecvate, care pot include criptarea sau pseudonimizarea.

Articolul 7

Condi╚Ťii privind consim╚Ť─âm├óntul

(1) ├Än cazul ├«n care prelucrarea se bazeaz─â pe consim╚Ť─âm├ónt, operatorul trebuie s─â fie ├«n m─âsur─â s─â demonstreze c─â persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul pentru prelucrarea datelor sale cu caracter personal.

(2) ├Än cazul ├«n care consim╚Ť─âm├óntul persoanei vizate este dat ├«n contextul unei declara╚Ťii scrise care se refer─â ╚Öi la alte aspecte, cererea privind consim╚Ť─âm├óntul trebuie s─â fie prezentat─â ├«ntr-o form─â care o diferen╚Ťiaz─â ├«n mod clar de celelalte aspecte, ├«ntr-o form─â inteligibil─â ╚Öi u╚Öor accesibil─â, utiliz├ónd un limbaj clar ╚Öi simplu. Nicio parte a respectivei declara╚Ťii care constituie o ├«nc─âlcare a prezentului regulament nu este obligatorie.

(3) Persoana vizat─â are dreptul s─â ├«╚Öi retrag─â ├«n orice moment consim╚Ť─âm├óntul. Retragerea consim╚Ť─âm├óntului nu afecteaz─â legalitatea prelucr─ârii efectuate pe baza consim╚Ť─âm├óntului ├«nainte de retragerea acestuia. ├Änainte de acordarea consim╚Ť─âm├óntului, persoana vizat─â este informat─â cu privire la acest lucru. Retragerea consim╚Ť─âm├óntului se face la fel de simplu ca acordarea acestuia.

(4) Atunci c├ónd se evalueaz─â dac─â consim╚Ť─âm├óntul este dat ├«n mod liber, se ╚Ťine seama c├ót mai mult de faptul c─â, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condi╚Ťionat─â sau nu de consim╚Ť─âm├óntul cu privire la prelucrarea datelor cu caracter personal care nu este necesar─â pentru executarea acestui contract.

Articolul 8

Condi╚Ťii aplicabile ├«n ceea ce prive╚Öte consim╚Ť─âm├óntul copiilor ├«n leg─âtur─â cu serviciile societ─â╚Ťii informa╚Ťionale

(1) ├Än cazul ├«n care se aplic─â articolul 6 alineatul (1) litera (a), ├«n ceea ce prive╚Öte oferirea de servicii ale societ─â╚Ťii informa╚Ťionale ├«n mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legal─â dac─â copilul are cel pu╚Ťin v├órsta de 16 ani. Dac─â copilul are sub v├órsta de 16 ani, respectiva prelucrare este legal─â numai dac─â ╚Öi ├«n m─âsura ├«n care consim╚Ť─âm├óntul respectiv este acordat sau autorizat de titularul r─âspunderii p─ârinte╚Öti asupra copilului.

Statele membre pot prevedea prin lege o v├órst─â inferioar─â ├«n aceste scopuri, cu condi╚Ťia ca acea v├órst─â inferioar─â s─â nu fie mai mic─â de 13 ani.

(2) Operatorul depune toate eforturile rezonabile pentru a verifica ├«n astfel de cazuri c─â titularul r─âspunderii p─ârinte╚Öti a acordat sau a autorizat consim╚Ť─âm├óntul, ╚Ťin├ónd seama de tehnologiile disponibile.

(3) Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un copil.

Articolul 9

Prelucrarea de categorii speciale de date cu caracter personal

(1) Se interzice prelucrarea de date cu caracter personal care dezv─âluie originea rasial─â sau etnic─â, opiniile politice, confesiunea religioas─â sau convingerile filozofice sau apartenen╚Ťa la sindicate ╚Öi prelucrarea de date genetice, de date biometrice pentru identificarea unic─â a unei persoane fizice, de date privind s─ân─âtatea sau de date privind via╚Ťa sexual─â sau orientarea sexual─â ale unei persoane fizice.

(2) Alineatul (1) nu se aplic─â ├«n urm─âtoarele situa╚Ťii:

(a) persoana vizat─â ╚Öi-a dat consim╚Ť─âm├óntul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excep╚Ťia cazului ├«n care dreptul Uniunii sau dreptul intern prevede ca interdic╚Ťia prev─âzut─â la alineatul (1) s─â nu poat─â fi ridicat─â prin consim╚Ť─âm├óntul persoanei vizate;

(b) prelucrarea este necesar─â ├«n scopul ├«ndeplinirii obliga╚Ťiilor ╚Öi al exercit─ârii unor drepturi specifice ale operatorului sau ale persoanei vizate ├«n domeniul ocup─ârii for╚Ťei de munc─â ╚Öi al securit─â╚Ťii sociale ╚Öi protec╚Ťiei sociale, ├«n m─âsura ├«n care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de munc─â ├«ncheiat ├«n temeiul dreptului intern care prevede garan╚Ťii adecvate pentru drepturile fundamentale ╚Öi interesele persoanei vizate;

(c) prelucrarea este necesar─â pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci c├ónd persoana vizat─â se afl─â ├«n incapacitate fizic─â sau juridic─â de a-╚Öi da consim╚Ť─âm├óntul;

(d) prelucrarea este efectuat─â ├«n cadrul activit─â╚Ťilor lor legitime ╚Öi cu garan╚Ťii adecvate de c─âtre o funda╚Ťie, o asocia╚Ťie sau orice alt organism f─âr─â scop lucrativ ╚Öi cu specific politic, filozofic, religios sau sindical, cu condi╚Ťia ca prelucrarea s─â se refere numai la membrii sau la fo╚Ötii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente ├«n leg─âtur─â cu scopurile sale ╚Öi ca datele cu caracter personal s─â nu fie comunicate ter╚Ťilor f─âr─â consim╚Ť─âm├óntul persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;

(f) prelucrarea este necesar─â pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â sau ori de c├óte ori instan╚Ťele ac╚Ťioneaz─â ├«n exerci╚Ťiul func╚Ťiei lor judiciare;

(g) prelucrarea este necesar─â din motive de interes public major, ├«n baza dreptului Uniunii sau a dreptului intern, care este propor╚Ťional cu obiectivul urm─ârit, respect─â esen╚Ťa dreptului la protec╚Ťia datelor ╚Öi prevede m─âsuri corespunz─âtoare ╚Öi specifice pentru protejarea drepturilor fundamentale ╚Öi a intereselor persoanei vizate;

(h) prelucrarea este necesar─â ├«n scopuri legate de medicina preventiv─â sau a muncii, de evaluarea capacit─â╚Ťii de munc─â a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asisten╚Ť─â medical─â sau social─â sau a unui tratament medical sau de gestionarea sistemelor ╚Öi serviciilor de s─ân─âtate sau de asisten╚Ť─â social─â, ├«n temeiul dreptului Uniunii sau al dreptului intern sau ├«n temeiul unui contract ├«ncheiat cu un cadru medical ╚Öi sub rezerva respect─ârii condi╚Ťiilor ╚Öi garan╚Ťiilor prev─âzute la alineatul (3);

(i) prelucrarea este necesar─â din motive de interes public ├«n domeniul s─ân─ât─â╚Ťii publice, cum ar fi protec╚Ťia ├«mpotriva amenin╚Ť─ârilor transfrontaliere grave la adresa s─ân─ât─â╚Ťii sau asigurarea de standarde ridicate de calitate ╚Öi siguran╚Ť─â a asisten╚Ťei medicale ╚Öi a medicamentelor sau a dispozitivelor medicale, ├«n temeiul dreptului Uniunii sau al dreptului intern, care prevede m─âsuri adecvate ╚Öi specifice pentru protejarea drepturilor ╚Öi libert─â╚Ťilor persoanei vizate, ├«n special a secretului profesional; sau

(j) prelucrarea este necesar─â ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice, ├«n conformitate cu articolul 89 alineatul (1), ├«n baza dreptului Uniunii sau a dreptului intern, care este propor╚Ťional cu obiectivul urm─ârit, respect─â esen╚Ťa dreptului la protec╚Ťia datelor ╚Öi prevede m─âsuri corespunz─âtoare ╚Öi specifice pentru protejarea drepturilor fundamentale ╚Öi a intereselor persoanei vizate.

(3) Datele cu caracter personal men╚Ťionate la alineatul (1) pot fi prelucrate ├«n scopurile men╚Ťionate la alineatul (2) litera (h) ├«n cazul ├«n care datele respective sunt prelucrate de c─âtre un profesionist supus obliga╚Ťiei de p─âstrare a secretului profesional sau sub responsabilitatea acestuia, ├«n temeiul dreptului Uniunii sau al dreptului intern sau ├«n temeiul normelor stabilite de organisme na╚Ťionale competente sau de o alt─â persoan─â supus─â, de asemenea, unei obliga╚Ťii de confiden╚Ťialitate ├«n temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme na╚Ťionale competente.

(4) Statele membre pot men╚Ťine sau introduce condi╚Ťii suplimentare, inclusiv restric╚Ťii, ├«n ceea ce prive╚Öte prelucrarea de date genetice, date biometrice sau date privind s─ân─âtatea.

Articolul 10

Prelucrarea de date cu caracter personal referitoare la condamn─âri penale ╚Öi infrac╚Ťiuni

Prelucrarea de date cu caracter personal referitoare la condamn─âri penale ╚Öi infrac╚Ťiuni sau la m─âsuri de securitate conexe ├«n temeiul articolului 6 alineatul (1) se efectueaz─â numai sub controlul unei autorit─â╚Ťi de stat sau atunci c├ónd prelucrarea este autorizat─â de dreptul Uniunii sau de dreptul intern care prevede garan╚Ťii adecvate pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate. Orice registru cuprinz─âtor al condamn─ârilor penale se ╚Ťine numai sub controlul unei autorit─â╚Ťi de stat.

Articolul 11

Prelucrarea care nu necesit─â identificare

(1) ├Än cazul ├«n care scopurile pentru care un operator prelucreaz─â date cu caracter personal nu necesit─â sau nu mai necesit─â identificarea unei persoane vizate de c─âtre operator, operatorul nu are obliga╚Ťia de a p─âstra, ob╚Ťine sau prelucra informa╚Ťii suplimentare pentru a identifica persoana vizat─â ├«n scopul unic al respect─ârii prezentului regulament.

(2) Dac─â, ├«n cazurile men╚Ťionate la alineatul (1) din prezentul articol, operatorul poate demonstra c─â nu este ├«n m─âsur─â s─â identifice persoana vizat─â, operatorul informeaz─â persoana vizat─â ├«n mod corespunz─âtor, ├«n cazul ├«n care este posibil. ├Än astfel de cazuri, articolele 15-20 nu se aplic─â, cu excep╚Ťia cazului ├«n care persoana vizat─â, ├«n scopul exercit─ârii drepturilor sale ├«n temeiul respectivelor articole, ofer─â informa╚Ťii suplimentare care permit identificarea sa.

CAPITOLUL III

Drepturile persoanei vizate

Sec╚Ťiunea 1

Transparen╚Ť─â ╚Öi modalit─â╚Ťi

Articolul 12

Transparen╚Ťa informa╚Ťiilor, a comunic─ârilor ╚Öi a modalit─â╚Ťilor de exercitare a drepturilor persoanei vizate

(1) Operatorul ia m─âsuri adecvate pentru a furniza persoanei vizate orice informa╚Ťii men╚Ťionate la articolele 13 ╚Öi 14 ╚Öi orice comunic─âri ├«n temeiul articolelor 15-22 ╚Öi 34 referitoare la prelucrare, ├«ntr-o form─â concis─â, transparent─â, inteligibil─â ╚Öi u╚Öor accesibil─â, utiliz├ónd un limbaj clar ╚Öi simplu, ├«n special pentru orice informa╚Ťii adresate ├«n mod specific unui copil. Informa╚Ťiile se furnizeaz─â ├«n scris sau prin alte mijloace, inclusiv, atunci c├ónd este oportun, ├«n format electronic. La solicitarea persoanei vizate, informa╚Ťiile pot fi furnizate verbal, cu condi╚Ťia ca identitatea persoanei vizate s─â fie dovedit─â prin alte mijloace.

(2) Operatorul faciliteaz─â exercitarea drepturilor persoanei vizate ├«n temeiul articolelor 15-22. ├Än cazurile men╚Ťionate la articolul 11 alineatul (2), operatorul nu refuz─â s─â dea curs cererii persoanei vizate de a-╚Öi exercita drepturile ├«n conformitate cu articolele 15-22, cu excep╚Ťia cazului ├«n care operatorul demonstreaz─â c─â nu este ├«n m─âsur─â s─â identifice persoana vizat─â.

(3) Operatorul furnizeaz─â persoanei vizate informa╚Ťii privind ac╚Ťiunile ├«ntreprinse ├«n urma unei cereri ├«n temeiul articolelor 15-22, f─âr─â ├«nt├órzieri nejustificate ╚Öi ├«n orice caz ├«n cel mult o lun─â de la primirea cererii. Aceast─â perioad─â poate fi prelungit─â cu dou─â luni atunci c├ónd este necesar, ╚Ťin├óndu-se seama de complexitatea ╚Öi num─ârul cererilor. Operatorul informeaz─â persoana vizat─â cu privire la orice astfel de prelungire, ├«n termen de o lun─â de la primirea cererii, prezent├ónd ╚Öi motivele ├«nt├órzierii. ├Än cazul ├«n care persoana vizat─â introduce o cerere ├«n format electronic, informa╚Ťiile sunt furnizate ├«n format electronic acolo unde este posibil, cu excep╚Ťia cazului ├«n care persoana vizat─â solicit─â un alt format.

(4) Dac─â nu ia m─âsuri cu privire la cererea persoanei vizate, operatorul informeaz─â persoana vizat─â, f─âr─â ├«nt├órziere ╚Öi ├«n termen de cel mult o lun─â de la primirea cererii, cu privire la motivele pentru care nu ia m─âsuri ╚Öi la posibilitatea de a depune o pl├óngere ├«n fa╚Ťa unei autorit─â╚Ťi de supraveghere ╚Öi de a introduce o cale de atac judiciar─â.

(5) Informa╚Ťiile furnizate ├«n temeiul articolelor 13 ╚Öi 14 ╚Öi orice comunicare ╚Öi orice m─âsuri luate ├«n temeiul articolelor 15-22 ╚Öi 34 sunt oferite gratuit. ├Än cazul ├«n care cererile din partea unei persoane vizate sunt ├«n mod v─âdit nefondate sau excesive, ├«n special din cauza caracterului lor repetitiv, operatorul poate:

(a) fie s─â perceap─â o tax─â rezonabil─â ╚Ťin├ónd cont de costurile administrative pentru furnizarea informa╚Ťiilor sau a comunic─ârii sau pentru luarea m─âsurilor solicitate;

(b) fie s─â refuze s─â dea curs cererii.

În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

(6) F─âr─â a aduce atingere articolului 11, ├«n cazul ├«n care are ├«ndoieli ├«ntemeiate cu privire la identitatea persoanei fizice care ├«nainteaz─â cererea men╚Ťionat─â la articolele 15-21, operatorul poate solicita furnizarea de informa╚Ťii suplimentare necesare pentru a confirma identitatea persoanei vizate.

(7) Informa╚Ťiile care urmeaz─â s─â fie furnizate persoanelor vizate ├«n temeiul articolelor 13 ╚Öi 14 pot fi furnizate ├«n combina╚Ťie cu pictograme standardizate pentru a oferi ├«ntr-un mod u╚Öor vizibil, inteligibil ╚Öi clar lizibil o imagine de ansamblu semnificativ─â asupra prelucr─ârii avute ├«n vedere. ├Än cazul ├«n care pictogramele sunt prezentate ├«n format electronic, acestea trebuie s─â poat─â fi citite automat.

(8) Comisia este ├«mputernicit─â s─â adopte acte delegate ├«n conformitate cu articolul 92 ├«n vederea determin─ârii informa╚Ťiilor care urmeaz─â s─â fie prezentate de pictograme ╚Öi a procedurilor pentru furnizarea de pictograme standardizate.

Sec╚Ťiunea 2

Informare și acces la date cu caracter personal

Articolul 13

Informa╚Ťii care se furnizeaz─â ├«n cazul ├«n care datele cu caracter personal sunt colectate de la persoana vizat─â

(1) ├Än cazul ├«n care datele cu caracter personal referitoare la o persoan─â vizat─â sunt colectate de la aceasta, operatorul, ├«n momentul ob╚Ťinerii acestor date cu caracter personal, furnizeaz─â persoanei vizate toate informa╚Ťiile urm─âtoare:

(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protec╚Ťia datelor, dup─â caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

(d) ├«n cazul ├«n care prelucrarea se face ├«n temeiul articolului 6 alineatul (1) litera (f), interesele legitime urm─ârite de operator sau de o parte ter╚Ť─â;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(f) dac─â este cazul, inten╚Ťia operatorului de a transfera date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â ╚Öi existen╚Ťa sau absen╚Ťa unei decizii a Comisiei privind caracterul adecvat sau, ├«n cazul transferurilor men╚Ťionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garan╚Ťiile adecvate sau corespunz─âtoare ╚Öi la mijloacele de a ob╚Ťine o copie a acestora, ├«n cazul ├«n care acestea au fost puse la dispozi╚Ťie.

(2) ├Än plus fa╚Ť─â de informa╚Ťiile men╚Ťionate la alineatul (1), ├«n momentul ├«n care datele cu caracter personal sunt ob╚Ťinute, operatorul furnizeaz─â persoanei vizate urm─âtoarele informa╚Ťii suplimentare necesare pentru a asigura o prelucrare echitabil─â ╚Öi transparent─â:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dac─â acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast─â perioad─â;

(b) existen╚Ťa dreptului de a solicita operatorului, ├«n ceea ce prive╚Öte datele cu caracter personal referitoare la persoana vizat─â, accesul la acestea, rectificarea sau ╚Ötergerea acestora sau restric╚Ťionarea prelucr─ârii sau a dreptului de a se opune prelucr─ârii, precum ╚Öi a dreptului la portabilitatea datelor;

(c) atunci c├ónd prelucrarea se bazeaz─â pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existen╚Ťa dreptului de a retrage consim╚Ť─âm├óntul ├«n orice moment, f─âr─â a afecta legalitatea prelucr─ârii efectuate pe baza consim╚Ť─âm├óntului ├«nainte de retragerea acestuia;

(d) dreptul de a depune o pl├óngere ├«n fa╚Ťa unei autorit─â╚Ťi de supraveghere;

(e) dac─â furnizarea de date cu caracter personal reprezint─â o obliga╚Ťie legal─â sau contractual─â sau o obliga╚Ťie necesar─â pentru ├«ncheierea unui contract, precum ╚Öi dac─â persoana vizat─â este obligat─â s─â furnizeze aceste date cu caracter personal ╚Öi care sunt eventualele consecin╚Ťe ale nerespect─ârii acestei obliga╚Ťii;

(f) existen╚Ťa unui proces decizional automatizat incluz├ónd crearea de profiluri, men╚Ťionat la articolul 22 alineatele (1) ╚Öi (4), precum ╚Öi, cel pu╚Ťin ├«n cazurile respective, informa╚Ťii pertinente privind logica utilizat─â ╚Öi privind importan╚Ťa ╚Öi consecin╚Ťele preconizate ale unei astfel de prelucr─âri pentru persoana vizat─â.

(3) ├Än cazul ├«n care operatorul inten╚Ťioneaz─â s─â prelucreze ulterior datele cu caracter personal ├«ntr-un alt scop dec├ót cel pentru care acestea au fost colectate, operatorul furnizeaz─â persoanei vizate, ├«nainte de aceast─â prelucrare ulterioar─â, informa╚Ťii privind scopul secundar respectiv ╚Öi orice informa╚Ťii suplimentare relevante, ├«n conformitate cu alineatul (2).

(4) Alineatele (1), (2) ╚Öi (3) nu se aplic─â dac─â ╚Öi ├«n m─âsura ├«n care persoana vizat─â de╚Ťine deja informa╚Ťiile respective.

Articolul 14

Informa╚Ťii care se furnizeaz─â ├«n cazul ├«n care datele cu caracter personal nu au fost ob╚Ťinute de la persoana vizat─â

(1) ├Än cazul ├«n care datele cu caracter personal nu au fost ob╚Ťinute de la persoana vizat─â, operatorul furnizeaz─â persoanei vizate urm─âtoarele informa╚Ťii:

(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;

(b) datele de contact ale responsabilului cu protec╚Ťia datelor, dup─â caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

(d) categoriile de date cu caracter personal vizate;

(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, dup─â caz;

(f) dac─â este cazul, inten╚Ťia operatorului de a transfera date cu caracter personal c─âtre un destinatar dintr-o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â ╚Öi existen╚Ťa sau absen╚Ťa unei decizii a Comisiei privind caracterul adecvat sau, ├«n cazul transferurilor men╚Ťionate la articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garan╚Ťiile adecvate sau corespunz─âtoare ╚Öi la mijloacele de a ob╚Ťine o copie a acestora, ├«n cazul ├«n care acestea au fost puse la dispozi╚Ťie.

(2) Pe l├óng─â informa╚Ťiile men╚Ťionate la alineatul (1), operatorul furnizeaz─â persoanei vizate urm─âtoarele informa╚Ťii necesare pentru a asigura o prelucrare echitabil─â ╚Öi transparent─â ├«n ceea ce prive╚Öte persoana vizat─â:

(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dac─â acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast─â perioad─â;

(b)├«n cazul ├«n care prelucrarea se face ├«n temeiul articolului 6 alineatul (1) litera (f), interesele legitime urm─ârite de operator sau de o parte ter╚Ť─â;

(c) existen╚Ťa dreptului de a solicita operatorului, ├«n ceea ce prive╚Öte datele cu caracter personal referitoare la persoana vizat─â, accesul la acestea, rectificarea sau ╚Ötergerea acestora sau restric╚Ťionarea prelucr─ârii ╚Öi a dreptului de a se opune prelucr─ârii, precum ╚Öi a dreptului la portabilitatea datelor;

(d) atunci c├ónd prelucrarea se bazeaz─â pe articolul 6 alineatul (1) litera (a) sau pe articolul 9 alineatul (2) litera (a), existen╚Ťa dreptului de a retrage consim╚Ť─âm├óntul ├«n orice moment, f─âr─â a afecta legalitatea prelucr─ârii efectuate pe baza consim╚Ť─âm├óntului ├«nainte de retragerea acestuia;

(e) dreptul de a depune o pl├óngere ├«n fa╚Ťa unei autorit─â╚Ťi de supraveghere;

(f) sursa din care provin datele cu caracter personal și, dacă este cazul, dacă acestea provin din surse disponibile public;

(g) existen╚Ťa unui proces decizional automatizat incluz├ónd crearea de profiluri, men╚Ťionat la articolul 22 alineatele (1) ╚Öi (4), precum ╚Öi, cel pu╚Ťin ├«n cazurile respective, informa╚Ťii pertinente privind logica utilizat─â ╚Öi privind importan╚Ťa ╚Öi consecin╚Ťele preconizate ale unei astfel de prelucr─âri pentru persoana vizat─â.

(3) Operatorul furnizeaz─â informa╚Ťiile men╚Ťionate la alineatele (1) ╚Öi (2):

(a) ├«ntr-un termen rezonabil dup─â ob╚Ťinerea datelor cu caracter personal, dar nu mai mare de o lun─â, ╚Ťin├óndu-se seama de circumstan╚Ťele specifice ├«n care sunt prelucrate datele cu caracter personal;

(b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau

(c) dac─â se inten╚Ťioneaz─â divulgarea datelor cu caracter personal c─âtre un alt destinatar, cel mai t├órziu la data la care acestea sunt divulgate pentru prima oar─â.

(4) ├Än cazul ├«n care operatorul inten╚Ťioneaz─â s─â prelucreze ulterior datele cu caracter personal ├«ntr-un alt scop dec├ót cel pentru care acestea au fost ob╚Ťinute, operatorul furnizeaz─â persoanei vizate, ├«nainte de aceast─â prelucrare ulterioar─â, informa╚Ťii privind scopul secundar respectiv ╚Öi orice informa╚Ťii suplimentare relevante, ├«n conformitate cu alineatul (2).

(5) Alineatele (1)-(4) nu se aplică dacă și în măsura în care:

(a) persoana vizat─â de╚Ťine deja informa╚Ťiile;

(b) furnizarea acestor informa╚Ťii se dovede╚Öte a fi imposibil─â sau ar implica eforturi dispropor╚Ťionate, ├«n special ├«n cazul prelucr─ârii ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice, sub rezerva condi╚Ťiilor ╚Öi a garan╚Ťiilor prev─âzute la articolul 89 alineatul (1), sau ├«n m─âsura ├«n care obliga╚Ťia men╚Ťionat─â la alineatul (1) din prezentul articol este susceptibil s─â fac─â imposibil─â sau s─â afecteze ├«n mod grav realizarea obiectivelor prelucr─ârii respective In astfel de cazuri, operatorul ia m─âsuri adecvate pentru a proteja drepturile, libert─â╚Ťile ╚Öi interesele legitime ale persoanei vizate, inclusiv punerea informa╚Ťiilor la dispozi╚Ťia publicului;

(c) ob╚Ťinerea sau divulgarea datelor este prev─âzut─â ├«n mod expres de dreptul Uniunii sau de dreptul intern sub inciden╚Ťa c─âruia intr─â operatorul ╚Öi care prevede m─âsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau

(d) ├«n cazul ├«n care datele cu caracter personal trebuie s─â r─âm├ón─â confiden╚Ťiale ├«n temeiul unei obliga╚Ťii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obliga╚Ťii legale de a p─âstra secretul.

Articolul 15

Dreptul de acces al persoanei vizate

(1) Persoana vizat─â are dreptul de a ob╚Ťine din partea operatorului o confirmare c─â se prelucreaz─â sau nu date cu caracter personal care o privesc ╚Öi, ├«n caz afirmativ, acces la datele respective ╚Öi la urm─âtoarele informa╚Ťii:

(a) scopurile prelucr─ârii;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari c─ârora datele cu caracter personal le-au fost sau urmeaz─â s─â le fie divulgate, ├«n special destinatari din ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale

(d) acolo unde este posibil, perioada pentru care se preconizeaz─â c─â vor fi stocate datele cu caracter personal sau, dac─â acest lucru nu este posibil, criteriile utilizate pentru a stabili aceast─â perioad─â;

(e) existen╚Ťa dreptului de a solicita operatorului rectificarea sau ╚Ötergerea datelor cu caracter personal ori restric╚Ťionarea prelucr─ârii datelor cu caracter personal referitoare la persoana vizat─â sau a dreptului de a se opune prelucr─ârii;

(f) dreptul de a depune o pl├óngere ├«n fa╚Ťa unei autorit─â╚Ťi de supraveghere;

(g) ├«n cazul ├«n care datele cu caracter personal nu sunt colectate de la persoana vizat─â, orice informa╚Ťii disponibile privind sursa acestora;

(h) existen╚Ťa unui proces decizional automatizat incluz├ónd crearea de profiluri, men╚Ťionat la articolul 22 alineatele (1) ╚Öi (4), precum ╚Öi, cel pu╚Ťin ├«n cazurile respective, informa╚Ťii pertinente privind logica utilizat─â ╚Öi privind importan╚Ťa ╚Öi consecin╚Ťele preconizate ale unei astfel de prelucr─âri pentru persoana vizat─â.

(2) ├Än cazul ├«n care datele cu caracter personal sunt transferate c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â, persoana vizat─â are dreptul s─â fie informat─â cu privire la garan╚Ťiile adecvate ├«n temeiul articolului 46 referitoare la transfer.

(3) Operatorul furnizeaz─â o copie a datelor cu caracter personal care fac obiectul prelucr─ârii. Pentru orice alte copii solicitate de persoana vizat─â, operatorul poate percepe o tax─â rezonabil─â, bazat─â pe costurile administrative. ├Än cazul ├«n care persoana vizat─â introduce cererea ├«n format electronic ╚Öi cu excep╚Ťia cazului ├«n care persoana vizat─â solicit─â un alt format, informa╚Ťiile sunt furnizate ├«ntr-un format electronic utilizat ├«n mod curent.

(4) Dreptul de a ob╚Ťine o copie men╚Ťionat─â la alineatul (3) nu aduce atingere drepturilor ╚Öi libert─â╚Ťilor altora.

Sec╚Ťiunea 3

Rectificare și ștergere

Articolul 16

Dreptul la rectificare

Persoana vizat─â are dreptul de a ob╚Ťine de la operator, f─âr─â ├«nt├órzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. ╚Üin├óndu-se seama de scopurile ├«n care au fost prelucrate datele, persoana vizat─â are dreptul de a ob╚Ťine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declara╚Ťii suplimentare.

Articolul 17

Dreptul la ╚Ötergerea datelor (ÔÇ×dreptul de a fi uitatÔÇŁ)

(1) Persoana vizat─â are dreptul de a ob╚Ťine din partea operatorului ╚Ötergerea datelor cu caracter personal care o privesc, f─âr─â ├«nt├órzieri nejustificate, iar operatorul are obliga╚Ťia de a ╚Öterge datele cu caracter personal f─âr─â ├«nt├órzieri nejustificate ├«n cazul ├«n care se aplic─â unul dintre urm─âtoarele motive:

(a) datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b) persoana vizat─â ├«╚Öi retrage consim╚Ť─âm├óntul pe baza c─âruia are loc prelucrarea, ├«n conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), ╚Öi nu exist─â niciun alt temei juridic pentru prelucrarea;

(c) persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

(d) datele cu caracter personal au fost prelucrate ilegal;

(e) datele cu caracter personal trebuie ╚Öterse pentru respectarea unei obliga╚Ťii legale care revine operatorului ├«n temeiul dreptului Uniunii sau al dreptului intern sub inciden╚Ťa c─âruia se afl─â operatorul;

(f) datele cu caracter personal au fost colectate ├«n leg─âtur─â cu oferirea de servicii ale societ─â╚Ťii informa╚Ťionale men╚Ťionate la articolul 8 alineatul (1).

(2) ├Än cazul ├«n care operatorul a f─âcut publice datele cu caracter personal ╚Öi este obligat, ├«n temeiul alineatului (1), s─â le ╚Ötearg─â, operatorul, ╚Ťin├ónd seama de tehnologia disponibil─â ╚Öi de costul implement─ârii, ia m─âsuri rezonabile, inclusiv m─âsuri tehnice, pentru a informa operatorii care prelucreaz─â datele cu caracter personal c─â persoana vizat─â a solicitat ╚Ötergerea de c─âtre ace╚Öti operatori a oric─âror linkuri c─âtre datele respective sau a oric─âror copii sau reproduceri ale acestor date cu caracter personal.

(3) Alineatele (1) și (2a) nu se aplică în măsura în care prelucrarea este necesară:

(a) pentru exercitarea dreptului la liberă exprimare și la informare;

(b) pentru respectarea unei obliga╚Ťii legale care prevede prelucrarea ├«n temeiul dreptului Uniunii sau al dreptului intern care se aplic─â operatorului sau pentru ├«ndeplinirea unei sarcini executate ├«n interes public sau ├«n cadrul exercit─ârii unei autorit─â╚Ťi oficiale cu care este ├«nvestit operatorul;

(c) din motive de interes public ├«n domeniul s─ân─ât─â╚Ťii publice, ├«n conformitate cu articolul 9 alineatul (2) literele (h) ╚Öi (i) ╚Öi cu articolul 9 alineatul (3);

(d) ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice, ├«n conformitate cu articolul 89 alineatul (1), ├«n m─âsura ├«n care dreptul men╚Ťionat la alineatul (1) este susceptibil s─â fac─â imposibil─â sau s─â afecteze ├«n mod grav realizarea obiectivelor prelucr─ârii respective; sau

(e) pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â.

Articolul 18

Dreptul la restric╚Ťionarea prelucr─ârii

(1) Persoana vizat─â are dreptul de a ob╚Ťine din partea operatorului restric╚Ťionarea prelucr─ârii ├«n cazul ├«n care se aplic─â unul din urm─âtoarele cazuri:

(a) persoana vizată contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor;

(b) prelucrarea este ilegal─â, iar persoana vizat─â se opune ╚Ötergerii datelor cu caracter personal, solicit├ónd ├«n schimb restric╚Ťionarea utiliz─ârii lor;

(c) operatorul nu mai are nevoie de datele cu caracter personal ├«n scopul prelucr─ârii, dar persoana vizat─â i le solicit─â pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â; sau

(d) persoana vizată s-a opus prelucrării în conformitate cu articolul 21 alineatul (1), pentru intervalul de timp în care se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate.

(2) ├Än cazul ├«n care prelucrarea a fost restric╚Ťionat─â ├«n temeiul alineatului (1), astfel de date cu caracter personal pot, cu excep╚Ťia stoc─ârii, s─â fie prelucrate numai cu consim╚Ť─âm├óntul persoanei vizate sau pentru constatarea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â sau pentru protec╚Ťia drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

(3) O persoan─â vizat─â care a ob╚Ťinut restric╚Ťionarea prelucr─ârii ├«n temeiul alineatului (1) este informat─â de c─âtre operator ├«nainte de ridicarea restric╚Ťiei de prelucrare.

Articolul 19

Obliga╚Ťia de notificare privind rectificarea sau ╚Ötergerea datelor cu caracter personal sau restric╚Ťionarea prelucr─ârii

Operatorul comunic─â fiec─ârui destinatar c─âruia i-au fost divulgate datele cu caracter personal orice rectificare sau ╚Ötergere a datelor cu caracter personal sau restric╚Ťionare a prelucr─ârii efectuate ├«n conformitate cu articolul 16, articolul 17 alineatul (1) ╚Öi articolul 18, cu excep╚Ťia cazului ├«n care acest lucru se dovede╚Öte imposibil sau presupune eforturi dispropor╚Ťionate. Operatorul informeaz─â persoana vizat─â cu privire la destinatarii respectivi dac─â persoana vizat─â solicit─â acest lucru.

Articolul 20

Dreptul la portabilitatea datelor

(1) Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

(a) prelucrarea se bazeaz─â pe consim╚Ť─âm├ónt ├«n temeiul articolului 6 alineatul (1) litera (a) sau al articolului 9 alineatul (2) litera (a) sau pe un contract ├«n temeiul articolului 6 alineatul (1) litera (b); ╚Öi

(b) prelucrarea este efectuat─â prin mijloace automate.

(2) În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3) Exercitarea dreptului men╚Ťionat la alineatul (1) din prezentul articol nu aduce atingere articolului 17. Respectivul drept nu se aplic─â prelucr─ârii necesare pentru ├«ndeplinirea unei sarcini executate ├«n interes public sau ├«n cadrul exercit─ârii unei autorit─â╚Ťi oficiale cu care este ├«nvestit operatorul.

(4) Dreptul men╚Ťionat la alineatul (1) nu aduce atingere drepturilor ╚Öi libert─â╚Ťilor altora.

Sec╚Ťiunea 4

Dreptul la opozi╚Ťie ╚Öi procesul decizional individual automatizat

Articolul 21

Dreptul la opozi╚Ťie

(1) ├Än orice moment, persoana vizat─â are dreptul de a se opune, din motive legate de situa╚Ťia particular─â ├«n care se afl─â, prelucr─ârii ├«n temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv cre─ârii de profiluri pe baza respectivelor dispozi╚Ťii. Operatorul nu mai prelucreaz─â datele cu caracter personal, cu excep╚Ťia cazului ├«n care operatorul demonstreaz─â c─â are motive legitime ╚Öi imperioase care justific─â prelucrarea ╚Öi care prevaleaz─â asupra intereselor, drepturilor ╚Öi libert─â╚Ťilor persoanei vizate sau c─â scopul este constatarea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â.

(2) Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv.

(3) În cazul în care persoana vizată se opune prelucrării în scopul marketingului direct, datele cu caracter personal nu mai sunt prelucrate în acest scop.

(4) Cel t├órziu ├«n momentul primei comunic─âri cu persoana vizat─â, dreptul men╚Ťionat la alineatele (1) ╚Öi (2) este adus ├«n mod explicit ├«n aten╚Ťia persoanei vizate ╚Öi este prezentat ├«n mod clar ╚Öi separat de orice alte informa╚Ťii.

(5) ├Än contextual utiliz─ârii serviciilor societ─â╚Ťii informa╚Ťionale ╚Öi ├«n pofida Directivei 2002/58/CE, persoana vizat─â ├«╚Öi poate exercita dreptul de a se opune prin mijloace automate care utilizeaz─â specifica╚Ťii tehnice.

(6) ├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â sau ├«n scopuri statistice ├«n conformitate cu articolul 89 alineatul (1), persoana vizat─â, din motive legate de situa╚Ťia sa particular─â, are dreptul de a se opune prelucr─ârii datelor cu caracter personal care o privesc, cu excep╚Ťia cazului ├«n care prelucrarea este necesar─â pentru ├«ndeplinirea unei sarcini din motive de interes public.

Articolul 22

Procesul decizional individual automatizat, inclusiv crearea de profiluri

(1) Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(2) Alineatul (1) nu se aplică în cazul în care decizia:

(a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;

(b) este autorizat─â prin dreptul Uniunii sau dreptul intern care se aplic─â operatorului ╚Öi care prevede, de asemenea, m─âsuri corespunz─âtoare pentru protejarea drepturilor, libert─â╚Ťilor ╚Öi intereselor legitime ale persoanei vizate; sau

(c) are la baz─â consim╚Ť─âm├óntul explicit al persoanei vizate.

(3) ├Än cazurile men╚Ťionate la alineatul (2) literele (a) ╚Öi (c), operatorul de date pune ├«n aplicare m─âsuri corespunz─âtoare pentru protejarea drepturilor, libert─â╚Ťilor ╚Öi intereselor legitime ale persoanei vizate, cel pu╚Ťin dreptul acesteia de a ob╚Ťine interven╚Ťie uman─â din partea operatorului, de a-╚Öi exprima punctul de vedere ╚Öi de a contesta decizia.

(4) Deciziile men╚Ťionate la alineatul (2) nu au la baz─â categoriile speciale de date cu caracter personal men╚Ťionate la articolul 9 alineatul (1), cu excep╚Ťia cazului ├«n care se aplic─â articolul 9 alineatul (2) litera (a) sau (g) ╚Öi ├«n care au fost instituite m─âsuri corespunz─âtoare pentru protejarea drepturilor, libert─â╚Ťilor ╚Öi intereselor legitime ale persoanei vizate.

Sec╚Ťiunea 5

Restric╚Ťii

Articolul 23

Restric╚Ťii

(1) Dreptul Uniunii sau dreptul intern care se aplic─â operatorului de date sau persoanei ├«mputernicite de operator poate restric╚Ťiona printr-o m─âsur─â legislativ─â domeniul de aplicare al obliga╚Ťiilor ╚Öi al drepturilor prev─âzute la articolele 12-22 ╚Öi 34, precum ╚Öi la articolul 5 ├«n m─âsura ├«n care dispozi╚Ťiile acestuia corespund drepturilor ╚Öi obliga╚Ťiilor prev─âzute la articolele 12-22, atunci c├ónd o astfel de restric╚Ťie respect─â esen╚Ťa drepturilor ╚Öi libert─â╚Ťilor fundamentale ╚Öi constituie o m─âsur─â necesar─â ╚Öi propor╚Ťional─â ├«ntr-o societate democratic─â, pentru a asigura:

(a)securitatea na╚Ťional─â;

(b) ap─ârarea;

(c) securitatea public─â;

(d) prevenirea, investigarea, depistarea sau urm─ârirea penal─â a infrac╚Ťiunilor sau executarea sanc╚Ťiunilor penale, inclusiv protejarea ├«mpotriva amenin╚Ť─ârilor la adresa securit─â╚Ťii publice ╚Öi prevenirea acestora;

(e) alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, ├«n special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv ├«n domeniile monetar, bugetar ╚Öi fiscal ╚Öi ├«n domeniul s─ân─ât─â╚Ťii publice ╚Öi al securit─â╚Ťii sociale;

(f) protejarea independen╚Ťei judiciare ╚Öi a procedurilor judiciare;

(g) prevenirea, investigarea, depistarea și urmărirea penală a încălcării eticii în cazul profesiilor reglementate;

(h) func╚Ťia de monitorizare, inspectare sau reglementare legat─â, chiar ╚Öi ocazional, de exercitarea autorit─â╚Ťii oficiale ├«n cazurile men╚Ťionate la literele (a)-(e) ╚Öi (g);

(i) protec╚Ťia persoanei vizate sau a drepturilor ╚Öi libert─â╚Ťilor altora;

(j) punerea ├«n aplicare a preten╚Ťiilor de drept civil.

(2) ├Än special, orice m─âsur─â legislativ─â men╚Ťionat─â la alineatul (1) con╚Ťine dispozi╚Ťii specifice cel pu╚Ťin, dac─â este cazul, ├«n ceea ce prive╚Öte:

(a) scopurile prelucr─ârii sau ale categoriilor de prelucrare;

(b) categoriile de date cu caracter personal;

(c) domeniul de aplicare al restric╚Ťiilor introduse;

(d) garan╚Ťiile pentru a preveni abuzurile sau accesul sau transferul ilegal;

(e) men╚Ťionarea operatorului sau a categoriilor de operatori;

(f) perioadele de stocare ╚Öi garan╚Ťiile aplicabile av├ónd ├«n vedere natura, domeniul de aplicare ╚Öi scopurile prelucr─ârii sau ale categoriilor de prelucrare;

(g) riscurile pentru drepturile ╚Öi libert─â╚Ťilor persoanelor vizate; ╚Öi

(h) dreptul persoanelor vizate de a fi informate cu privire la restric╚Ťie, cu excep╚Ťia cazului ├«n care acest lucru poate aduce atingere scopului restric╚Ťiei.

CAPITOLUL IV

Operatorul și persoana împuternicită de operator

Sec╚Ťiunea 1

Obliga╚Ťii generale

Articolul 24

Responsabilitatea operatorului

(1) ╚Üin├ónd seama de natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii, precum ╚Öi de riscurile cu grade diferite de probabilitate ╚Öi gravitate pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, operatorul pune ├«n aplicare m─âsuri tehnice ╚Öi organizatorice adecvate pentru a garanta ╚Öi a fi ├«n m─âsur─â s─â demonstreze c─â prelucrarea se efectueaz─â ├«n conformitate cu prezentul regulament. Respectivele m─âsuri se revizuiesc ╚Öi se actualizeaz─â dac─â este necesar.

(2) Atunci c├ónd sunt propor╚Ťionale ├«n raport cu opera╚Ťiunile de prelucrare, m─âsurile men╚Ťionate la alineatul (1) includ punerea ├«n aplicare de c─âtre operator a unor politici adecvate de protec╚Ťie a datelor.

(3) Aderarea la coduri de conduit─â aprobate, men╚Ťionate la articolul 40, sau la un mecanism de certificare aprobat, men╚Ťionat la articolul 42, poate fi utilizat─â ca element care s─â demonstreze respectarea obliga╚Ťiilor de c─âtre operator.

Articolul 25

Asigurarea protec╚Ťiei datelor ├«ncep├ónd cu momentul conceperii ╚Öi ├«n mod implicit

(1) Av├ónd ├«n vedere stadiul actual al tehnologiei, costurile implement─ârii, ╚Öi natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii, precum ╚Öi riscurile cu grade diferite de probabilitate ╚Öi gravitate pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice pe care le prezint─â prelucrarea, operatorul, at├ót ├«n momentul stabilirii mijloacelor de prelucrare, c├ót ╚Öi ├«n cel al prelucr─ârii ├«n sine, pune ├«n aplicare m─âsuri tehnice ╚Öi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate s─â pun─â ├«n aplicare ├«n mod eficient principiile de protec╚Ťie a datelor, precum reducerea la minimum a datelor, ╚Öi s─â integreze garan╚Ťiile necesare ├«n cadrul prelucr─ârii, pentru a ├«ndeplini cerin╚Ťele prezentului regulament ╚Öi a proteja drepturile persoanelor vizate.

(2) Operatorul pune ├«n aplicare m─âsuri tehnice ╚Öi organizatorice adecvate pentru a asigura c─â, ├«n mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucr─ârii. Respectiva obliga╚Ťie se aplic─â volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare ╚Öi accesibilit─â╚Ťii lor. ├Än special, astfel de m─âsuri asigur─â c─â, ├«n mod implicit, datele cu caracter personal nu pot fi accesate, f─âr─â interven╚Ťia persoanei, de un num─âr nelimitat de persoane.

(3) Un mecanism de certificare aprobat ├«n conformitate cu articolul 42 poate fi utilizat drept element care s─â demonstreze ├«ndeplinirea cerin╚Ťelor prev─âzute la alineatele (1) ╚Öi (2) ale prezentului articol.

Articolul 26

Operatori asocia╚Ťi

(1) ├Än cazul ├«n care doi sau mai mul╚Ťi operatori stabilesc ├«n comun scopurile ╚Öi mijloacele de prelucrare, ace╚Ötia sunt operatori asocia╚Ťi. Ei stabilesc ├«ntr-un mod transparent responsabilit─â╚Ťile fiec─âruia ├«n ceea ce prive╚Öte ├«ndeplinirea obliga╚Ťiilor care le revin ├«n temeiul prezentului regulament, ├«n special ├«n ceea ce prive╚Öte exercitarea drepturilor persoanelor vizate ╚Öi ├«ndatoririle fiec─âruia de furnizare a informa╚Ťiilor prev─âzute la articolele 13 ╚Öi 14, prin intermediul unui acord ├«ntre ei, cu excep╚Ťia cazului ╚Öi ├«n m─âsura ├«n care responsabilit─â╚Ťile operatorilor sunt stabilite ├«n dreptul Uniunii sau ├«n dreptul intern care se aplic─â acestora. Acordul poate s─â desemneze un punct de contact pentru persoanele vizate.

(2) Acordul men╚Ťionat la alineatul (1) reflect─â ├«n mod adecvat rolurile ╚Öi raporturile respective ale operatorilor asocia╚Ťi fa╚Ť─â de persoanele vizate. Esen╚Ťa acestui acord este f─âcut─â cunoscut─â persoanei vizate.

(3) Indiferent de clauzele acordului men╚Ťionat la alineatul (1), persoana vizat─â ├«╚Öi poate exercita drepturile ├«n temeiul prezentului regulament cu privire la ╚Öi ├«n raport cu fiecare dintre operatori.

Articolul 27

Reprezentan╚Ťii operatorilor sau ai persoanelor ├«mputernicite de operatori care nu ├«╚Öi au sediul ├«n Uniune

(1) În cazul în care se aplică articolul 3 alineatul (2), operatorul sau persoana împuternicită de operator desemnează în scris un reprezentant în Uniune.

(2) Obliga╚Ťia prev─âzut─â la alineatul (1) din prezentul articol nu se aplic─â:

(a) prelucr─ârii care are un caracter ocazional, care nu include, pe scar─â larg─â, prelucrarea unor categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau prelucrarea unor date cu caracter personal referitoare la condamn─âri penale ╚Öi infrac╚Ťiuni men╚Ťionat─â la articolul 10, ╚Öi care este pu╚Ťin susceptibil─â de a genera un risc pentru drepturile ╚Öi libert─â╚Ťile persoanelor, ╚Ťin├ónd cont de natura, contextul, domeniul de aplicare ╚Öi scopurile prelucr─ârii; sau

(b) unei autorit─â╚Ťi sau unui organism public.

(3) Reprezentantul își are sediul în unul dintre statele membre în care se află persoanele vizate ale căror date cu caracter personal sunt prelucrate în legătură cu furnizarea de bunuri și servicii sau al căror comportament este monitorizat.

(4) Reprezentantul prime╚Öte din partea operatorului sau a persoanei ├«mputernicite de operator un mandat prin care autorit─â╚Ťile de supraveghere ╚Öi persoanele vizate, ├«n special, se pot adresa reprezentantului, ├«n plus fa╚Ť─â de operator sau persoana ├«mputernicit─â de operator sau ├«n locul acestora, cu privire la toate chestiunile legate de prelucrarea, ├«n scopul asigur─ârii respect─ârii prezentului regulament.

(5) Desemnarea unui reprezentant de c─âtre operator sau persoana ├«mputernicit─â de operator nu aduce atingere ac╚Ťiunilor ├«n justi╚Ťie care ar putea fi introduse ├«mpotriva operatorului sau persoanei ├«mputernicite de operator ├«nse╚Öi.

Articolul 28

Persoana împuternicită de operator

(1) ├Än cazul ├«n care prelucrarea urmeaz─â s─â fie realizat─â ├«n numele unui operator, operatorul recurge doar la persoane ├«mputernicite care ofer─â garan╚Ťii suficiente pentru punerea ├«n aplicare a unor m─âsuri tehnice ╚Öi organizatorice adecvate, astfel ├«nc├ót prelucrarea s─â respecte cerin╚Ťele prev─âzute ├«n prezentul regulament ╚Öi s─â asigure protec╚Ťia drepturilor persoanei vizate.

(2) Persoana ├«mputernicit─â de operator nu recruteaz─â o alt─â persoan─â ├«mputernicit─â de operator f─âr─â a primi ├«n prealabil o autoriza╚Ťie scris─â, specific─â sau general─â, din partea operatorului. ├Än cazul unei autoriza╚Ťii generale scrise, persoana ├«mputernicit─â de operator informeaz─â operatorul cu privire la orice modific─âri preconizate privind ad─âugarea sau ├«nlocuirea altor persoane ├«mputernicite de operator, oferind astfel posibilitatea operatorului de a formula obiec╚Ťii fa╚Ť─â de aceste modific─âri.

(3) Prelucrarea de c─âtre o persoan─â ├«mputernicit─â de un operator este reglementat─â printr-un contract sau alt act juridic ├«n temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana ├«mputernicit─â de operator ├«n raport cu operatorul ╚Öi care stabile╚Öte obiectul ╚Öi durata prelucr─ârii, natura ╚Öi scopul prelucr─ârii, tipul de date cu caracter personal ╚Öi categoriile de persoane vizate ╚Öi obliga╚Ťiile ╚Öi drepturile operatorului. Respectivul contract sau act juridic prevede ├«n special c─â persoan─â ├«mputernicit─â de operator:

(a) prelucreaz─â datele cu caracter personal numai pe baza unor instruc╚Ťiuni documentate din partea operatorului, inclusiv ├«n ceea ce prive╚Öte transferurile de date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â, cu excep╚Ťia cazului ├«n care aceast─â obliga╚Ťie ├«i revine persoanei ├«mputernicite ├«n temeiul dreptului Uniunii sau al dreptului intern care i se aplic─â; ├«n acest caz, notific─â aceast─â obliga╚Ťie juridic─â operatorului ├«nainte de prelucrare, cu excep╚Ťia cazului ├«n care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;

(b) se asigur─â c─â persoanele autorizate s─â prelucreze datele cu caracter personal s-au angajat s─â respecte confiden╚Ťialitatea sau au o obliga╚Ťie statutar─â adecvat─â de confiden╚Ťialitate;

(c) adoptă toate măsurile necesare în conformitate cu articolul 32;

(d) respect─â condi╚Ťiile men╚Ťionate la alineatele (2) ╚Öi (4) privind recrutarea unei alte persoane ├«mputernicite de operator;

(e) ╚Ťin├ónd seama de natura prelucr─ârii, ofer─â asisten╚Ť─â operatorului prin m─âsuri tehnice ╚Öi organizatorice adecvate, ├«n m─âsura ├«n care acest lucru este posibil, pentru ├«ndeplinirea obliga╚Ťiei operatorului de a r─âspunde cererilor privind exercitarea de c─âtre persoana vizat─â a drepturilor prev─âzute ├«n capitolul III;

(f) ajut─â operatorul s─â asigure respectarea obliga╚Ťiilor prev─âzute la articolele 32-36, ╚Ťin├ónd seama de caracterul prelucr─ârii ╚Öi informa╚Ťiile aflate la dispozi╚Ťia persoanei ├«mputernicite de operator;

(g) la alegerea operatorului, ╚Öterge sau returneaz─â operatorului toate datele cu caracter personal dup─â ├«ncetarea furniz─ârii serviciilor legate de prelucrare ╚Öi elimin─â copiile existente, cu excep╚Ťia cazului ├«n care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;

(h)pune la dispozi╚Ťia operatorului toate informa╚Ťiile necesare pentru a demonstra respectarea obliga╚Ťiilor prev─âzute la prezentul articol, permite desf─â╚Öurarea auditurilor, inclusiv a inspec╚Ťiilor, efectuate de operator sau alt auditor mandatat ╚Öi contribuie la acestea.

├Än ceea ce prive╚Öte primul paragraf litera (h), persoana ├«mputernicit─â de operator informeaz─â imediat operatorul ├«n cazul ├«n care, ├«n opinia sa, o instruc╚Ťiune ├«ncalc─â prezentul regulament sau alte dispozi╚Ťii din dreptul intern sau din dreptul Uniunii referitoare la protec╚Ťia datelor.

(4) ├Än cazul ├«n care o persoan─â ├«mputernicit─â de un operator recruteaz─â o alt─â persoan─â ├«mputernicit─â pentru efectuarea de activit─â╚Ťi de prelucrare specifice ├«n numele operatorului, acelea╚Öi obliga╚Ťii privind protec╚Ťia datelor prev─âzute ├«n contractul sau ├«n alt act juridic ├«ncheiat ├«ntre operator ╚Öi persoana ├«mputernicit─â de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane ├«mputernicite, prin intermediul unui contract sau al unui alt act juridic, ├«n temeiul dreptului Uniunii sau al dreptului intern, ├«n special furnizarea de garan╚Ťii suficiente pentru punerea ├«n aplicare a unor m─âsuri tehnice ╚Öi organizatorice adecvate, astfel ├«nc├ót prelucrarea s─â ├«ndeplineasc─â cerin╚Ťele prezentului regulament. ├Än cazul ├«n care aceast─â a doua persoan─â ├«mputernicit─â nu ├«╚Öi respect─â obliga╚Ťiile privind protec╚Ťia datelor, persoana ├«mputernicit─â ini╚Ťial─â r─âm├óne pe deplin r─âspunz─âtoare fa╚Ť─â de operator ├«n ceea ce prive╚Öte ├«ndeplinirea obliga╚Ťiilor acestei a doua persoane ├«mputernicite.

(5) Aderarea persoanei ├«mputernicite de operator la un cod de conduit─â aprobat, men╚Ťionat la articolul 40, sau la un mecanism de certificare aprobat, men╚Ťionat la articolul 42, poate fi utilizat─â ca element prin care s─â se demonstreze existen╚Ťa garan╚Ťiilor suficiente men╚Ťionate la alineatele (1) ╚Öi (4) din prezentul articol.

(6) F─âr─â a aduce atingere unui contract individual ├«ncheiat ├«ntre operator ╚Öi persoana ├«mputernicit─â de operator, contractul sau cel─âlalt act juridic men╚Ťionat la alineatele (3) ╚Öi (4) din prezentul articol se poate baza, integral sau par╚Ťial, pe clauze contractuale standard men╚Ťionate la alineatele (7) ╚Öi (8) din prezentul articol, inclusiv atunci c├ónd fac parte dintr-o certificare acordat─â operatorului sau persoanei ├«mputernicite de operator ├«n temeiul articolelor 42 ╚Öi 43.

(7) Comisia poate s─â prevad─â clauze contractuale standard pentru aspectele men╚Ťionate la alineatele (3) ╚Öi (4) din prezentul articol ╚Öi ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2).

(8) O autoritate de supraveghere poate s─â adopte clauze contractuale standard pentru aspectele men╚Ťionate la alineatele (3) ╚Öi (4) din prezentul articol ╚Öi ├«n conformitate cu mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolul 63.

(9) Contractul sau cel─âlalt act juridic men╚Ťionat la alineatele (3) ╚Öi (4) se formuleaz─â ├«n scris, inclusiv ├«n format electronic.

(10) Fără a aduce atingere articolelor 82, 83 și 84, în cazul în care o persoană împuternicită de operator încălcă prezentul regulament, prin stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal, persoana împuternicită de operator este considerată a fi un operator în ceea ce privește prelucrarea respectivă.

Articolul 29

Desf─â╚Öurarea activit─â╚Ťii de prelucrare sub autoritatea operatorului sau a persoanei ├«mputernicite de operator

Persoana ├«mputernicit─â de operator ╚Öi orice persoan─â care ac╚Ťioneaz─â sub autoritatea operatorului sau a persoanei ├«mputernicite de operator care are acces la date cu caracter personal nu le prelucreaz─â dec├ót la cererea operatorului, cu excep╚Ťia cazului ├«n care dreptul Uniunii sau dreptul intern ├«l oblig─â s─â fac─â acest lucru.

Articolul 30

Eviden╚Ťele activit─â╚Ťilor de prelucrare

(1) Fiecare operator ╚Öi, dup─â caz, reprezentantul acestuia p─âstreaz─â o eviden╚Ť─â a activit─â╚Ťilor de prelucrare desf─â╚Öurate sub responsabilitatea lor. Respectiva eviden╚Ť─â cuprinde toate urm─âtoarele informa╚Ťii:

(a) numele ╚Öi datele de contact ale operatorului ╚Öi, dup─â caz, ale operatorului asociat, ale reprezentantului operatorului ╚Öi ale responsabilului cu protec╚Ťia datelor;

(b) scopurile prelucr─ârii;

(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;

(d) categoriile de destinatari c─ârora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale;

(e) dac─â este cazul, transferurile de date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â, inclusiv identificarea ╚Ť─ârii ter╚Ťe sau a organiza╚Ťiei interna╚Ťionale respective ╚Öi, ├«n cazul transferurilor men╚Ťionate la articolul 49 alineatul (1) al doilea paragraf, documenta╚Ťia care dovede╚Öte existen╚Ťa unor garan╚Ťii adecvate;

(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;

(g) acolo unde este posibil, o descriere general─â a m─âsurilor tehnice ╚Öi organizatorice de securitate men╚Ťionate la articolul 32 alineatul (1).

(2) Fiecare operator ╚Öi, dup─â caz, persoana ├«mputernicit─â de operator p─âstreaz─â o eviden╚Ť─â a tuturor categoriilor de activit─â╚Ťi de prelucrare desf─â╚Öurate ├«n numele operatorului, care cuprind:

(a) numele ╚Öi datele de contact ale persoanei sau persoanelor ├«mputernicite de operator ╚Öi ale fiec─ârui operator ├«n numele c─âruia ac╚Ťioneaz─â aceast─â persoan─â (aceste persoane), precum ╚Öi ale reprezentantului operatorului sau al persoanei ├«mputernicite de operator, dup─â caz;

(b) categoriile de activit─â╚Ťi de prelucrare desf─â╚Öurate ├«n numele fiec─ârui operator;

(c) dac─â este cazul, transferurile de date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â, inclusiv identificarea ╚Ť─ârii ter╚Ťe sau a organiza╚Ťiei interna╚Ťionale respective ╚Öi, ├«n cazul transferurilor prev─âzute la articolul 49 alineatul (1) al doilea paragraf, documenta╚Ťia care dovede╚Öte existen╚Ťa unor garan╚Ťii adecvate;

(d) acolo unde este posibil, o descriere general─â a m─âsurilor tehnice ╚Öi organizatorice de securitate men╚Ťionate la articolul 32 alineatul (1).

(3) Eviden╚Ťele men╚Ťionate la alineatele (1) ╚Öi (2) se formuleaz─â ├«n scris, inclusiv ├«n format electronic.

(4) Operatorul sau persoana ├«mputernicit─â de acesta, precum ╚Öi, dup─â caz, reprezentantul operatorului sau al persoanei ├«mputernicite de operator pun eviden╚Ťele la dispozi╚Ťia autorit─â╚Ťii de supraveghere, la cererea acesteia.

(5) Obliga╚Ťiile men╚Ťionate la alineatele 1 ╚Öi 2 nu se aplic─â unei ├«ntreprinderi sau organiza╚Ťii cu mai pu╚Ťin de 250 de angaja╚Ťi, cu excep╚Ťia cazului ├«n care prelucrarea pe care o efectueaz─â este susceptibil─â s─â genereze un risc pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate, prelucrarea nu este ocazional─â sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamn─âri penale ╚Öi infrac╚Ťiuni, astfel cum se men╚Ťioneaz─â la articolul 10.

Articolul 31

Cooperarea cu autoritatea de supraveghere

Operatorul și persoana împuternicită de operator și, după caz, reprezentantul acestora cooperează, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor lor.

Sec╚Ťiunea 2

Securitatea datelor cu caracter personal

Articolul 32

Securitatea prelucr─ârii

(1) Av├ónd ├«n vedere stadiul actual al dezvolt─ârii, costurile implement─ârii ╚Öi natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii, precum ╚Öi riscul cu diferite grade de probabilitate ╚Öi gravitate pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, operatorul ╚Öi persoana ├«mputernicit─â de acesta implementeaz─â m─âsuri tehnice ╚Öi organizatorice adecvate ├«n vederea asigur─ârii unui nivel de securitate corespunz─âtor acestui risc, incluz├ónd printre altele, dup─â caz:

(a) pseudonimizarea și criptarea datelor cu caracter personal;

(b) capacitatea de a asigura confiden╚Ťialitatea, integritatea, disponibilitatea ╚Öi rezisten╚Ťa continue ale sistemelor ╚Öi serviciilor de prelucrare;

(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

(d) un proces pentru testarea, evaluarea ╚Öi aprecierea periodice ale eficacit─â╚Ťii m─âsurilor tehnice ╚Öi organizatorice pentru a garanta securitatea prelucr─ârii.

(2) La evaluarea nivelului adecvat de securitate, se ╚Ťine seama ├«n special de riscurile prezentate de prelucrare, generate ├«n special, ├«n mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizat─â sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate ├«ntr-un alt mod.

(3) Aderarea la un cod de conduit─â aprobat, men╚Ťionat la articolul 40, sau la un mecanism de certificare aprobat, men╚Ťionat la articolul 42, poate fi utilizat─â ca element prin care s─â se demonstreze ├«ndeplinirea cerin╚Ťelor prev─âzute la alineatul (1) din prezentul articol.

(4) Operatorul ╚Öi persoana ├«mputernicit─â de acesta iau m─âsuri pentru a asigura faptul c─â orice persoan─â fizic─â care ac╚Ťioneaz─â sub autoritatea operatorului sau a persoanei ├«mputernicite de operator ╚Öi care are acces la date cu caracter personal nu le prelucreaz─â dec├ót la cererea operatorului, cu excep╚Ťia cazului ├«n care aceast─â obliga╚Ťie ├«i revine ├«n temeiul dreptului Uniunii sau al dreptului intern.

Articolul 33

Notificarea autorit─â╚Ťii de supraveghere ├«n cazul ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal

(1) ├Än cazul ├«n care are loc o ├«nc─âlcare a securit─â╚Ťii datelor cu caracter personal, operatorul notific─â acest lucru autorit─â╚Ťii de supraveghere competente ├«n temeiul articolului 55, f─âr─â ├«nt├órzieri nejustificate ╚Öi, dac─â este posibil, ├«n termen de cel mult 72 de ore de la data la care a luat cuno╚Ötin╚Ť─â de aceasta, cu excep╚Ťia cazului ├«n care este susceptibil─â s─â genereze un risc pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice. ├Än cazul ├«n care notificarea nu are loc ├«n termen de 72 de ore, aceasta este ├«nso╚Ťit─â de o explica╚Ťie motivat─â din partea autorit─â╚Ťii de supraveghere ├«n cazul ├«n care.

(2) Persoana ├«mputernicit─â de operator ├«n╚Ötiin╚Ťeaz─â operatorul f─âr─â ├«nt├órzieri nejustificate dup─â ce ia cuno╚Ötin╚Ť─â de o ├«nc─âlcare a securit─â╚Ťii datelor cu caracter personal.

(3) Notificarea men╚Ťionat─â la alineatul (1) cel pu╚Ťin:

(a) descrie caracterul ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile ╚Öi num─ârul aproximativ al persoanelor vizate ├«n cauz─â, precum ╚Öi categoriile ╚Öi num─ârul aproximativ al ├«nregistr─ârilor de date cu caracter personal ├«n cauz─â;

(b) comunic─â numele ╚Öi datele de contact ale responsabilului cu protec╚Ťia datelor sau un alt punct de contact de unde se pot ob╚Ťine mai multe informa╚Ťii;

(c) descrie consecin╚Ťele probabile ale ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal;

(d) descrie m─âsurile luate sau propuse spre a fi luate de operator pentru a remedia problema ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal, inclusiv, dup─â caz, m─âsurile pentru atenuarea eventualelor sale efecte negative.

(4) Atunci c├ónd ╚Öi ├«n m─âsura ├«n care nu este posibil s─â se furnizeze informa╚Ťiile ├«n acela╚Öi timp, acestea pot fi furnizate ├«n mai multe etape, f─âr─â ├«nt├órzieri nejustificate.

(5) Operatorul p─âstreaz─â documente referitoare la toate cazurile de ├«nc─âlcare a securit─â╚Ťii datelor cu caracter personal, care cuprind o descriere a situa╚Ťiei de fapt ├«n care a avut loc ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal, a efectelor acesteia ╚Öi a m─âsurilor de remediere ├«ntreprinse. Aceast─â documenta╚Ťie permite autorit─â╚Ťii de supraveghere s─â verifice conformitatea cu prezentul articol.

Articolul 34

Informarea persoanei vizate cu privire la ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal

(1) ├Än cazul ├«n care ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal este susceptibil─â s─â genereze un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, operatorul informeaz─â persoana vizat─â f─âr─â ├«nt├órzieri nejustificate cu privire la aceast─â ├«nc─âlcare.

(2) ├Än informarea transmis─â persoanei vizate prev─âzut─â la alineatul (1) din prezentul articol se include o descriere ├«ntr-un limbaj clar ╚Öi simplu a caracterului ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal, precum ╚Öi cel pu╚Ťin informa╚Ťiile ╚Öi m─âsurile men╚Ťionate la articolul 33 alineatul (3) literele (b), (c) ╚Öi (d).

(3) Informarea persoanei vizate men╚Ťionat─â la alineatul (1) nu este necesar─â ├«n cazul ├«n care oricare dintre urm─âtoarele condi╚Ťii este ├«ndeplinit─â:

(a) operatorul a implementat m─âsuri de protec╚Ťie tehnice ╚Öi organizatorice adecvate, iar aceste m─âsuri au fost aplicate ├«n cazul datelor cu caracter personal afectate de ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal, ├«n special m─âsuri prin care se asigur─â c─â datele cu caracter personal devin neinteligibile oric─ârei persoane care nu este autorizat─â s─â le acceseze, cum ar fi criptarea;

(b) operatorul a luat m─âsuri ulterioare prin care se asigur─â c─â riscul ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate men╚Ťionat la alineatul (1) nu mai este susceptibil s─â se materializeze;

(c) ar necesita un efort dispropor╚Ťionat. ├Än aceast─â situa╚Ťie, se efectueaz─â ├«n loc o informare public─â sau se ia o m─âsur─â similar─â prin care persoanele vizate sunt informate ├«ntr-un mod la fel de eficace.

(4) ├Än cazul ├«n care operatorul nu a comunicat deja ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal c─âtre persoana vizat─â, autoritatea de supraveghere, dup─â ce a luat ├«n considerare probabilitatea ca ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal s─â genereze un risc ridicat, poate s─â ├«i solicite acestuia s─â fac─â acest lucru sau poate decide c─â oricare dintre condi╚Ťiile men╚Ťionate la alineatul (3) sunt ├«ndeplinite.

Sec╚Ťiunea 3

Evaluarea impactului asupra protec╚Ťiei datelor ╚Öi consultarea prealabil─â

Articolul 35

Evaluarea impactului asupra protec╚Ťiei datelor

(1) Av├ónd ├«n vedere natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii, ├«n cazul ├«n care un tip de prelucrare, ├«n special cel bazat pe utilizarea noilor tehnologii, este susceptibil s─â genereze un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, operatorul efectueaz─â, ├«naintea prelucr─ârii, o evaluare a impactului opera╚Ťiunilor de prelucrare prev─âzute asupra protec╚Ťiei datelor cu caracter personal. O evaluare unic─â poate aborda un set de opera╚Ťiuni de prelucrare similare care prezint─â riscuri ridicate similare.

(2) La realizarea unei evalu─âri a impactului asupra protec╚Ťiei datelor, operatorul solicit─â avizul responsabilului cu protec╚Ťia datelor, dac─â acesta a fost desemnat.

(3) Evaluarea impactului asupra protec╚Ťiei datelor men╚Ťionat─â la alineatul (1) se impune mai ales ├«n cazul:

(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

(b) prelucr─ârii pe scar─â larg─â a unor categorii speciale de date, men╚Ťionat─â la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamn─âri penale ╚Öi infrac╚Ťiuni, men╚Ťionat─â la articolul 10; sau

(c) unei monitoriz─âri sistematice pe scar─â larg─â a unei zone accesibile publicului.

(4) Autoritatea de supraveghere ├«ntocme╚Öte ╚Öi public─â o list─â a tipurilor de opera╚Ťiuni de prelucrare care fac obiectul cerin╚Ťei de efectuare a unei evalu─âri a impactului asupra protec╚Ťiei datelor, ├«n conformitate cu alineatul (1). Autoritatea de supraveghere comunic─â aceste liste comitetului men╚Ťionat la articolul 68.

(5) Autoritatea de supraveghere poate, de asemenea, s─â stabileasc─â ╚Öi s─â pun─â la dispozi╚Ťia publicului o list─â a tipurilor de opera╚Ťiuni de prelucrare pentru care nu este necesar─â o evaluare a impactului asupra protec╚Ťiei datelor. Autoritatea de supraveghere comunic─â aceste liste comitetului.

(6) ├Änainte de adoptarea listelor men╚Ťionate la alineatele (4) ╚Öi (5), autoritatea de supraveghere competent─â aplic─â mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolul 63 ├«n cazul ├«n care aceste liste implic─â activit─â╚Ťi de prelucrare care presupun furnizarea de bunuri sau prestarea de servicii c─âtre persoane vizate sau monitorizarea comportamentului acestora ├«n mai multe state membre ori care pot afecta ├«n mod substan╚Ťial libera circula╚Ťie a datelor cu caracter personal ├«n cadrul Uniunii.

(7) Evaluarea con╚Ťine cel pu╚Ťin:

(a) o descriere sistematic─â a opera╚Ťiunilor de prelucrare preconizate ╚Öi a scopurilor prelucr─ârii, inclusiv, dup─â caz, interesul legitim urm─ârit de operator;

(b) o evaluare a necesit─â╚Ťii ╚Öi propor╚Ťionalit─â╚Ťii opera╚Ťiunilor de prelucrare ├«n leg─âtur─â cu aceste scopuri;

(c) o evaluare a riscurilor pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate men╚Ťionate la alineatul (1); ╚Öi

(d) m─âsurile preconizate ├«n vederea abord─ârii riscurilor, inclusiv garan╚Ťiile, m─âsurile de securitate ╚Öi mecanismele menite s─â asigure protec╚Ťia datelor cu caracter personal ╚Öi s─â demonstreze conformitatea cu dispozi╚Ťiile prezentului regulament, lu├ónd ├«n considerare drepturile ╚Öi interesele legitime ale persoanelor vizate ╚Öi ale altor persoane interesate.

(8) La evaluarea impactului opera╚Ťiunilor de prelucrare efectuate de operatorii sau de persoanele ├«mputernicite de operatori relevante, se are ├«n vedere ├«n mod corespunz─âtor respectarea de c─âtre operatorii sau persoanele ├«mputernicite respective a codurilor de conduit─â aprobate men╚Ťionate la articolul 40, ├«n special ├«n vederea unei evalu─âri a impactului asupra protec╚Ťiei datelor.

(9) Operatorul solicit─â, acolo unde este cazul, avizul persoanelor vizate sau al reprezentan╚Ťilor acestora privind prelucrarea prev─âzut─â, f─âr─â a aduce atingere protec╚Ťiei intereselor comerciale sau publice ori securit─â╚Ťii opera╚Ťiunilor de prelucrare.

(10) Atunci c├ónd prelucrarea ├«n temeiul articolului 6 alineatul (1) litera (c) sau (e) are un temei juridic ├«n dreptul Uniunii sau al unui stat membru sub inciden╚Ťa c─âruia intr─â operatorul, iar dreptul respectiv reglementeaz─â opera╚Ťiunea de prelucrare specific─â sau setul de opera╚Ťiuni specifice ├«n cauz─â ╚Öi deja s-a efectuat o evaluare a impactului asupra protec╚Ťiei datelor ca parte a unei evalu─âri a impactului generale ├«n contextul adopt─ârii respectivului temei juridic, alineatele (1)-(7) nu se aplic─â, cu excep╚Ťia cazului ├«n care statele membre consider─â c─â este necesar─â efectuarea unei astfel de evalu─âri ├«naintea desf─â╚Öur─ârii activit─â╚Ťilor de prelucrare.

(11) Acolo unde este necesar, operatorul efectueaz─â o analiz─â pentru a evalua dac─â prelucrarea are loc ├«n conformitate cu evaluarea impactului asupra protec╚Ťiei datelor, cel pu╚Ťin atunci c├ónd are loc o modificare a riscului reprezentat de opera╚Ťiunile de prelucrare.

Articolul 36

Consultarea prealabil─â

(1) Operatorul consult─â autoritatea de supraveghere ├«nainte de prelucrarea atunci c├ónd evaluarea impactului asupra protec╚Ťiei datelor prev─âzut─â la articolul 35 indic─â faptul c─â prelucrarea ar genera un risc ridicat ├«n absen╚Ťa unor m─âsuri luate de operator pentru atenuarea riscului.

(2) Atunci c├ónd consider─â c─â prelucrarea prev─âzut─â men╚Ťionat─â la alineatul (1) ar ├«nc─âlca prezentul regulament, ├«n special atunci c├ónd riscul nu a fost identificat sau atenuat ├«ntr-o m─âsur─â suficient─â de c─âtre operator, autoritatea de supraveghere ofer─â consiliere ├«n scris operatorului ╚Öi, dup─â caz, persoanei ├«mputernicite de operator, ├«n cel mult opt s─âpt─âm├óni de la primirea cererii de consultare, ╚Öi ├«╚Öi poate utiliza oricare dintre competen╚Ťele men╚Ťionate la articolul 58. Aceast─â perioad─â poate fi prelungit─â cu ╚Öase s─âpt─âm├óni, ╚Ťin├óndu-se seama de complexitatea prelucr─ârii prev─âzute. Autoritatea de supraveghere informeaz─â operatorul ╚Öi, dup─â caz, persoana ├«mputernicit─â de operator, ├«n termen de o lun─â de la primirea cererii, cu privire la orice astfel de prelungire, prezent├ónd motivele ├«nt├órzierii. Aceste perioade pot fi suspendate p├ón─â c├ónd autoritatea de supraveghere a ob╚Ťinut informa╚Ťiile pe care le-a solicitat ├«n scopul consult─ârii.

(3) Atunci când consultă autoritatea de supraveghere în conformitate cu alineatul (1), operatorul îi furnizează acesteia:

(a) dac─â este cazul, responsabilit─â╚Ťile respective ale operatorului, ale operatorilor asocia╚Ťi ╚Öi ale persoanelor ├«mputernicite de operator implicate ├«n activit─â╚Ťile de prelucrare, ├«n special pentru prelucrarea ├«n cadrul unui grup de ├«ntreprinderi;

(b) scopurile și mijloacele prelucrării preconizate;

(c) m─âsurile ╚Öi garan╚Ťiile prev─âzute pentru protec╚Ťia drepturilor ╚Öi libert─â╚Ťilor persoanelor vizate, ├«n conformitate cu prezentul regulament;

(d) dac─â este cazul, datele de contact ale responsabilului cu protec╚Ťia datelor;

(e) evaluarea impactului asupra protec╚Ťiei datelor prev─âzut─â la articolul 35; ╚Öi

(f) orice alte informa╚Ťii solicitate de autoritatea de supraveghere.

(4) Statele membre consult─â autoritatea de supraveghere ├«n cadrul procesului de preg─âtire a unei propuneri de m─âsur─â legislativ─â care urmeaz─â s─â fie adoptat─â de un parlament na╚Ťional sau a unei m─âsuri de reglementare ├«ntemeiate pe o astfel de m─âsur─â legislativ─â, care se refer─â la prelucrarea.

(5) ├Än pofida alineatului (1), dreptul intern poate impune operatorilor s─â se consulte cu autoritatea de supraveghere ╚Öi s─â ob╚Ťin─â ├«n prealabil autorizarea din partea acesteia ├«n leg─âtur─â cu prelucrarea de c─âtre un operator ├«n vederea ├«ndeplinirii unei sarcini exercitate de acesta ├«n interes public, inclusiv prelucrarea ├«n leg─âtur─â cu protec╚Ťia social─â ╚Öi s─ân─âtatea public─â.

Sec╚Ťiunea 4

Responsabilul cu protec╚Ťia datelor

Articolul 37

Desemnarea responsabilului cu protec╚Ťia datelor

(1) Operatorul ╚Öi persoana ├«mputernicit─â de operator desemneaz─â un responsabil cu protec╚Ťia datelor ori de c├óte ori:

(a) prelucrarea este efectuat─â de o autoritate sau un organism public, cu excep╚Ťia instan╚Ťelor care ac╚Ťioneaz─â ├«n exerci╚Ťiul func╚Ťiei lor jurisdic╚Ťionale;

(b) activit─â╚Ťile principale ale operatorului sau ale persoanei ├«mputernicite de operator constau ├«n opera╚Ťiuni de prelucrare care, prin natura, domeniul de aplicare ╚Öi/sau scopurile lor, necesit─â o monitorizare periodic─â ╚Öi sistematic─â a persoanelor vizate pe scar─â larg─â; sau

(c) activit─â╚Ťile principale ale operatorului sau ale persoanei ├«mputernicite de operator constau ├«n prelucrarea pe scar─â larg─â a unor categorii speciale de date, men╚Ťionat─â la articolul 9, sau a unor date cu caracter personal privind condamn─âri penale ╚Öi infrac╚Ťiuni, men╚Ťionat─â la articolul 10.

(2) Un grup de ├«ntreprinderi poate numi un responsabil cu protec╚Ťia datelor unic, cu condi╚Ťia ca responsabilul cu protec╚Ťia datelor s─â fie u╚Öor accesibil din fiecare ├«ntreprindere.

(3) ├Än cazul ├«n care operatorul sau persoana ├«mputernicit─â de operator este o autoritate public─â sau un organism public, poate fi desemnat un responsabil cu protec╚Ťia datelor unic pentru mai multe dintre aceste autorit─â╚Ťi sau organisme, lu├ónd ├«n considerare structura organizatoric─â ╚Öi dimensiunea acestora.

(4) ├Än alte cazuri dec├ót cele men╚Ťionate la alineatul (1), operatorul sau persoana ├«mputernicit─â de operator ori asocia╚Ťiile ╚Öi alte organisme care reprezint─â categorii de operatori sau de persoane ├«mputernicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicit─â acest lucru, desemneaz─â un responsabil cu protec╚Ťia datelor. Responsabilul cu protec╚Ťia datelor poate s─â ac╚Ťioneze ├«n favoarea unor astfel de asocia╚Ťii ╚Öi alte organisme care reprezint─â operatori sau persoane ├«mputernicite de operatori.

(5) Responsabilul cu protec╚Ťia datelor este desemnat pe baza calit─â╚Ťilor profesionale ╚Öi, ├«n special, a cuno╚Ötin╚Ťelor de specialitate ├«n dreptul ╚Öi practicile din domeniul protec╚Ťiei datelor, precum ╚Öi pe baza capacit─â╚Ťii de a ├«ndeplini sarcinile prev─âzute la articolul 39.

(6) Responsabilul cu protec╚Ťia datelor poate fi un membru al personalului operatorului sau persoanei ├«mputernicite de operator sau poate s─â ├«╚Öi ├«ndeplineasc─â sarcinile ├«n baza unui contract de servicii.

(7) Operatorul sau persoana ├«mputernicit─â de operator public─â datele de contact ale responsabilului cu protec╚Ťia datelor ╚Öi le comunic─â autorit─â╚Ťii de supraveghere.

Articolul 38

Func╚Ťia responsabilului cu protec╚Ťia datelor

(1) Operatorul ╚Öi persoana ├«mputernicit─â de operator se asigur─â c─â responsabilul cu protec╚Ťia datelor este implicat ├«n mod corespunz─âtor ╚Öi ├«n timp util ├«n toate aspectele legate de protec╚Ťia datelor cu caracter personal.

(2) Operatorul ╚Öi persoana ├«mputernicit─â de operator sprijin─â responsabilul cu protec╚Ťia datelor ├«n ├«ndeplinirea sarcinilor men╚Ťionate la articolul 39, asigur├óndu-i resursele necesare pentru executarea acestor sarcini, precum ╚Öi accesarea datelor cu caracter personal ╚Öi a opera╚Ťiunilor de prelucrare, ╚Öi pentru men╚Ťinerea cuno╚Ötin╚Ťelor sale de specialitate.

(3) Operatorul ╚Öi persoana ├«mputernicit─â de operator se asigur─â c─â responsabilul cu protec╚Ťia datelor nu prime╚Öte niciun fel de instruc╚Ťiuni ├«n ceea ce prive╚Öte ├«ndeplinirea acestor sarcini. Acesta nu este demis sau sanc╚Ťionat de c─âtre operator sau de persoana ├«mputernicit─â de operator pentru ├«ndeplinirea sarcinilor sale. Responsabilul cu protec╚Ťia datelor r─âspunde direct ├«n fa╚Ťa celui mai ├«nalt nivel al conducerii operatorului sau persoanei ├«mputernicite de operator.

(4) Persoanele vizate pot contacta responsabilul cu protec╚Ťia datelor cu privire la toate chestiunile legate de prelucrarea datelor lor ╚Öi la exercitarea drepturilor lor ├«n temeiul prezentului regulament.

(5) Responsabilul cu protec╚Ťia datelor are obliga╚Ťia de a respecta secretul sau confiden╚Ťialitatea ├«n ceea ce prive╚Öte ├«ndeplinirea sarcinilor sale, ├«n conformitate cu dreptul Uniunii sau cu dreptul intern.

(6) Responsabilul cu protec╚Ťia datelor poate ├«ndeplini ╚Öi alte sarcini ╚Öi atribu╚Ťii. Operatorul sau persoana ├«mputernicit─â de operator se asigur─â c─â niciuna dintre aceste sarcini ╚Öi atribu╚Ťii nu genereaz─â un conflict de interese.

Articolul 39

Sarcinile responsabilului cu protec╚Ťia datelor

(1) Responsabilul cu protec╚Ťia datelor are cel pu╚Ťin urm─âtoarele sarcini:

(a) informarea ╚Öi consilierea operatorului, sau a persoanei ├«mputernicite de operator, precum ╚Öi a angaja╚Ťilor care se ocup─â de prelucrare cu privire la obliga╚Ťiile care le revin ├«n temeiul prezentului regulament ╚Öi al altor dispozi╚Ťii de drept al Uniunii sau drept intern referitoare la protec╚Ťia datelor;

(b) monitorizarea respect─ârii prezentului regulament, a altor dispozi╚Ťii de drept al Uniunii sau de drept intern referitoare la protec╚Ťia datelor ╚Öi a politicilor operatorului sau ale persoanei ├«mputernicite de operator ├«n ceea ce prive╚Öte protec╚Ťia datelor cu caracter personal, inclusiv alocarea responsabilit─â╚Ťilor ╚Öi ac╚Ťiunile de sensibilizare ╚Öi de formare a personalului implicat ├«n opera╚Ťiunile de prelucrare, precum ╚Öi auditurile aferente;

(c) furnizarea de consiliere la cerere ├«n ceea ce prive╚Öte evaluarea impactului asupra protec╚Ťiei datelor ╚Öi monitorizarea func╚Ťion─ârii acesteia, ├«n conformitate cu articolul 35;

(d) cooperarea cu autoritatea de supraveghere;

(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabil─â men╚Ťionat─â la articolul 36, precum ╚Öi, dac─â este cazul, consultarea cu privire la orice alt─â chestiune.

(2) ├Än ├«ndeplinirea sarcinilor sale, responsabilul cu protec╚Ťia datelor ╚Ťine seama ├«n mod corespunz─âtor de riscul asociat opera╚Ťiunilor de prelucrare, lu├ónd ├«n considerare natura, domeniul de aplicare, contextul ╚Öi scopurile prelucr─ârii.

Sec╚Ťiunea 5

Coduri de conduită și certificare

Articolul 40

Coduri de conduit─â

(1) Statele membre, autorit─â╚Ťile de supraveghere, comitetul ╚Öi Comisia ├«ncurajeaz─â elaborarea de coduri de conduit─â menite s─â contribuie la buna aplicare a prezentului regulament, ╚Ťin├ónd seama de caracteristicile specifice ale diverselor sectoare de prelucrare ╚Öi de nevoile specifice ale micro├«ntreprinderilor ╚Öi ale ├«ntreprinderilor mici ╚Öi mijlocii.

(2) Asocia╚Ťiile ╚Öi alte organisme care reprezint─â categorii de operatori sau de persoane ├«mputernicite de operatori pot preg─âti coduri de conduit─â sau le pot modifica sau extinde pe cele existente, ├«n scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi ├«n ceea ce prive╚Öte:

(a) prelucrarea în mod echitabil și transparent;

(b) interesele legitime urmărite de operatori în contexte specifice;

(c) colectarea datelor cu caracter personal;

(d) pseudonimizarea datelor cu caracter personal;

(e) informarea publicului și a persoanelor vizate;

(f) exercitarea drepturilor persoanelor vizate;

(g) informarea ╚Öi protejarea copiilor ╚Öi modalitatea ├«n care trebuie ob╚Ťinut consim╚Ť─âm├óntul titularilor r─âspunderii p─ârinte╚Öti asupra copiilor;

(h) m─âsurile ╚Öi procedurile men╚Ťionate la articolele 24 ╚Öi 25 ╚Öi m─âsurile de asigurare a securit─â╚Ťii prelucr─ârii, men╚Ťionate la articolul 32;

(i) notificarea autorit─â╚Ťilor de supraveghere cu privire la ├«nc─âlc─ârile securit─â╚Ťii datelor cu caracter personal ╚Öi informarea persoanelor vizate cu privire la aceste ├«nc─âlc─âri;

(j) transferul de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale; sau

(k) proceduri extrajudiciare ╚Öi alte proceduri de solu╚Ťionare a litigiilor pentru solu╚Ťionarea litigiilor ├«ntre operatori ╚Öi persoanele vizate ├«n ceea ce prive╚Öte prelucrarea, f─âr─â a aduce atingere drepturilor persoanelor vizate, ├«n temeiul articolelor 77 ╚Öi 79.

(3) La codurile de conduit─â aprobate ├«n temeiul alineatului (5) din prezentul articol ╚Öi care au o valabilitate general─â ├«n temeiul alineatului (9) din prezentul articol pot adera nu numai operatorii sau persoanele ├«mputernicite de operatori care fac obiectul prezentului regulament, ci ╚Öi operatorii sau persoanele ├«mputernicite de operatori care nu fac obiectul prezentului regulament ├«n temeiul articolului 3, ├«n scopul de a oferi garan╚Ťii adecvate ├«n cadrul transferurilor de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale ├«n condi╚Ťiile men╚Ťionate la articolul 46 alineatul (2) litera (e). Ace╚Öti operatori sau persoane ├«mputernicite de operatori ├«╚Öi asum─â angajamente cu caracter obligatoriu ╚Öi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, ├«n scopul aplic─ârii garan╚Ťiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

(4) Codul de conduit─â prev─âzut la alineatul (2) din prezentul articol cuprinde mecanisme care permit organismului men╚Ťionat la articolul 41 alineatul (1) s─â efectueze monitorizarea obligatorie a respect─ârii dispozi╚Ťiilor acestuia de c─âtre operatorii sau persoanele ├«mputernicite de operatori care se angajeaz─â s─â ├«l aplice, f─âr─â a aduce atingere sarcinilor ╚Öi competen╚Ťelor autorit─â╚Ťilor de supraveghere care sunt competente ├«n temeiul articolului 55 sau 56.

(5) Asocia╚Ťiile ╚Öi alte organisme men╚Ťionate la alineatul (2) din prezentul articol care inten╚Ťioneaz─â s─â preg─âteasc─â un cod de conduit─â sau s─â modifice sau s─â extind─â un cod existent transmit proiectul de cod, de modificare sau de extindere autorit─â╚Ťii de supraveghere care este competent─â ├«n temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere ╚Öi ├«l aprob─â ├«n cazul ├«n care se constat─â c─â acesta ofer─â garan╚Ťii adecvate suficiente.

(6) ├Än cazul ├«n care proiectul de cod, de modificare sau de extindere este aprobat ├«n conformitate cu alineatul (5), iar codul de conduit─â ├«n cauz─â nu are leg─âtur─â cu activit─â╚Ťile de prelucrare din mai multe state membre, autoritatea de supraveghere ├«nregistreaz─â ╚Öi public─â codul.

(7) ├Än cazul ├«n care un proiect de cod de conduit─â, de modificare sau de extindere are leg─âtur─â cu activit─â╚Ťile de prelucrare din mai multe state membre, ├«nainte de aprobare, autoritatea de supraveghere competent─â ├«n temeiul articolului 55 ├«l transmite, prin procedura men╚Ťionat─â la articolul 63, comitetului, care emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului respectiv, sau, ├«n situa╚Ťia men╚Ťionat─â la alineatul (3) din prezentul articol, ofer─â garan╚Ťii adecvate.

(8) ├Än cazul ├«n care avizul men╚Ťionat la alineatul (7) confirm─â conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere sau ├«n cazul ├«n care, ├«n situa╚Ťia men╚Ťionat─â la alineatul (3), ofer─â garan╚Ťii adecvate, comitetul transmite avizul s─âu Comisiei.

(9) Comisia poate adopta acte de punere în aplicare pentru a decide că codul de conduită, modificarea sau extinderea aprobate care i-au fost prezentate în temeiul alineatului (8) din prezentul articol au valabilitate generală în Uniune. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 93 alineatul (2).

(10) Comisia asigură publicitatea adecvată pentru codurile aprobate asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (9).

(11) Comitetul regrupeaz─â toate codurile de conduit─â, modific─ârile ╚Öi extinderile aprobate ├«ntr-un registru ╚Öi le pune la dispozi╚Ťia publicului prin mijloace corespunz─âtoare.

Articolul 41

Monitorizarea codurilor de conduit─â aprobate

(1) F─âr─â a aduce atingere sarcinilor ╚Öi competen╚Ťelor autorit─â╚Ťii de supraveghere competente ├«n temeiul articolelor 57 ╚Öi 58, monitorizarea respect─ârii unui cod de conduit─â ├«n temeiul articolului 40 poate fi realizat─â de un organism care dispune de un nivel adecvat de expertiz─â ├«n leg─âtur─â cu obiectul codului ╚Öi care este acreditat ├«n acest scop de autoritatea de supraveghere competent─â.

(2) Un organism men╚Ťionat la alineatul (1) poate fi acreditat pentru monitorizarea respect─ârii unui cod de conduit─â dac─â:

(a) a demonstrat autorit─â╚Ťii de supraveghere competente, ├«ntr-un mod satisf─âc─âtor, independen╚Ťa ╚Öi expertiza sa ├«n leg─âtur─â cu obiectul codului;

(b) a instituit proceduri care ├«i permit s─â evalueze eligibilitatea operatorilor ╚Öi a persoanelor ├«mputernicite de operatori ├«n vederea aplic─ârii codului, s─â monitorizeze respectarea de c─âtre ace╚Ötia a dispozi╚Ťiilor codului ╚Öi s─â revizuiasc─â periodic func╚Ťionarea acestuia;

(c) a instituit proceduri ╚Öi structuri pentru tratarea pl├óngerilor privind ├«nc─âlc─âri ale codului sau privind modul ├«n care codul a fost sau este pus ├«n aplicare de un operator sau o persoan─â ├«mputernicit─â de operator, precum ╚Öi pentru asigurarea transparen╚Ťei acestor proceduri ╚Öi structuri pentru persoanele vizate ╚Öi pentru public; ╚Öi

(d) a demonstrat autorit─â╚Ťii de supraveghere competente, ├«ntr-un mod satisf─âc─âtor, c─â sarcinile ╚Öi atribu╚Ťiile sale nu creeaz─â conflicte de interese.

(3) Autoritatea de supraveghere competent─â transmite proiectul de criterii pentru acreditarea unui organism men╚Ťionat la alineatul (1) din prezentul articol comitetului, ├«n conformitate cu mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolul 63.

(4) F─âr─â a aduce atingere sarcinilor ╚Öi competen╚Ťelor autorit─â╚Ťii de supraveghere competente ╚Öi dispozi╚Ťiilor capitolului VIII, un organism men╚Ťionat la alineatul (1) din prezentul articol ia m─âsuri corespunz─âtoare, sub rezerva unor garan╚Ťii adecvate, ├«n cazul ├«nc─âlc─ârii codului de c─âtre un operator sau o persoan─â ├«mputernicit─â de operator, inclusiv prin suspendarea sau excluderea respectivului operator sau a respectivei persoane din cadrul codului. Organismul ├«n cauz─â informeaz─â autoritatea de supraveghere competent─â cu privire la aceste m─âsuri ╚Öi la motivele care le-au determinat.

(5) Autoritatea de supraveghere competent─â revoc─â acreditarea unui organism men╚Ťionat la alineatul (1) ├«n cazul ├«n care nu mai sunt ├«ndeplinite condi╚Ťiile pentru acreditare sau m─âsurile luate de organismul ├«n cauz─â ├«ncalc─â prezentul regulament.

(6) Prezentul articol nu se aplic─â prelucr─ârii efectuate de autorit─â╚Ťi ╚Öi organisme publice.

Articolul 42

Certificare

(1) Statele membre, autorit─â╚Ťile de supraveghere, comitetul ╚Öi Comisia ├«ncurajeaz─â, ├«n special la nivelul Uniunii, instituirea de mecanisme de certificare ├«n domeniul protec╚Ťiei datelor, precum ╚Öi de sigilii ╚Öi m─ârci ├«n acest domeniu, care s─â permit─â demonstrarea faptului c─â opera╚Ťiunile de prelucrare efectuate de operatori ╚Öi de persoanele ├«mputernicite de operatori respect─â prezentul regulament. Sunt luate ├«n considerare necesit─â╚Ťile specifice ale micro├«ntreprinderilor ╚Öi ale ├«ntreprinderilor mici ╚Öi mijlocii.

(2) Mecanismele de certificare din domeniul protec╚Ťiei datelor, sigiliile sau m─ârcile aprobate ├«n temeiul alineatului (5) din prezentul articol sunt instituite nu numai pentru a fi respectate de operatorii sau de persoanele ├«mputernicite de operatori care fac obiectul prezentului regulament, ci ╚Öi pentru a demonstra existen╚Ťa unor garan╚Ťii adecvate oferite de operatorii sau de persoanele ├«mputernicite de operatori care nu fac obiectul prezentului regulament, ├«n temeiul articolului 3, ├«n cadrul transferurilor de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale ├«n condi╚Ťiile men╚Ťionate la articolul 46 alineatul (2) litera (f). Ace╚Öti operatori sau persoane ├«mputernicite de operatori ├«╚Öi asum─â angajamente cu caracter obligatoriu ╚Öi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, ├«n scopul aplic─ârii garan╚Ťiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.

(3) Certificarea este voluntară și disponibilă prin intermediul unui proces transparent.

(4) Certificarea ├«n conformitate cu prezentul articol nu reduce responsabilitatea operatorului sau a persoanei ├«mputernicite de operator de a respecta prezentul regulament ╚Öi nu aduce atingere sarcinilor ╚Öi competen╚Ťelor autorit─â╚Ťilor de supraveghere care sunt competente ├«n temeiul articolului 55 sau 56.

(5) Organismele de certificare men╚Ťionate la articolul 43 sau autoritatea de supraveghere competent─â emit o certificare ├«n temeiul prezentului articol, pe baza criteriilor aprobate de c─âtre autoritatea de supraveghere competent─â respectiv─â ├«n temeiul articolului 58 alineatul (3), sau de c─âtre comitet ├«n temeiul articolului 63. ├Än cazul ├«n care criteriile sunt aprobate de comitet, aceasta poate duce la o certificare comun─â, ╚Öi anume sigiliul european privind protec╚Ťia datelor.

(6) Operatorul sau persoana ├«mputernicit─â de operator care supune activit─â╚Ťile sale de prelucrare mecanismului de certificare ofer─â organismului de certificare men╚Ťionat la articolul 43 sau, dup─â caz, autorit─â╚Ťii de supraveghere competente, toate informa╚Ťiile necesare pentru desf─â╚Öurarea procedurii de certificare, precum ╚Öi accesul la activit─â╚Ťile de prelucrare respective.

(7) Certificarea este eliberat─â unui operator sau unei persoane ├«mputernicite de operator pentru o perioad─â maxim─â de trei ani ╚Öi poate fi re├«nnoit─â ├«n acelea╚Öi condi╚Ťii, cu condi╚Ťia ca cerin╚Ťele relevante s─â fie ├«ndeplinite ├«n continuare. Certificarea este retras─â, dup─â caz, de c─âtre organismele de certificare men╚Ťionate la articolul 43 sau de c─âtre autoritatea de supraveghere competent─â ├«n cazul ├«n care nu mai sunt ├«ndeplinite cerin╚Ťele pentru certificare.

(8) Comitetul regrupeaz─â toate mecanismele de certificare ╚Öi sigiliile ╚Öi m─ârcile de protec╚Ťie a datelor ├«ntr-un registru ╚Öi le pune la dispozi╚Ťia publicului prin orice mijloc corespunz─âtor.

Articolul 43

Organisme de certificare

(1) F─âr─â a aduce atingere sarcinilor ╚Öi competen╚Ťelor autorit─â╚Ťii de supraveghere competente, prev─âzute la articolele 57 ╚Öi 58, organismele de certificare care dispun de un nivel adecvat de competen╚Ť─â ├«n domeniul protec╚Ťiei datelor, dup─â ce informeaz─â autoritatea de supraveghere pentru a-i permite s─â ├«╚Öi exercite competen╚Ťele ├«n temeiul articolului 58 alineatul (2) litera (h), emit ╚Öi re├«nnoiesc certificarea. Statele membre se asigur─â c─â aceste organisme de certificare sunt acreditate de c─âtre una sau am├óndou─â dintre urm─âtoarele entit─â╚Ťi:

(a) autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56;

(b) organismul na╚Ťional de acreditare desemnat ├«n conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European ╚Öi al Consiliului (20) ├«n conformitate cu standardul EN-ISO/IEC 17065/2012 ╚Öi cu cerin╚Ťele suplimentare stabilite de autoritatea de supraveghere care este competent─â ├«n temeiul articolului 55 sau 56.

(2) Un organism de certificare men╚Ťionat la alineatul (1) este acreditat ├«n conformitate cu alineatul respectiv numai dac─â:

(a) a demonstrat autorit─â╚Ťii de supraveghere competente, ├«ntr-un mod satisf─âc─âtor, independen╚Ťa ╚Öi expertiza sa ├«n leg─âtur─â cu obiectul certific─ârii;

(b) s-a angajat s─â respecte criteriile men╚Ťionate la articolul 42 alineatul (5) ╚Öi aprobate de autoritatea de supraveghere care este competent─â ├«n temeiul articolului 55 sau 56, sau de c─âtre comitet ├«n temeiul articolului 63;

(c) a instituit proceduri pentru emiterea, revizuirea periodic─â ╚Öi retragerea certific─ârii, a sigiliilor ╚Öi m─ârcilor din domeniul protec╚Ťiei datelor;

(d) a instituit proceduri ╚Öi structuri pentru tratarea pl├óngerilor privind ├«nc─âlc─âri ale certific─ârii sau privind modul ├«n care certificarea a fost sau este pus─â ├«n aplicare de un operator sau o persoan─â ├«mputernicit─â de operator, precum ╚Öi pentru asigurarea transparen╚Ťei acestor proceduri ╚Öi structuri pentru persoanele vizate ╚Öi pentru public; ╚Öi

(e) a demonstrat autorit─â╚Ťii de supraveghere competente, ├«ntr-un mod satisf─âc─âtor, c─â sarcinile ╚Öi atribu╚Ťiile sale nu creeaz─â conflicte de interese.

(3) Acreditarea organismelor de certificare men╚Ťionate la alineatele (1) ╚Öi (2) din prezentul articol se realizeaz─â pe baza criteriilor aprobate de c─âtre autoritatea de supraveghere care este competent─â ├«n temeiul articolului 55 sau 56, sau de c─âtre comitet ├«n temeiul articolului 63. ├Än cazul unei acredit─âri ├«n conformitate cu alineatul (1) litera (b) din prezentul articol, aceste cerin╚Ťe le completeaz─â pe cele prev─âzute ├«n Regulamentul (CE) nr. 765/2008 ╚Öi normele tehnice care descriu metodele ╚Öi procedurile organismelor de certificare.

(4) Organismele de certificare men╚Ťionate la alineatul (1) sunt responsabile cu realizarea unei evalu─âri adecvate ├«n vederea certific─ârii sau retragerii acestei certific─âri, f─âr─â a aduce atingere responsabilit─â╚Ťii operatorului sau a persoanei ├«mputernicite de operator de a respecta prezentul regulament. Acreditarea se elibereaz─â pentru o perioad─â maxim─â de cinci ani ╚Öi poate fi re├«nnoit─â ├«n acelea╚Öi condi╚Ťii, cu condi╚Ťia ca organismul de certificare s─â ├«ndeplineasc─â cerin╚Ťele prev─âzute ├«n prezentul articol.

(5) Organismele de certificare men╚Ťionate la alineatul (1) transmite autorit─â╚Ťilor de supraveghere competente motivele acord─ârii sau retragerii certific─ârii solicitate.

(6) Cerin╚Ťele men╚Ťionate la alineatul (3) din prezentul articol ╚Öi criteriile men╚Ťionate la articolul 42 alineatul (5) se public─â de c─âtre autoritatea de supraveghere ├«ntr-o form─â u╚Öor de accesat. Autorit─â╚Ťile de supraveghere transmit, de asemenea, aceste cerin╚Ťe ╚Öi criterii comitetului. Comitetul regrupeaz─â toate mecanismele de certificare ╚Öi sigiliile de protec╚Ťie a datelor ├«ntr-un registru ╚Öi le pune la dispozi╚Ťia publicului prin orice mijloc corespunz─âtor.

(7) F─âr─â a aduce atingere dispozi╚Ťiilor capitolului VIII, autoritatea de supraveghere competent─â sau organismul na╚Ťional de acreditare revoc─â acreditarea acordat─â unui organism de certificare ├«n temeiul alineatului (1) din prezentul articol ├«n cazul ├«n care nu sunt sau nu mai sunt ├«ndeplinite condi╚Ťiile pentru acreditare sau m─âsurile luate de organismul de acreditare ├«ncalc─â prezentul regulament.

(8) Comisia este ├«mputernicit─â s─â adopte acte delegate ├«n conformitate cu articolul 92, ├«n scopul specific─ârii cerin╚Ťelor care trebuie luate ├«n considerare pentru mecanismele de certificare din domeniul protec╚Ťiei datelor, men╚Ťionate la articolul 42 alineatul (1).

(9) Comisia poate adopta acte de punere ├«n aplicare pentru a stabili standarde tehnice pentru mecanismele de certificare ╚Öi pentru sigiliile ╚Öi m─ârcile din domeniul protec╚Ťiei datelor, precum ╚Öi mecanisme de promovare ╚Öi recunoa╚Ötere a acelor mecanisme de certificare, sigilii ╚Öi m─ârci. Actele de punere ├«n aplicare respective se adopt─â ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2).

CAPITOLUL V

Transferurile de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale

Articolul 44

Principiul general al transferurilor

Orice date cu caracter personal care fac obiectul prelucr─ârii sau care urmeaz─â a fi prelucrate dup─â ce sunt transferate ├«ntr-o ╚Ťar─â ter╚Ť─â sau c─âtre o organiza╚Ťie interna╚Ťional─â pot fi transferate doar dac─â, sub rezerva celorlalte dispozi╚Ťii ale prezentului regulament, condi╚Ťiile prev─âzute ├«n prezentul capitol sunt respectate de operator ╚Öi de persoana ├«mputernicit─â de operator, inclusiv ├«n ceea ce prive╚Öte transferurile ulterioare de date cu caracter personal din ╚Ťara ter╚Ť─â sau de la organiza╚Ťia interna╚Ťional─â c─âtre o alt─â ╚Ťar─â ter╚Ť─â sau c─âtre o alt─â organiza╚Ťie interna╚Ťional─â. Toate dispozi╚Ťiile din prezentul capitol se aplic─â pentru a se asigura c─â nivelul de protec╚Ťie a persoanelor fizice garantat prin prezentul regulament nu este subminat.

Articolul 45

Transferuri ├«n temeiul unei decizii privind caracterul adecvat al nivelului de protec╚Ťie

(1) Transferul de date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â se poate realiza atunci c├ónd Comisia a decis c─â ╚Ťara ter╚Ť─â, un teritoriu ori unul sau mai multe sectoare specificate din acea ╚Ťar─â ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â ├«n cauz─â asigur─â un nivel de protec╚Ťie adecvat. Transferurile realizate ├«n aceste condi╚Ťii nu necesit─â autoriz─âri speciale.

(2) Atunci c├ónd evalueaz─â caracterul adecvat al nivelului de protec╚Ťie, Comisia ╚Ťine seama, ├«n special, de urm─âtoarele elemente:

(a) statul de drept, respectarea drepturilor omului ╚Öi a libert─â╚Ťilor fundamentale, legisla╚Ťia relevant─â, at├ót general─â, c├ót ╚Öi sectorial─â, inclusiv privind securitatea public─â, ap─ârarea, securitatea na╚Ťional─â ╚Öi dreptul penal, precum ╚Öi accesul autorit─â╚Ťilor publice la datele cu caracter personal, precum ╚Öi punerea ├«n aplicare a acestei legisla╚Ťii, normele de protec╚Ťie a datelor, normele profesionale ╚Öi m─âsurile de securitate, inclusiv normele privind transferul ulterior de date cu caracter personal c─âtre o alt─â ╚Ťar─â ter╚Ť─â sau organiza╚Ťie interna╚Ťional─â, care sunt respectate ├«n ╚Ťara ter╚Ť─â respectiv─â sau ├«n organiza╚Ťia interna╚Ťional─â respectiv─â, jurispruden╚Ťa, precum ╚Öi existen╚Ťa unor drepturi efective ╚Öi opozabile ale persoanelor vizate ╚Öi a unor repara╚Ťii efective pe cale administrativ─â ╚Öi judiciar─â pentru persoanele vizate ale c─âror date cu caracter personal sunt transferate;

(b) existen╚Ťa ╚Öi func╚Ťionarea eficient─â a uneia sau mai multor autorit─â╚Ťi de supraveghere independente ├«n ╚Ťara ter╚Ť─â sau sub jurisdic╚Ťia c─ârora intr─â o organiza╚Ťie interna╚Ťional─â, cu responsabilitate pentru asigurarea ╚Öi impunerea respect─ârii normelor de protec╚Ťie a datelor, incluz├ónd competen╚Ťe adecvate de asigurare a respect─ârii aplic─ârii, pentru acordarea de asisten╚Ť─â ╚Öi consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora ╚Öi pentru cooperarea cu autorit─â╚Ťile de supraveghere din statele membre; ╚Öi

(c) angajamentele interna╚Ťionale la care a aderat ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â ├«n cauz─â sau alte obliga╚Ťii care decurg din conven╚Ťii sau instrumente obligatorii din punct de vedere juridic, precum ╚Öi din participarea acesteia la sisteme multilaterale sau regionale, mai ales ├«n domeniul protec╚Ťiei datelor cu caracter personal.

(3) Comisia, dup─â ce evalueaz─â caracterul adecvat al nivelului de protec╚Ťie, poate decide, printr-un act de punere ├«n aplicare, c─â o ╚Ťar─â ter╚Ť─â, un teritoriu sau unul sau mai multe sectoare specificate dintr-o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â asigur─â un nivel de protec╚Ťie adecvat ├«n sensul alineatului (2) din prezentul articol. Actul de punere ├«n aplicare prevede un mecanism de revizuire periodic─â, cel pu╚Ťin o dat─â la patru ani, care ia ├«n considerare toate evolu╚Ťiile relevante din ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â. Actul de punere ├«n aplicare men╚Ťioneaz─â aplicarea geografic─â ╚Öi sectorial─â, ╚Öi, dup─â caz, identific─â autoritatea sau autorit─â╚Ťile de supraveghere men╚Ťionate la alineatul (2) litera (b) din prezentul articol. Actul de punere ├«n aplicare se adopt─â ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2).

(4) Comisia monitorizeaz─â continuu evolu╚Ťiile din ╚Ť─ârile ter╚Ťe ╚Öi de la nivelul organiza╚Ťiilor interna╚Ťionale care ar putea afecta func╚Ťionarea deciziilor adoptate ├«n temeiul alineatului (3) din prezentul articol ╚Öi a deciziilor adoptate ├«n temeiul articolului 25 alineatul (6) din Directiva 95/46/CE.

(5) ├Än cazul ├«n care informa╚Ťiile disponibile dezv─âluie, ├«n special ├«n urma revizuirii men╚Ťionate la alineatul (3) din prezentul articol, c─â o ╚Ťar─â ter╚Ť─â, un teritoriu sau un sector specificat din acea ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â nu mai asigur─â un nivel de protec╚Ťie adecvat ├«n sensul alineatului (2) din prezentul articol, Comisia, dac─â este necesar, abrog─â, modific─â sau suspend─â, prin intermediul unui act de punere ├«n aplicare, decizia men╚Ťionat─â la alineatul (3) din prezentul articol f─âr─â efect retroactiv. Actele de punere ├«n aplicare respective se adopt─â ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2).

Din motive imperioase de urgen╚Ť─â, Comisia adopt─â acte de punere ├«n aplicare imediat aplicabile ├«n conformitate cu procedura men╚Ťionat─â la articolul 93 alineatul (3).

(6) Comisia ini╚Ťiaz─â consult─âri cu ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â ├«n vederea remedierii situa╚Ťiei care a stat la baza deciziei luate ├«n conformitate cu alineatul (5).

(7) O decizie luat─â ├«n temeiul alineatului (5) din prezentul articol nu aduce atingere transferurilor de date cu caracter personal c─âtre ╚Ťara ter╚Ť─â, un teritoriu sau unul sau mai multe sectoare specificate din acea ╚Ťar─â ter╚Ť─â sau c─âtre organiza╚Ťia interna╚Ťional─â ├«n cauz─â ├«n conformitate cu articolele 46-49.

(8) Comisia public─â ├«n Jurnalul Oficial al Uniunii Europene ╚Öi pe site-ul s─âu o list─â a ╚Ť─ârilor ter╚Ťe, a teritoriilor ╚Öi sectoarelor specificate dintr-o ╚Ťar─â ter╚Ť─â ╚Öi a organiza╚Ťiilor interna╚Ťionale ├«n cazul c─ârora a decis c─â nivelul de protec╚Ťie adecvat este asigurat sau nu mai este asigurat.

(9) Deciziile adoptate de Comisie în temeiul articolului 25 alineatul (6) din Directiva 95/46/CE rămân în vigoare până când sunt modificate, înlocuite sau abrogate de o decizie a Comisiei adoptată în conformitate cu alineatul (3) sau (5) din prezentul articol.

Articolul 46

Transferuri ├«n baza unor garan╚Ťii adecvate

(1) ├Än absen╚Ťa unei decizii ├«n temeiul articolului 45 alineatul (3), operatorul sau persoana ├«mputernicit─â de operator poate transfera date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â numai dac─â operatorul sau persoana ├«mputernicit─â de operator a oferit garan╚Ťii adecvate ╚Öi cu condi╚Ťia s─â existe drepturi opozabile ╚Öi c─âi de atac eficiente pentru persoanele vizate.

(2) Garan╚Ťiile adecvate men╚Ťionate la alineatul 1 pot fi furnizate f─âr─â s─â fie nevoie de nicio autoriza╚Ťie specific─â din partea unei autorit─â╚Ťi de supraveghere, prin:

(a) un instrument obligatoriu din punct de vedere juridic ╚Öi executoriu ├«ntre autorit─â╚Ťile sau organismele publice;

(b) reguli corporatiste obligatorii în conformitate cu articolul 47;

(c) clauze standard de protec╚Ťie a datelor adoptate de Comisie ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2);

(d) clauze standard de protec╚Ťie a datelor adoptate de o autoritate de supraveghere ╚Öi aprobate de Comisie ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2);

(e) un cod de conduit─â aprobat ├«n conformitate cu articolul 40, ├«nso╚Ťit de un angajament obligatoriu ╚Öi executoriu din partea operatorului sau a persoanei ├«mputernicite de operator din ╚Ťara ter╚Ť─â de a aplica garan╚Ťii adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau

(f) un mecanism de certificare aprobat ├«n conformitate cu articolul 42, ├«nso╚Ťit de un angajament obligatoriu ╚Öi executoriu din partea operatorului sau a persoanei ├«mputernicite de operator din ╚Ťara ter╚Ť─â de a aplica garan╚Ťii adecvate, inclusiv cu privire la drepturile persoanelor vizate.

(3) Sub rezerva autoriz─ârii din partea autorit─â╚Ťii de supraveghere competente, garan╚Ťiile adecvate men╚Ťionate la alineatul (1) pot fi furnizate de asemenea, ├«n special, prin:

(a) clauze contractuale ├«ntre operator sau persoana ├«mputernicit─â de operator ╚Öi operatorul, persoana ├«mputernicit─â de operator sau destinatarul datelor cu caracter personal din ╚Ťara ter╚Ť─â sau organiza╚Ťia interna╚Ťional─â; sau

(b)dispozi╚Ťii care urmeaz─â s─â fie incluse ├«n acordurile administrative dintre autorit─â╚Ťile sau organismele publice, care includ drepturi opozabile ╚Öi efective pentru persoanele vizate.

(4) Autoritatea de supraveghere aplic─â mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolul 63, ├«n cazurile men╚Ťionate la alineatul (3) din prezentul articol.

(5) Autoriza╚Ťiile acordate de un stat membru sau de o autoritate de supraveghere ├«n temeiul articolului 26 alineatul (2) din Directiva 95/46/CE sunt valabile p├ón─â la data la care sunt modificate, ├«nlocuite sau abrogate, dac─â este necesar, de respectiva autoritate de supraveghere. Deciziile adoptate de Comisie ├«n temeiul articolului 26 alineatul (4) din Directiva 95/46/CE r─âm├ón ├«n vigoare p├ón─â c├ónd sunt modificate, ├«nlocuite sau abrogate, dac─â este necesar, de o decizie a Comisiei adoptat─â ├«n conformitate cu alineatul (2) din prezentul articol.

Articolul 47

Reguli corporatiste obligatorii

(1) ├Än conformitate cu mecanismul pentru asigurarea coeren╚Ťei prev─âzut la articolul 63, autoritatea de supraveghere competent─â aprob─â reguli corporatiste obligatorii, cu condi╚Ťia ca acestea:

(a) s─â fie obligatorii din punct de vedere juridic ╚Öi s─â se aplice fiec─ârui membru vizat al grupului de ├«ntreprinderi sau al grupului de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â, inclusiv angaja╚Ťilor acestuia, precum ╚Öi s─â fie puse ├«n aplicare de membrii ├«n cauz─â;

(b) să confere, în mod expres, drepturi opozabile persoanelor vizate în ceea ce privește prelucrarea datelor lor cu caracter personal; și

(c) s─â ├«ndeplineasc─â cerin╚Ťele prev─âzute la alineatul (2).

(2) Regulile corporatiste obligatorii men╚Ťionate la alineatul (1) precizeaz─â cel pu╚Ťin:

(a) structura și datele de contact ale grupului de întreprinderi sau ale grupului de întreprinderi implicate într-o activitate economică comună și ale fiecăruia dintre membrii săi;

(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucr─ârii ╚Öi scopurile prelucr─ârii, tipurile de persoane vizate afectate ╚Öi identificarea ╚Ť─ârii ter╚Ťe sau a ╚Ť─ârilor ter╚Ťe ├«n cauz─â;

(c) caracterul lor juridic obligatoriu, atât pe plan intern, cât și extern;

(d) aplicarea principiilor generale ├«n materie de protec╚Ťie a datelor, ├«n special limitarea scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protec╚Ťia datelor ├«ncep├ónd cu momentul conceperii ╚Öi protec╚Ťia implicit─â, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, m─âsurile de asigurare a securit─â╚Ťii datelor, precum ╚Öi cerin╚Ťele referitoare la transferurile ulterioare c─âtre organisme care nu fac obiectul regulilor corporatiste obligatorii;

(e) drepturile persoanelor vizate ├«n ceea ce prive╚Öte prelucrarea ╚Öi mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automat─â, inclusiv crearea de profiluri, ├«n conformitate cu articolul 22, dreptul de a depune o pl├óngere ├«n fa╚Ťa autorit─â╚Ťii de supraveghere competente ╚Öi ├«n fa╚Ťa instan╚Ťelor competente ale statelor membre, ├«n conformitate cu articolul 79, precum ╚Öi dreptul de a ob╚Ťine repara╚Ťii ╚Öi, dup─â caz, desp─âgubiri pentru ├«nc─âlcarea regulilor corporatiste obligatorii;

(f) acceptarea de c─âtre operator sau de persoana ├«mputernicit─â de operator, care ├«╚Öi are sediul pe teritoriul unui stat membru, a r─âspunderii pentru orice ├«nc─âlcare a regulilor corporatiste obligatorii de c─âtre orice membru ├«n cauz─â care nu ├«╚Öi are sediul ├«n Uniune; operatorul sau persoana ├«mputernicit─â de operator este exonerat(─â) de aceast─â r─âspundere, integral sau par╚Ťial, numai dac─â dovede╚Öte c─â membrul respectiv nu a fost r─âspunz─âtor de evenimentul care a cauzat prejudiciul;

(g) modul ├«n care informa╚Ťiile privind regulile corporatiste obligatorii, ├«n special privind dispozi╚Ťiile men╚Ťionate la literele (d), (e) ╚Öi (f) de la prezentul alineat, sunt furnizate persoanelor vizate ├«n completarea informa╚Ťiilor men╚Ťionate la articolele 13 ╚Öi 14;

(h) sarcinile oric─ârui responsabil cu protec╚Ťia datelor desemnat ├«n conformitate cu articolul 37 sau ale oric─ârei alte persoane sau entit─â╚Ťi ├«ns─ârcinate cu monitorizarea respect─ârii regulilor corporatiste obligatorii ├«n cadrul grupului de ├«ntreprinderi sau al grupului de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â, a activit─â╚Ťilor de formare ╚Öi a gestion─ârii pl├óngerilor;

(i) procedurile de formulare a plângerilor;

(j) mecanismele din cadrul grupului de ├«ntreprinderi sau al grupului de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â, menite s─â asigure verificarea conformit─â╚Ťii cu regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protec╚Ťia datelor ╚Öi metodele de asigurare a ac╚Ťiunilor corective menite s─â protejeze drepturile persoanei vizate. Rezultatele acestor verific─âri ar trebui s─â fie comunicate persoanei sau entit─â╚Ťii men╚Ťionate la litera (h) ╚Öi consiliului de administra╚Ťie al ├«ntreprinderii care exercit─â controlul grupului de ├«ntreprinderi sau al grupului de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â ╚Öi ar trebui s─â fie puse la dispozi╚Ťia autorit─â╚Ťii de supraveghere competente, la cerere;

(k) mecanismele de raportare ╚Öi ├«nregistrare a modific─ârilor aduse regulilor ╚Öi de raportare a acestor modific─âri autorit─â╚Ťii de supraveghere;

(l) mecanismul de cooperare cu autoritatea de supraveghere ├«n vederea asigur─ârii respect─ârii regulilor de c─âtre orice membru al grupului de ├«ntreprinderi sau al grupului de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â, ├«n special prin punerea la dispozi╚Ťia autorit─â╚Ťii de supraveghere a rezultatelor verific─ârilor cu privire la m─âsurile men╚Ťionate la punctul (j);

(m) mecanismele de raportare c─âtre autoritatea de supraveghere competent─â a oric─âror cerin╚Ťe legale impuse unui membru al grupului de ├«ntreprinderi sau al grupului de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â ├«ntr-o ╚Ťar─â ter╚Ť─â care pot avea un efect advers considerabil asupra garan╚Ťiilor furnizate prin regulile corporatiste obligatorii; ╚Öi

(n) formarea corespunz─âtoare ├«n domeniul protec╚Ťiei datelor a personalului care are un acces permanent sau periodic la date cu caracter personal.

(3) Comisia poate preciza formatul ╚Öi procedurile pentru schimbul de informa╚Ťii ├«ntre operatori, persoanele ├«mputernicite de operatori ╚Öi autorit─â╚Ťile de supraveghere pentru regulile corporatiste obligatorii ├«n sensul prezentului articol. Actele de punere ├«n aplicare respective se adopt─â ├«n conformitate cu procedura de examinare prev─âzut─â la articolul 93 alineatul (2).

Articolul 48

Transferurile sau divulg─ârile de informa╚Ťii neautorizate de dreptul Uniunii

Orice hot─âr├óre a unei instan╚Ťe sau a unui tribunal ╚Öi orice decizie a unei autorit─â╚Ťi administrative a unei ╚Ť─âri ter╚Ťe care impun unui operator sau persoanei ├«mputernicite de operator s─â transfere sau s─â divulge date cu caracter personal poate fi recunoscut─â sau executat─â ├«n orice fel numai dac─â se bazeaz─â pe un acord interna╚Ťional, cum ar fi un tratat de asisten╚Ť─â judiciar─â reciproc─â ├«n vigoare ├«ntre ╚Ťara ter╚Ť─â solicitant─â ╚Öi Uniune sau un stat membru, f─âr─â a se aduce atingere altor motive de transfer ├«n temeiul prezentului capitol.

Articolul 49

Derog─âri pentru situa╚Ťii specifice

(1) ├Än absen╚Ťa unei decizii privind caracterul adecvat al nivelului de protec╚Ťie ├«n conformitate cu articolul 45 alineatul (3) sau a unor garan╚Ťii adecvate ├«n conformitate cu articolul 46, inclusiv a regulilor corporatiste obligatorii, un transfer sau un set de transferuri de date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â poate avea loc numai ├«n una dintre condi╚Ťiile urm─âtoare:

(a) persoana vizat─â ╚Öi-a exprimat ├«n mod explicit acordul cu privire la transferul propus, dup─â ce a fost informat─â asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizat─â ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protec╚Ťie ╚Öi a unor garan╚Ťii adecvate;

(b) transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

(c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator și o altă persoană fizică sau juridică;

(d) transferul este necesar din considerente importante de interes public;

(e) transferul este necesar pentru stabilirea, exercitarea sau ap─ârarea unui drept ├«n instan╚Ť─â;

(f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-și exprima acordul;

(g) transferul se realizeaz─â dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informa╚Ťii publicului ╚Öi care poate fi consultat fie de public ├«n general, fie de orice persoan─â care poate face dovada unui interes legitim, dar numai ├«n m─âsura ├«n care sunt ├«ndeplinite condi╚Ťiile cu privire la consultare prev─âzute de dreptul Uniunii sau de dreptul intern ├«n acel caz specific.

├Än cazul ├«n care un transfer nu ar putea s─â se ├«ntemeieze pe o dispozi╚Ťie prev─âzut─â la articolul 45 sau 46, inclusiv dispozi╚Ťii privind reguli corporatiste obligatorii, ╚Öi nu este aplicabil─â niciuna dintre derog─ârile pentru situa╚Ťii specifice prev─âzute la primul paragraf din prezentul alineat, un transfer c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â poate avea loc numai ├«n cazul ├«n care transferul nu este repetitiv, se refer─â doar la un num─âr limitat de persoane vizate, este necesar ├«n scopul realiz─ârii intereselor legitime majore urm─ârite de operator asupra c─âruia nu prevaleaz─â interesele sau drepturile ╚Öi libert─â╚Ťile persoanei vizate ╚Öi operatorul a evaluat toate circumstan╚Ťele aferente transferului de date ╚Öi, pe baza acestei evalu─âri, a prezentat garan╚Ťii corespunz─âtoare ├«n ceea ce prive╚Öte protec╚Ťia datelor cu caracter personal. Operatorul informeaz─â autoritatea de supraveghere cu privire la transfer. Operatorul, ├«n plus fa╚Ť─â de furnizarea informa╚Ťiilor men╚Ťionate la articolele 13 ╚Öi 14, informeaz─â persoana vizat─â cu privire la transfer ╚Öi la interesele legitime majore pe care le urm─âre╚Öte.

(2) Transferul în temeiul alineatului (1) primul paragraf litera (g) nu implică totalitatea datelor cu caracter personal sau ansamblul categoriilor de date cu caracter personal cuprinse în registru. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau în cazul în care acestea vor fi destinatarii.

(3) Alineatul (1) primul paragraf literele (a), (b) ╚Öi (c) ╚Öi paragraful al doilea nu se aplic─â ├«n cazul activit─â╚Ťilor desf─â╚Öurate de autorit─â╚Ťile publice ├«n exercitarea competen╚Ťelor lor publice.

(4) Interesul public prev─âzut la alineatul (1) primul paragraf litera (d) este recunoscut ├«n dreptul Uniunii sau ├«n dreptul statului membru sub inciden╚Ťa c─âruia intr─â operatorul.

(5) ├Än absen╚Ťa unei decizii privind caracterul adecvat al nivelului de protec╚Ťie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, s─â stabileasc─â ├«n mod expres limite asupra transferului unor categorii specifice de date cu caracter personal c─âtre o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â. Statele membre notific─â aceste dispozi╚Ťii Comisiei.

(6) Operatorul sau persoana ├«mputernicit─â de operator consemneaz─â evaluarea, precum ╚Öi garan╚Ťiile adecvate prev─âzute la paragraful al doilea al alineatului (1) din prezentul articol, ├«n eviden╚Ťele men╚Ťionate la articolul 30.

Articolul 50

Cooperarea interna╚Ťional─â ├«n domeniul protec╚Ťiei datelor cu caracter personal

├Än ceea ce prive╚Öte ╚Ť─ârile ter╚Ťe ╚Öi organiza╚Ťiile interna╚Ťionale, Comisia ╚Öi autorit─â╚Ťile de supraveghere iau m─âsurile corespunz─âtoare pentru:

(a) elaborarea de mecanisme de cooperare interna╚Ťional─â pentru a facilita asigurarea aplic─ârii efective a legisla╚Ťiei privind protec╚Ťia datelor cu caracter personal;

(b)acordarea de asisten╚Ť─â interna╚Ťional─â reciproc─â ├«n asigurarea aplic─ârii legisla╚Ťiei din domeniul protec╚Ťiei datelor cu caracter personal, inclusiv prin notificare, transferul pl├óngerilor, asisten╚Ť─â ├«n investiga╚Ťii ╚Öi schimb de informa╚Ťii, sub rezerva unor garan╚Ťii adecvate pentru protec╚Ťia datelor cu caracter personal ╚Öi a altor drepturi ╚Öi libert─â╚Ťi fundamentale;

(c) implicarea p─âr╚Ťilor interesate relevante ├«n discu╚Ťiile ╚Öi activit─â╚Ťile care au ca scop intensificarea cooper─ârii interna╚Ťionale ├«n domeniul aplic─ârii legisla╚Ťiei privind protec╚Ťia datelor cu caracter personal;

(d) promovarea schimbului reciproc ╚Öi a documenta╚Ťiei cu privire la legisla╚Ťia ╚Öi practicile ├«n materie de protec╚Ťie a datelor cu caracter personal, inclusiv ├«n ceea ce prive╚Öte conflictele jurisdic╚Ťionale cu ╚Ť─ârile ter╚Ťe.

CAPITOLUL VI

Autorit─â╚Ťi de supraveghere independente

Sec╚Ťiunea 1

Statutul independent

Articolul 51

Autoritatea de supraveghere

(1) Fiecare stat membru se asigur─â c─â una sau mai multe autorit─â╚Ťi publice independente sunt responsabile de monitorizarea aplic─ârii prezentului regulament, ├«n vederea protej─ârii drepturilor ╚Öi libert─â╚Ťilor fundamentale ale persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea ╚Öi ├«n vederea facilit─ârii liberei circula╚Ťii a datelor cu caracter personal ├«n cadrul Uniunii (ÔÇ×autoritatea de supraveghereÔÇŁ).

(2) Fiecare autoritate de supraveghere contribuie la aplicarea coerent─â a prezentului regulament ├«n ├«ntreaga Uniune. ├Än acest scop, autorit─â╚Ťile de supraveghere coopereaz─â at├ót ├«ntre ele, c├ót ╚Öi cu Comisia, ├«n conformitate cu capitolul VII.

(3) ├Än cazul ├«n care mai multe autorit─â╚Ťi de supraveghere sunt instituite ├«ntr-un stat membru, acesta desemneaz─â autoritatea de supraveghere care reprezint─â autorit─â╚Ťile respective ├«n cadrul comitetului ╚Öi instituie un mecanism prin care s─â asigure respectarea de c─âtre celelalte autorit─â╚Ťi a normelor privind mecanismul pentru asigurarea coeren╚Ťei prev─âzut la articolul 63.

(4) Fiecare stat membru notific─â Comisiei dispozi╚Ťiile de drept pe care le adopt─â ├«n temeiul prezentului capitol p├ón─â la 25 mai 2018 ╚Öi, f─âr─â ├«nt├órziere, orice modificare ulterioar─â pe care o aduce acestor dispozi╚Ťii.

Articolul 52

Independen╚Ť─â

(1) Fiecare autoritate de supraveghere beneficiaz─â de independen╚Ť─â deplin─â ├«n ├«ndeplinirea sarcinilor sale ╚Öi exercitarea competen╚Ťelor sale ├«n conformitate cu prezentul regulament.

(2) Membrul sau membrii fiec─ârei autorit─â╚Ťi de supraveghere, ├«n cadrul ├«ndeplinirii sarcinilor ╚Öi al exercit─ârii competen╚Ťelor sale (lor) ├«n conformitate cu prezentul regulament, r─âm├óne (r─âm├ón) independent (independen╚Ťi) de orice influen╚Ť─â extern─â direct─â sau indirect─â ╚Öi nici nu solicit─â, nici nu accept─â instruc╚Ťiuni de la o parte extern─â.

(3) Membrul sau membrii fiec─ârei autorit─â╚Ťi de supraveghere se ab╚Ťin de la a ├«ntreprinde ac╚Ťiuni incompatibile cu atribu╚Ťiile lor, iar pe durata mandatului, nu desf─â╚Öoar─â activit─â╚Ťi incompatibile, remunerate sau nu.

(4) Fiecare stat membru se asigur─â c─â fiecare autoritate de supraveghere beneficiaz─â de resurse umane, tehnice ╚Öi financiare, de un sediu ╚Öi de infrastructura necesar─â pentru ├«ndeplinirea sarcinilor ╚Öi exercitarea efectiv─â a competen╚Ťelor sale, inclusiv a celor care urmeaz─â s─â fie aplicate ├«n contextul asisten╚Ťei reciproce, al cooper─ârii ╚Öi al particip─ârii ├«n cadrul comitetului.

(5) Fiecare stat membru se asigur─â c─â fiecare autoritate de supraveghere ├«╚Öi selecteaz─â personalul propriu ╚Öi de╚Ťine personal propriu aflat sub conducerea exclusiv─â a membrului sau membrilor autorit─â╚Ťii de supraveghere respective.

(6) Fiecare stat membru se asigur─â c─â fiecare autoritate de supraveghere face obiectul unui control financiar care nu aduce atingere independen╚Ťei sale ╚Öi c─â dispune de bugete anuale distincte, publice, care pot face parte din bugetul general de stat sau na╚Ťional.

Articolul 53

Condi╚Ťii generale aplicabile membrilor autorit─â╚Ťii de supraveghere

(1) Statele membre se asigur─â c─â fiecare membru al autorit─â╚Ťii lor de supraveghere este numit prin intermediul unei proceduri transparente:

ÔÇö de parlament;

ÔÇö de guvern;

ÔÇöde ╚Öeful statului; sau

ÔÇö de un organism independent ├«mputernicit s─â fac─â numiri ├«n temeiul dreptului intern.

(2) Fiecare membru ├«n cauz─â are calific─ârile, experien╚Ťa ╚Öi competen╚Ťele necesare, ├«n special ├«n domeniul protec╚Ťiei datelor cu caracter personal, pentru a-╚Öi putea ├«ndeplini atribu╚Ťiile ╚Öi exercita competen╚Ťele.

(3) Atribu╚Ťiile unui membru ├«nceteaz─â ├«n cazul expir─ârii mandatului, ├«n cazul demisiei sau pension─ârii din oficiu ├«n conformitate cu dreptul intern relevant.

(4) Un membru poate fi demis doar ├«n cazuri de abateri grave sau dac─â nu mai ├«ndepline╚Öte condi╚Ťiile necesare pentru ├«ndeplinirea atribu╚Ťiilor sale.

Articolul 54

Norme privind instituirea autorit─â╚Ťii de supraveghere

(1) Fiecare stat membru prevede, pe cale legislativ─â, urm─âtoarele:

(a) instituirea fiec─ârei autorit─â╚Ťi de supraveghere;

(b) calific─ârile ╚Öi condi╚Ťiile de eligibilitate necesare pentru a fi numit ├«n calitate de membru al fiec─ârei autorit─â╚Ťi de supraveghere;

(c) normele ╚Öi procedurile pentru numirea membrului sau a membrilor fiec─ârei autorit─â╚Ťi de supraveghere;

(d) durata mandatului membrului sau membrilor fiec─ârei autorit─â╚Ťi de supraveghere, de minimum patru ani, cu excep╚Ťia primei numiri dup─â 24 mai 2016, din care o parte poate fi pe o perioad─â mai scurt─â ├«n cazul ├«n care acest lucru este necesar pentru a proteja independen╚Ťa autorit─â╚Ťii de supraveghere printr-o procedur─â de numiri e╚Öalonate;

(e) dac─â ╚Öi de c├óte ori este eligibil pentru re├«nnoire mandatul membrului sau membrilor fiec─ârei autorit─â╚Ťi de supraveghere;

(f) condi╚Ťiile care reglementeaz─â obliga╚Ťiile membrului sau membrilor ╚Öi ale personalului fiec─ârei autorit─â╚Ťi de supraveghere, interdic╚Ťii privind ac╚Ťiunile, ocupa╚Ťiile ╚Öi beneficiile incompatibile cu acestea ├«n cursul mandatului ╚Öi dup─â ├«ncetarea acestuia, precum ╚Öi normele care reglementeaz─â ├«ncetarea contractului de angajare.

(2) Membrul sau membrii ╚Öi personalul fiec─ârei autorit─â╚Ťi de supraveghere au obliga╚Ťia, ├«n conformitate cu dreptul Uniunii sau cu dreptul intern, de a respecta at├ót pe parcursul mandatului, c├ót ╚Öi dup─â ├«ncetarea acestuia, secretul profesional ├«n ceea ce prive╚Öte informa╚Ťiile confiden╚Ťiale de care au luat cuno╚Ötin╚Ť─â ├«n cursul ├«ndeplinirii sarcinilor sau al exercit─ârii competen╚Ťelor lor. Pe durata mandatului lor, aceast─â obliga╚Ťie de p─âstrare a secretului profesional se aplic─â ├«n special ├«n ceea ce prive╚Öte raportarea de c─âtre persoane fizice a ├«nc─âlc─ârilor prezentului regulament.

Sec╚Ťiunea 2

Abilit─âri, sarcini ╚Öi competen╚Ťe

Articolul 55

Competen╚Ťa

(1) Fiecare autoritate de supraveghere are competen╚Ťa s─â ├«ndeplineasc─â sarcinile ╚Öi s─â exercite competen╚Ťele care ├«i sunt conferite ├«n conformitate cu prezentul regulament pe teritoriul statului membru de care apar╚Ťine.

(2) ├Än cazul ├«n care prelucrarea este efectuat─â de autorit─â╚Ťi publice sau de organisme private care ac╚Ťioneaz─â pe baza literei (c) sau (e) de la articolul 6 alineatul (1), este autoritatea de supraveghere din statul membru respectiv. ├Än astfel de cazuri, nu se aplic─â articolul 56.

(3) Autorit─â╚Ťile de supraveghere nu sunt competente s─â supravegheze opera╚Ťiunile de prelucrare ale instan╚Ťelor care ac╚Ťioneaz─â ├«n exerci╚Ťiul func╚Ťiei lor judiciare.

Articolul 56

Competen╚Ťa autorit─â╚Ťii de supraveghere principale

(1) F─âr─â a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei ├«mputernicite de operator este competent─â s─â ac╚Ťioneze ├«n calitate de autoritate de supraveghere principal─â pentru prelucrarea transfrontalier─â efectuat─â de respectivul operator sau respectiva persoan─â ├«mputernicit─â ├«n cauz─â ├«n conformitate cu procedura prev─âzut─â la articolul 60.

(2) Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competent─â s─â trateze o pl├óngere depus─â ├«n aten╚Ťia sa sau o eventual─â ├«nc─âlcare a prezentului regulament, ├«n cazul ├«n care obiectul acesteia se refer─â numai la un sediu aflat ├«n statul s─âu membru sau afecteaz─â ├«n mod semnificativ persoane vizate numai ├«n statul s─âu membru.

(3) ├Än cazurile men╚Ťionate la alineatul (2) din prezentul articol, autoritatea de supraveghere informeaz─â f─âr─â ├«nt├órziere autoritatea de supraveghere principal─â cu privire la aceast─â chestiune. ├Än termen de trei s─âpt─âm├óni de la momentul inform─ârii, autoritatea de supraveghere principal─â decide dac─â trateaz─â sau nu cazul respectiv ├«n conformitate cu procedura prev─âzut─â la articolul 60, lu├ónd ├«n considerare dac─â exist─â sau nu un sediu al operatorului sau al persoanei ├«mputernicite de operator pe teritoriul statului membru a c─ârui autoritate de supraveghere a informat-o.

(4) ├Än cazul ├«n care autoritatea de supraveghere principal─â decide s─â trateze cazul, se aplic─â procedura prev─âzut─â la articolul 60. Autoritatea de supraveghere care a informat autoritatea de supraveghere principal─â poate ├«nainta un proiect de decizie acesteia din urm─â. Autoritatea de supraveghere principal─â ╚Ťine seama ├«n cea mai mare m─âsur─â posibil─â de proiectul respectiv atunci c├ónd preg─âte╚Öte proiectul de decizie prev─âzut la articolul 60 alineatul (3).

(5) În cazul în care autoritatea de supraveghere principală decide să nu trateze cazul, autoritatea de supraveghere care a informat autoritatea de supraveghere principală tratează cazul în conformitate cu articolele 61 și 62

(6) Autoritatea de supraveghere principală este singurul interlocutor al operatorului sau al persoanei împuternicite de operator în ceea ce privește prelucrarea transfrontalieră efectuată de respectivul operator sau de respectiva persoană împuternicită de operator.

Articolul 57

Sarcini

(1) Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:

(a) monitorizează și asigură aplicarea prezentului regulament;

(b) promoveaz─â ac╚Ťiuni de sensibilizare ╚Öi de ├«n╚Ťelegere ├«n r├óndul publicului a riscurilor, normelor, garan╚Ťiilor ╚Öi drepturilor ├«n materie de prelucrare. Se acord─â aten╚Ťie special─â activit─â╚Ťilor care se adreseaz─â ├«n mod specific copiilor;

(c) ofer─â consiliere, ├«n conformitate cu dreptul intern, parlamentului na╚Ťional, guvernului ╚Öi altor institu╚Ťii ╚Öi organisme cu privire la m─âsurile legislative ╚Öi administrative referitoare la protec╚Ťia drepturilor ╚Öi libert─â╚Ťilor persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea;

(d) promoveaz─â ac╚Ťiuni de sensibilizare a operatorilor ╚Öi a persoanelor ├«mputernicite de ace╚Ötia cu privire la obliga╚Ťiile care le revin ├«n temeiul prezentului regulament;

(e) la cerere, furnizeaz─â informa╚Ťii oric─ârei persoane vizate ├«n leg─âtur─â cu exercitarea drepturilor sale ├«n conformitate cu prezentul regulament ╚Öi, dac─â este cazul, coopereaz─â cu autorit─â╚Ťile de supraveghere din alte state membre ├«n acest scop;

(f) trateaz─â pl├óngerile depuse de o persoan─â vizat─â, un organism, o organiza╚Ťie sau o asocia╚Ťie ├«n conformitate cu articolul 80 ╚Öi investigheaz─â ├«ntr-o m─âsur─â adecvat─â obiectul pl├óngerii ╚Öi informeaz─â reclamantul cu privire la evolu╚Ťia ╚Öi rezultatul investiga╚Ťiei, ├«ntr-un termen rezonabil, ├«n special dac─â este necesar─â efectuarea unei investiga╚Ťii mai am─ânun╚Ťite sau coordonarea cu o alt─â autoritate de supraveghere;

(g) coopereaz─â, inclusiv prin schimb de informa╚Ťii, cu alte autorit─â╚Ťi de supraveghere ╚Öi ├«╚Öi ofer─â asisten╚Ť─â reciproc─â pentru a asigura coeren╚Ťa aplic─ârii ╚Öi respect─ârii prezentului regulament;

(h) desf─â╚Öoar─â investiga╚Ťii privind aplicarea prezentului regulament, inclusiv pe baza unor informa╚Ťii primite de la o alt─â autoritate de supraveghere sau de la o alt─â autoritate public─â;

(i) monitorizeaz─â evolu╚Ťiile relevante, ├«n m─âsura ├«n care acestea au impact asupra protec╚Ťiei datelor cu caracter personal, ├«n special evolu╚Ťia tehnologiilor informa╚Ťiei ╚Öi comunica╚Ťiilor ╚Öi a practicilor comerciale;

(j) adopt─â clauze contractuale standard men╚Ťionate la articolul 28 alineatul (8) ╚Öi la articolul 46 alineatul (2) litera (d);

(k) ├«ntocme╚Öte ╚Öi men╚Ťine la zi o list─â ├«n leg─âtur─â cu cerin╚Ťa privind evaluarea impactului asupra protec╚Ťiei datelor, ├«n conformitate cu articolul 35 alineatul (4);

(l) ofer─â consiliere cu privire la opera╚Ťiunile de prelucrare men╚Ťionate la articolul 36 alineatul (2);

(m) ├«ncurajeaz─â elaborarea de coduri de conduit─â ├«n conformitate cu articolul 40 alineatul (1), ├«╚Öi d─â avizul cu privire la acestea ╚Öi le aprob─â pe cele care ofer─â suficiente garan╚Ťii, ├«n conformitate cu articolul 40 alineatul (5);

(n) ├«ncurajeaz─â stabilirea unor mecanisme de certificare, precum ╚Öi a unor sigilii ╚Öi m─ârci ├«n domeniul protec╚Ťiei datelor ├«n conformitate cu articolul 42 alineatul (1) ╚Öi aprob─â criteriile de certificare ├«n conformitate cu articolul 42 alineatul (5);

(o) acolo unde este cazul, efectuează o revizuire periodică a certificărilor acordate, în conformitate cu articolul 42 alineatul (7);

(p) elaborează și publică criteriile de acreditare a unui organism de monitorizare a codurilor de conduită în conformitate cu articolul 41 și a unui organism de certificare în conformitate cu articolul 43;

(q) coordonează procedura de acreditare a unui organism de monitorizare a codurilor de conduită în conformitate cu articolul 41 și a unui organism de certificare în conformitate cu articolul 43;

(r) autorizeaz─â clauzele ╚Öi dispozi╚Ťiile contractuale men╚Ťionate la articolul 46 alineatul (3);

(s) aprobă regulile corporatiste obligatorii în conformitate cu articolul 47;

(t) contribuie la activit─â╚Ťile comitetului;

(u) men╚Ťine la zi eviden╚Ťe interne privind ├«nc─âlc─ârile prezentului regulament ╚Öi m─âsurile luate, ├«n special avertismentele emise ╚Öi sanc╚Ťiunile impuse ├«n conformitate cu articolul 58 alineatul (2); ╚Öi

(v) ├«ndepline╚Öte orice alte sarcini legate de protec╚Ťia datelor cu caracter personal.

(2) Fiecare autoritate de supraveghere faciliteaz─â depunerea pl├óngerilor men╚Ťionate la alineatul (1) litera (f) prin m─âsuri precum punerea la dispozi╚Ťie a unui formular de depunere a pl├óngerii care s─â poat─â fi completat inclusiv ├«n format electronic, f─âr─â a exclude alte mijloace de comunicare.

(3) ├Ändeplinirea sarcinilor fiec─ârei autorit─â╚Ťi de supraveghere este gratuit─â pentru persoana vizat─â ╚Öi, dup─â caz, pentru responsabilul cu protec╚Ťia datelor.

(4) ├Än cazul ├«n care cererile sunt ├«n mod v─âdit nefondate sau excesive, ├«n special din cauza caracterului lor repetitiv, autoritatea de supraveghere poate percepe o tax─â rezonabil─â, bazat─â pe costurile administrative, sau poate refuza s─â le trateze. Sarcina de a demonstra caracterul evident nefondat sau excesiv al cererii revine autorit─â╚Ťii de supraveghere.

Articolul 58

Competen╚Ťe

(1) Fiecare autoritate de supraveghere are toate urm─âtoarele competen╚Ťe de investigare

(a) de a da dispozi╚Ťii operatorului ╚Öi persoanei ├«mputernicite de operator ╚Öi, dup─â caz, reprezentantului operatorului sau al persoanei ├«mputernicite de operator s─â furnizeze orice informa╚Ťii pe care autoritatea de supraveghere le solicit─â ├«n vederea ├«ndeplinirii sarcinilor sale;

(b) de a efectua investiga╚Ťii sub form─â de audituri privind protec╚Ťia datelor;

(c) de a efectua o revizuire a certificărilor acordate în temeiul articolului 42 alineatul (7);

(d) de a notifica operatorul sau persoana împuternicită de operator cu privire la presupusa încălcare a prezentului regulament;

(e) de a ob╚Ťine, din partea operatorului ╚Öi a persoanei ├«mputernicite de operator, accesul la toate datele cu caracter personal ╚Öi la toate informa╚Ťiile necesare pentru ├«ndeplinirea sarcinilor sale;

(f) de a ob╚Ťine accesul la oricare dintre incintele operatorului ╚Öi ale persoanei ├«mputernicite de operator, inclusiv la orice echipamente ╚Öi mijloace de prelucrare a datelor, ├«n conformitate cu dreptul Uniunii sau cu dreptul procesual intern.

(2) Fiecare autoritate de supraveghere are toate urm─âtoarele competen╚Ťe corective:

(a)de a emite avertiz─âri ├«n aten╚Ťia unui operator sau a unei persoane ├«mputernicite de operator cu privire la posibilitatea ca opera╚Ťiunile de prelucrare prev─âzute s─â ├«ncalce dispozi╚Ťiile prezentului regulament;

(b) de a emite mustr─âri adresate unui operator sau unei persoane ├«mputernicite de operator ├«n cazul ├«n care opera╚Ťiunile de prelucrare au ├«nc─âlcat dispozi╚Ťiile prezentului regulament;

(c) de a da dispozi╚Ťii operatorului sau persoanei ├«mputernicite de operator s─â respecte cererile persoanei vizate de a-╚Öi exercita drepturile ├«n temeiul prezentului regulament;

(d) de a da dispozi╚Ťii operatorului sau persoanei ├«mputernicite de operator s─â asigure conformitatea opera╚Ťiunilor de prelucrare cu dispozi╚Ťiile prezentului regulament, specific├ónd, dup─â caz, modalitatea ╚Öi termenul-limit─â pentru aceasta;

(e) de a obliga operatorul s─â informeze persoana vizat─â cu privire la o ├«nc─âlcare a protec╚Ťiei datelor cu caracter personal;

(f) de a impune o limitare temporar─â sau definitiv─â, inclusiv o interdic╚Ťie asupra prelucr─ârii;

(g) de a dispune rectificarea sau ╚Ötergerea datelor cu caracter personal sau restric╚Ťionarea prelucr─ârii, ├«n temeiul articolelor 16, 17 ╚Öi 18, precum ╚Öi notificarea acestor ac╚Ťiuni destinatarilor c─ârora le-au fost divulgate datele cu caracter personal, ├«n conformitate cu articolul 17 alineatul (2) ╚Öi cu articolul 19;

(h) de a retrage o certificare sau de a obliga organismul de certificare s─â retrag─â o certificare eliberat─â ├«n temeiul articolul 42 ╚Öi 43 sau de a obliga organismul de certificare s─â nu elibereze o certificare ├«n cazul ├«n care cerin╚Ťele de certificare nu sunt sau nu mai sunt ├«ndeplinite;

(i) de a impune amenzi administrative ├«n conformitate cu articolul 83, ├«n completarea sau ├«n locul m─âsurilor men╚Ťionate la prezentul alineat, ├«n func╚Ťie de circumstan╚Ťele fiec─ârui caz ├«n parte;

(j) de a dispune suspendarea fluxurilor de date c─âtre un destinatar dintr-o ╚Ťar─â ter╚Ť─â sau c─âtre o organiza╚Ťie interna╚Ťional─â.

(3) Fiecare autoritate de supraveghere are toate urm─âtoarele competen╚Ťe de autorizare ╚Öi de consiliere:

(a) de a oferi consiliere operatorului ├«n conformitate cu procedura de consultare prealabil─â men╚Ťionat─â la articolul 36;

(b) de a emite avize, din proprie ini╚Ťiativ─â sau la cerere, parlamentului na╚Ťional, guvernului statului membru sau, ├«n conformitate cu dreptul intern, altor institu╚Ťii ╚Öi organisme, precum ╚Öi publicului, cu privire la orice aspect legat de protec╚Ťia datelor cu caracter personal;

(c) de a autoriza prelucrarea men╚Ťionat─â la articolul 36 alineatul (5), ├«n cazul ├«n care dreptul statului membru prevede o astfel de autorizare prealabil─â;

(d) de a emite un aviz și de a aproba proiectele de coduri de conduită, în conformitate cu articolul 40 alineatul (5);

(e) de a acredita organismele de certificare în conformitate cu articolul 43;

(f) de a emite certificări și de a aproba criterii de certificare în conformitate cu articolul 42 alineatul (5);

(g) de a adopta clauzele standard ├«n materie de protec╚Ťie a datelor men╚Ťionate la articolul 28 alineatul (8) ╚Öi la articolul 46 alineatul (2) litera (d);

(h) de a autoriza clauzele contractuale men╚Ťionate la articolul 46 alineatul (3) litera (a);

(i) de a autoriza acordurile administrative men╚Ťionate la articolul 46 alineatul (3) litera (b); ╚Öi

(j) de a aproba reguli corporatiste obligatorii în conformitate cu articolul 47.

(4) Exercitarea competen╚Ťelor conferite autorit─â╚Ťii de supraveghere ├«n temeiul prezentului articol face obiectul unor garan╚Ťii adecvate, inclusiv c─âi de atac judiciare eficiente ╚Öi procese echitabile, prev─âzute ├«n dreptul Uniunii ╚Öi ├«n dreptul intern ├«n conformitate cu carta.

(5) Fiecare stat membru prevede, pe cale legislativ─â, faptul c─â autoritatea sa de supraveghere are competen╚Ťa de a aduce ├«n fa╚Ťa autorit─â╚Ťilor judiciare cazurile de ├«nc─âlcare a prezentului regulament ╚Öi, dup─â caz, de a ini╚Ťia sau de a se implica ├«ntr-un alt mod ├«n proceduri judiciare, ├«n scopul de a asigura aplicarea dispozi╚Ťiilor prezentului regulament.

(6) Fiecare stat membru poate s─â prevad─â ├«n dreptul s─âu faptul c─â autoritatea sa de supraveghere are competen╚Ťe suplimentare, ├«n afara celor men╚Ťionate la alineatele (1), (2) ╚Öi (3). Exercitarea acestor competen╚Ťe nu afecteaz─â modul de operare eficient─â a capitolului VII.

Articolul 59

Rapoarte de activitate

Fiecare autoritate de supraveghere ├«ntocme╚Öte un raport anual cu privire la activit─â╚Ťile sale, care poate include o list─â a tipurilor de ├«nc─âlc─âri notificate ╚Öi a tipurilor de m─âsuri luate ├«n conformitate cu articolul 58 alineatul (2). Rapoartele se transmit parlamentului na╚Ťional, guvernului ╚Öi altor autorit─â╚Ťi desemnate prin dreptul intern. Acestea se pun la dispozi╚Ťia publicului, a Comisiei ╚Öi a comitetului.

CAPITOLUL VII

Cooperare ╚Öi coeren╚Ť─â

Sec╚Ťiunea 1

Cooperare

Articolul 60

Cooperarea dintre autoritatea de supraveghere principal─â ╚Öi celelalte autorit─â╚Ťi de supraveghere vizate

(1) Autoritatea de supraveghere principal─â coopereaz─â cu celelalte autorit─â╚Ťi de supraveghere vizate, ├«n conformitate cu prezentul articol, ├«n ├«ncercarea de a ajunge la un consens. Autoritatea de supraveghere principal─â ╚Öi autorit─â╚Ťile de supraveghere vizate ├«╚Öi comunic─â reciproc toate informa╚Ťiile relevante.

(2) Autoritatea de supraveghere principal─â poate solicita ├«n orice moment altor autorit─â╚Ťi de supraveghere vizate s─â ofere asisten╚Ť─â reciproc─â ├«n temeiul articolului 61 ╚Öi poate desf─â╚Öura opera╚Ťiuni comune ├«n temeiul articolului 62, ├«n special ├«n vederea efectu─ârii de investiga╚Ťii sau a monitoriz─ârii punerii ├«n aplicare a unei m─âsuri referitoare la un operator sau o persoan─â ├«mputernicit─â de operator, stabilit(─â) ├«n alt stat membru.

(3) Autoritatea de supraveghere principal─â comunic─â f─âr─â ├«nt├órziere informa╚Ťiile relevante referitoare la aceast─â chestiune celorlalte autorit─â╚Ťi de supraveghere vizate. Autoritatea de supraveghere principal─â transmite f─âr─â ├«nt├órziere un proiect de decizie celorlalte autorit─â╚Ťi de supraveghere vizate, pentru a ob╚Ťine avizul lor, ╚Öi ╚Ťine seama ├«n mod corespunz─âtor de opiniile acestora.

(4) ├Än cazul ├«n care oricare dintre celelalte autorit─â╚Ťi de supraveghere vizate exprim─â, ├«n termen de patru s─âpt─âm├óni dup─â ce a fost consultat─â ├«n conformitate cu alineatul (3) din prezentul articol, o obiec╚Ťie relevant─â ╚Öi motivat─â la proiectul de decizie, autoritatea de supraveghere principal─â, ├«n cazul ├«n care nu d─â curs obiec╚Ťiei relevante ╚Öi motivate sau consider─â c─â obiec╚Ťia nu este relevant─â sau motivat─â, sesizeaz─â mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolul 63.

(5) ├Än cazul ├«n care inten╚Ťioneaz─â s─â dea curs obiec╚Ťiei relevante ╚Öi motivate formulate, autoritatea de supraveghere principal─â transmite celorlalte autorit─â╚Ťi de supraveghere vizate un proiect revizuit de decizie pentru a ob╚Ťine avizul acestora. Acest proiect revizuit de decizie face obiectul procedurii men╚Ťionate la alineatul (4) pe parcursul unei perioade de dou─â s─âpt─âm├óni.

(6) ├Än cazul ├«n care niciuna dintre celelalte autorit─â╚Ťi de supraveghere vizate nu a formulat obiec╚Ťii la proiectul de decizie transmis de autoritatea de supraveghere principal─â ├«n termenul men╚Ťionat la alineatele (4) ╚Öi (5), se consider─â c─â autoritatea de supraveghere principal─â ╚Öi autorit─â╚Ťile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care devine obligatoriu pentru acestea.

(7) Autoritatea de supraveghere principal─â adopt─â decizia ╚Öi o notific─â sediului principal sau sediului unic al operatorului sau al persoanei ├«mputernicite de operator, dup─â caz, ╚Öi informeaz─â celelalte autorit─â╚Ťi de supraveghere vizate ╚Öi comitetul cu privire la decizia ├«n cauz─â, incluz├ónd un rezumat al elementelor ╚Öi motivelor relevante. Autoritatea de supraveghere la care a fost depus─â pl├óngerea informeaz─â reclamantul cu privire la decizie.

(8) Prin derogare de la alineatul (7), ├«n cazul ├«n care o pl├óngere este refuzat─â sau respins─â, autoritatea de supraveghere la care s-a depus pl├óngerea adopt─â decizia, o notific─â reclamantului ╚Öi informeaz─â operatorul cu privire la acest lucru.(9) ├Än cazul ├«n care autoritatea de supraveghere principal─â ╚Öi autorit─â╚Ťile de supraveghere vizate sunt de acord s─â refuze sau s─â resping─â anumite p─âr╚Ťi ale unei pl├óngeri ╚Öi s─â dea curs altor p─âr╚Ťi ale pl├óngerii respective, se adopt─â o decizie separat─â pentru fiecare dintre aceste p─âr╚Ťi. Autoritatea de supraveghere principal─â adopt─â decizia pentru partea care vizeaz─â ac╚Ťiunile referitoare la operator, o notific─â sediului principal sau sediului unic al operatorului sau al persoanei ├«mputernicite de operator de pe teritoriul statului membru ├«n cauz─â ╚Öi informeaz─â reclamantul cu privire la acest lucru, ├«n timp ce autoritatea de supraveghere a reclamantului adopt─â decizia pentru partea care vizeaz─â refuzarea sau respingerea pl├óngerii respective, o notific─â reclamantului ╚Öi informeaz─â operatorul sau persoana ├«mputernicit─â de operator cu privire la acest lucru.

(10) ├Än urma notific─ârii deciziei autorit─â╚Ťii de supraveghere principale ├«n temeiul alineatelor (7) ╚Öi (9), operatorul sau persoana ├«mputernicit─â de operator ia m─âsurile necesare pentru a se asigura c─â activit─â╚Ťile de prelucrare sunt ├«n conformitate cu decizia ├«n toate sediile sale din Uniune. Operatorul sau persoana ├«mputernicit─â de operator notific─â m─âsurile luate ├«n vederea respect─ârii deciziei autorit─â╚Ťii de supraveghere principale, care informeaz─â celelalte autorit─â╚Ťi de supraveghere vizate.

(11) ├Än cazul ├«n care, ├«n circumstan╚Ťe excep╚Ťionale, o autoritate de supraveghere vizat─â are motive s─â considere c─â exist─â o nevoie urgent─â de a ac╚Ťiona ├«n vederea protej─ârii intereselor persoanelor vizate, se aplic─â procedura de urgen╚Ť─â prev─âzut─â la articolul 66.

(12) Autoritatea de supraveghere principal─â ╚Öi celelalte autorit─â╚Ťi de supraveghere vizate ├«╚Öi furnizeaz─â reciproc informa╚Ťiile solicitate ├«n temeiul prezentului articol, pe cale electronic─â, utiliz├ónd un formular standard.

Articolul 61

Asisten╚Ť─â reciproc─â

(1) Autorit─â╚Ťile de supraveghere ├«╚Öi furnizeaz─â reciproc informa╚Ťii relevante ╚Öi asisten╚Ť─â pentru a pune ├«n aplicare prezentul regulament ├«n mod coerent ╚Öi instituie m─âsuri de cooperare eficace ├«ntre ele. Asisten╚Ťa reciproc─â se refer─â, ├«n special, la cereri de informa╚Ťii ╚Öi m─âsuri de supraveghere, cum ar fi cereri privind autoriz─âri ╚Öi consult─âri prealabile, inspec╚Ťii ╚Öi investiga╚Ťii.

(2) Fiecare autoritate de supraveghere ia toate m─âsurile corespunz─âtoare necesare pentru a r─âspunde unei cererii a unei alte autorit─â╚Ťi de supraveghere, f─âr─â ├«nt├órzieri nejustificate ╚Öi cel t├órziu ├«n termen de o lun─â de la data primirii cererii. Aceste m─âsuri pot include, ├«n special, transmiterea informa╚Ťiilor relevante privind desf─â╚Öurarea unei investiga╚Ťii.

(3) Cererile de asisten╚Ť─â cuprind toate informa╚Ťiile necesare, inclusiv scopul cererii ╚Öi motivele care stau la baza acesteia. Informa╚Ťiile care fac obiectul schimbului se utilizeaz─â numai ├«n scopul ├«n care au fost solicitate.

(4) Autoritatea de supraveghere solicitat─â nu poate refuza s─â dea curs cererii, cu excep╚Ťia cazului ├«n care:

(a) nu are competen╚Ť─â privind obiectul cererii sau m─âsurile pe care este solicitat─â s─â le execute; sau

(b) a da curs cererii ar ├«nc─âlca prezentul regulament sau dreptul Uniunii sau dreptului intern sub inciden╚Ťa c─âruia intr─â autoritatea de supraveghere care a primit cererea.

(5) Autoritatea de supraveghere căreia i s-a adresat cererea informează autoritatea de supraveghere care a transmis cererea cu privire la rezultate sau, după caz, la progresele înregistrate ori măsurile întreprinse pentru a răspunde cererii. Autoritatea de supraveghere solicitată își motivează fiecare refuz de a da curs cererii în temeiul alineatului (4).

(6) Ca regul─â, autorit─â╚Ťile de supraveghere solicitate furnizeaz─â informa╚Ťiile solicitate de alte autorit─â╚Ťi de supraveghere pe cale electronic─â, utiliz├ónd un formular standard.

(7) Autorit─â╚Ťile de supraveghere solicitate nu percep nicio tax─â pentru ac╚Ťiunile ├«ntreprinse de acestea ├«n temeiul unei cereri de asisten╚Ť─â reciproc─â. Autorit─â╚Ťile de supraveghere pot conveni asupra unor norme privind retribu╚Ťiile reciproce ├«n cazul unor cheltuieli specifice rezultate ├«n urma acord─ârii de asisten╚Ť─â reciproc─â ├«n situa╚Ťii excep╚Ťionale.

(8) ├Än cazul ├«n care o autoritate de supraveghere nu furnizeaz─â informa╚Ťiile men╚Ťionate la alineatul (5) din prezentul articol ├«n termen de o lun─â de la primirea cererii din partea altei autorit─â╚Ťi de supraveghere, aceasta din urm─â poate adopta o m─âsur─â provizorie pe teritoriul propriului stat membru, ├«n conformitate cu articolul 55 alineatul (1). ├Än acest caz, necesitatea urgent─â de a ac╚Ťiona ├«n temeiul articolului 66 alineatul (1) este considerat─â a fi ├«ndeplinit─â ╚Öi necesit─â o decizie obligatorie urgent─â din partea comitetului, ├«n conformitate cu articolul 66 alineatul (2).

(9) Comisia, printr-un act de punere ├«n aplicare, poate specifica forma ╚Öi procedurile pentru asisten╚Ťa reciproc─â men╚Ťionat─â ├«n prezentul articol, precum ╚Öi modalit─â╚Ťile de schimb de informa╚Ťii pe cale electronic─â ├«ntre autorit─â╚Ťile de supraveghere ╚Öi ├«ntre autorit─â╚Ťile de supraveghere ╚Öi comitet, ├«n special formularul standard men╚Ťionat la alineatul (6) din prezentul articol. Actele de punere ├«n aplicare respective sunt adoptate ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2).

Articolul 62

Opera╚Ťiuni comune ale autorit─â╚Ťilor de supraveghere

(1) Dup─â caz, autorit─â╚Ťile de supraveghere desf─â╚Öoar─â opera╚Ťiuni comune, inclusiv investiga╚Ťii comune ╚Öi m─âsuri comune de aplicare a legii, ├«n care sunt implica╚Ťi membri sau personal din autorit─â╚Ťile de supraveghere ale altor state membre.

(2) ├Än cazul ├«n care operatorul sau persoana ├«mputernicit─â de operator de╚Ťine sedii ├«n mai multe state membre sau dac─â un num─âr semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate ├«n mod semnificativ de opera╚Ťiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la opera╚Ťiunile comune. Autoritatea de supraveghere care este competent─â ├«n conformitate cu articolul 56 alineatul (1) sau alineatul (4) invit─â autorit─â╚Ťile de supraveghere din fiecare dintre aceste state membre s─â ia parte la opera╚Ťiunile comune respective ╚Öi r─âspunde f─âr─â ├«nt├órziere la cererea de participare a unei autorit─â╚Ťi de supraveghere.

(3) O autoritate de supraveghere poate, ├«n conformitate cu dreptul intern ╚Öi cu acordul autorit─â╚Ťii de supraveghere din statul membru de origine, s─â acorde competen╚Ťe, inclusiv competen╚Ťe de investigare, membrilor sau personalului autorit─â╚Ťii de supraveghere din statul membru de origine implica╚Ťi ├«n opera╚Ťiuni comune sau, ├«n m─âsura ├«n care dreptul statului membru al autorit─â╚Ťii de supraveghere din statul membru de primire permite acest lucru, poate autoriza membrii sau personalul autorit─â╚Ťii de supraveghere din statul membru de origine s─â ├«╚Öi exercite competen╚Ťele de investigare ├«n conformitate cu dreptul statului membru al acestei din urm─â autorit─â╚Ťi. Astfel de competen╚Ťe de investigare pot fi exercitate doar sub coordonarea ╚Öi ├«n prezen╚Ťa membrilor sau personalului autorit─â╚Ťii de supraveghere din statul membru de primire. Membrii sau personalul autorit─â╚Ťii de supraveghere din statul membru de origine sunt supu╚Öi dreptului intern sub inciden╚Ťa c─âruia intr─â autoritatea de supraveghere din statul membru de primire.

(4) ├Än cazul ├«n care, ├«n conformitate cu alineatul (1), personalul unei autorit─â╚Ťi de supraveghere din statul membru de origine ├«╚Öi desf─â╚Öoar─â activitatea ├«ntr-un alt stat membru, statul membru de primire ├«╚Öi asum─â responsabilitatea pentru ac╚Ťiunile personalului respectiv, inclusiv r─âspunderea pentru eventualele prejudicii cauzate de membrii personalului respectiv ├«n cursul opera╚Ťiunilor acestora, ├«n conformitate cu dreptul statului membru pe teritoriul c─âruia ├«╚Öi desf─â╚Öoar─â opera╚Ťiunile.

(5) Statul membru pe teritoriul c─âruia s-au produs prejudiciile repar─â aceste prejudicii ├«n condi╚Ťiile aplicabile prejudiciilor cauzate de propriul s─âu personal. Statul membru de origine al autorit─â╚Ťii de supraveghere al c─ârei personal a cauzat prejudicii unei persoane de pe teritoriul unui alt stat membru ramburseaz─â acestui alt stat membru totalitatea sumelor pe care le-a pl─âtit persoanelor ├«ndrept─â╚Ťite ├«n numele acestora.

(6) F─âr─â a aduce atingere exercit─ârii drepturilor sale fa╚Ť─â de ter╚Ťe p─âr╚Ťi ╚Öi cu excep╚Ťia alineatului (5), fiecare stat membru se ab╚Ťine, ├«n cazul prev─âzut la alineatul (1), de la a pretinde de la un alt stat membru rambursarea desp─âgubirilor pentru prejudiciile men╚Ťionate la alineatul (4).

(7) ├Än cazul ├«n care este planificat─â o opera╚Ťiune comun─â, iar o autoritate de supraveghere nu se conformeaz─â, ├«n termen de o lun─â, obliga╚Ťiei prev─âzute ├«n a doua tez─â a alineatului (2) din prezentul articol, celelalte autorit─â╚Ťi de supraveghere pot adopta o m─âsur─â provizorie pe teritoriul statului membru al respectivei autorit─â╚Ťi, ├«n conformitate cu articolul 55. ├Än acest caz, necesitatea urgent─â de a ac╚Ťiona ├«n temeiul articolului 66 alineatul (1) este considerat─â a fi ├«ndeplinit─â ╚Öi necesit─â un aviz de urgen╚Ť─â sau o decizie obligatorie urgent─â din partea comitetului, ├«n conformitate cu articolul 66 alineatul (2).

Sec╚Ťiunea 2

Asigurarea coeren╚Ťei

Articolul 63

Mecanismul pentru asigurarea coeren╚Ťei

Pentru a contribui la aplicarea coerent─â a prezentului regulament ├«n ├«ntreaga Uniune, autorit─â╚Ťile de supraveghere coopereaz─â ├«ntre ele ╚Öi, dup─â caz, cu Comisia prin mecanismul pentru asigurarea coeren╚Ťei, astfel cum se prevede ├«n prezenta sec╚Ťiune.

Articolul 64

Avizul comitetului

(1) Comitetul emite un aviz de fiecare dat─â c├ónd o autoritate de supraveghere competent─â inten╚Ťioneaz─â s─â adopte oricare dintre m─âsurile de mai jos. ├Än acest scop, autoritatea de supraveghere competent─â comunic─â proiectul de decizie comitetului, atunci c├ónd:

(a) vizeaz─â adoptarea unei liste de opera╚Ťiuni de prelucrare care fac obiectul cerin╚Ťei de efectuare a unei evalu─âri a impactului asupra protec╚Ťiei datelor, ├«n conformitate cu articolul 35 alineatul (4);

(b) în conformitate cu articolul 40 alineatul (7), se referă la conformitatea cu prezentul regulament a unui proiect de cod de conduită sau a unei modificări sau extinderi a unui cod de conduită;

(c) vizează aprobarea criteriilor pentru acreditarea unui organism în conformitate cu articolul 41 alineatul (3) sau a unui organism de certificare în conformitate cu articolul 43 alineatul (3);

(d) vizeaz─â determinarea clauzelor standard ├«n materie de protec╚Ťie a datelor men╚Ťionate la articolul 46 alineatul (2) litera (d) sau la articolul 28 alineatul (8);

(e) vizeaz─â autorizarea clauzelor contractuale men╚Ťionate la articolul 46 alineatul (3) litera (a); sau

(f) vizează aprobarea regulilor corporatiste obligatorii în sensul articolului 47.

(2) Orice autoritate de supraveghere, pre╚Öedintele comitetului sau Comisia poate solicita ca orice chestiune de aplicare general─â sau care produce efecte ├«n mai mult de un stat membru s─â fie examinat─â de comitet ├«n vederea ob╚Ťinerii unui aviz, ├«n special ├«n cazul ├«n care o autoritate de supraveghere competent─â nu respect─â obliga╚Ťiile privind asisten╚Ťa reciproc─â ├«n conformitate cu articolul 61 sau privind opera╚Ťiunile comune ├«n conformitate cu articolul 62.

(3) ├Än cazurile men╚Ťionate la alineatele (1) ╚Öi (2), comitetul emite un aviz cu privire la chestiunea care ├«i este prezentat─â, cu condi╚Ťia s─â nu fi emis deja un aviz cu privire la aceea╚Öi chestiune. Avizul respectiv este adoptat ├«n termen de opt s─âpt─âm├óni cu majoritatea simpl─â a membrilor comitetului. Aceast─â perioad─â poate fi prelungit─â cu ╚Öase s─âpt─âm├óni, ╚Ťin├óndu-se seama de complexitatea chestiunii. ├Än ceea ce prive╚Öte proiectul de decizie men╚Ťionat la alineatul (1) transmis membrilor comitetului ├«n conformitate cu alineatul (5), un membru care nu a emis obiec╚Ťii ├«ntr-un termen rezonabil indicat de pre╚Öedinte se consider─â a fi de acord cu proiectul de decizie.

(4) Autorit─â╚Ťile de supraveghere ╚Öi Comisia comunic─â pe cale electronic─â comitetului, f─âr─â ├«nt├órzieri nejustificate, printr-un formular standard, orice informa╚Ťie relevant─â, inclusiv, dup─â caz, o sintez─â a faptelor, proiectul de decizie, motivele care fac necesar─â adoptarea unei astfel de m─âsuri, precum ╚Öi opiniile altor autorit─â╚Ťi de supraveghere vizate.

(5) Președintele comitetului informează pe cale electronică, fără întârzieri nejustificate:

(a) membrii comitetului ╚Öi Comisia cu privire la orice informa╚Ťie relevant─â care i-a fost comunicat─â, utiliz├ónd un formular standard. Secretariatul comitetului furnizeaz─â traduceri ale informa╚Ťiilor relevante, acolo unde este necesar; ╚Öi

(b) autoritatea de supraveghere men╚Ťionat─â, dup─â caz, la alineatele (1) ╚Öi (2), ╚Öi Comisia cu privire la aviz ╚Öi ├«l public─â.

(6) Autoritatea de supraveghere competent─â nu ├«╚Öi adopt─â proiectul de decizie men╚Ťionat la alineatul (1) ├«n termenul men╚Ťionat la alineatul (3).

(7) Autoritatea de supraveghere men╚Ťionat─â la alineatul (1) ╚Ťine seama pe deplin de avizul comitetului ╚Öi comunic─â pe cale electronic─â pre╚Öedintelui comitetului, ├«n termen de dou─â s─âpt─âm├óni de la primirea avizului, dac─â ├«╚Öi va p─âstra sau ├«╚Öi va modifica proiectul de decizie ╚Öi, dac─â este cazul, transmite proiectul de decizie modificat, utiliz├ónd un formular standard.

(8) ├Än cazul ├«n care autoritatea de supraveghere vizat─â informeaz─â pre╚Öedintele comitetului, ├«n termenul men╚Ťionat la alineatul (7) din prezentul articol, c─â inten╚Ťioneaz─â s─â nu se conformeze avizului comitetului, integral sau par╚Ťial, oferind motivele relevante, se aplic─â articolul 65 alineatul (1).

Articolul 65

Solu╚Ťionarea litigiilor de c─âtre comitet

(1) Pentru a asigura aplicarea corectă și coerentă a prezentului regulament în cazuri individuale, comitetul adoptă o decizie obligatorie în următoarele cazuri:

(a) atunci c├ónd, ├«n unul dintre cazurile men╚Ťionate la articolul 60 alineatul (4), o autoritate de supraveghere vizat─â a formulat o obiec╚Ťie relevant─â ╚Öi motivat─â la un proiect de decizie a autorit─â╚Ťii principale sau autoritatea principal─â a respins o astfel de obiec╚Ťie ca nefiind relevant─â sau motivat─â. Decizia obligatorie se refer─â la toate chestiunile vizate de obiec╚Ťia relevant─â ╚Öi motivat─â, ├«n special la chestiunea dac─â prezentul regulament a fost ├«nc─âlcat;

(b) ├«n cazul ├«n care exist─â opinii divergente cu privire la care dintre autorit─â╚Ťile de supraveghere vizate de╚Ťine competen╚Ťa pentru sediul principal;

(c) ├«n cazul ├«n care o autoritate de supraveghere competent─â nu solicit─â avizul comitetului ├«n cazurile men╚Ťionate la articolul 64 alineatul (1) sau nu ╚Ťine seama de avizul comitetului emis ├«n temeiul articolului 64. ├Än acest caz, orice autoritate de supraveghere vizat─â sau Comisia poate comunica chestiunea comitetului.

(2) Decizia men╚Ťionat─â la alineatul (1) se adopt─â ├«n termen de o lun─â de la prezentarea chestiunii, cu o majoritate de dou─â treimi a membrilor comitetului. Acest termen poate fi prelungit cu o lun─â, ╚Ťin├óndu-se seama de complexitatea chestiunii. Decizia men╚Ťionat─â la alineatul (1) se motiveaz─â ╚Öi se adreseaz─â autorit─â╚Ťii de supraveghere principale ╚Öi tuturor autorit─â╚Ťilor de supraveghere vizate, fiind obligatorie pentru acestea.

(3) ├Än cazul ├«n care comitetul nu a fost ├«n m─âsur─â s─â adopte o decizie ├«n termenele men╚Ťionate la alineatul (2), acesta ├«╚Öi adopt─â decizia ├«n termen de dou─â s─âpt─âm├óni de la data expir─ârii celei de a doua luni men╚Ťionate la alineatul (2), cu o majoritate simpl─â a membrilor s─âi. ├Än cazul ├«n care membrii comitetului au opinii divergente ├«n propor╚Ťii egale, decizia se adopt─â prin votul pre╚Öedintelui.

(4) Autorit─â╚Ťile de supraveghere vizate nu adopt─â o decizie asupra chestiunii prezentate comitetului ├«n conformitate cu alineatul (1) ├«n termenele men╚Ťionate la alineatele (2) ╚Öi (3).

(5) Pre╚Öedintele comitetului notific─â, f─âr─â ├«nt├órzieri nejustificate, decizia men╚Ťionat─â la alineatul (1) autorit─â╚Ťilor de supraveghere vizate. Comitetul informeaz─â Comisia cu privire la acest lucru. Decizia se public─â pe site-ul comitetului, f─âr─â ├«nt├órziere, dup─â notificarea de c─âtre autoritatea de supraveghere a deciziei finale men╚Ťionate la alineatul (6).

(6) Autoritatea de supraveghere principal─â sau, dac─â este cazul, autoritatea de supraveghere la care s-a depus pl├óngerea ├«╚Öi adopt─â decizia final─â pe baza deciziei men╚Ťionate la alineatul (1) din prezentul articol, f─âr─â ├«nt├órziere nejustificat─â ╚Öi ├«n termen de cel mult o lun─â de la notificarea de c─âtre comitet a deciziei sale. Autoritatea de supraveghere principal─â sau, dac─â este cazul, autoritatea de supraveghere la care s-a depus pl├óngerea informeaz─â comitetul cu privire la data la care decizia sa final─â este notificat─â operatorului sau persoanei ├«mputernicite de operator ╚Öi, respectiv, persoanei vizate. Decizia final─â a autorit─â╚Ťilor de supraveghere vizate se adopt─â ├«n conformitate cu condi╚Ťiile prev─âzute la articolul 60 alineatele (7), (8) ╚Öi (9). Decizia final─â se refer─â la decizia men╚Ťionat─â la alineatul (1) din prezentul articol ╚Öi precizeaz─â faptul c─â decizia men╚Ťionat─â la respectivul alineat va fi publicat─â pe site-ul al comitetului, ├«n conformitate cu alineatul (5). La decizia final─â se anexeaz─â decizia men╚Ťionat─â la alineatul (1) din prezentul articol.

Articolul 66

Procedura de urgen╚Ť─â

(1) ├Än circumstan╚Ťe excep╚Ťionale, atunci c├ónd o autoritate de supraveghere vizat─â consider─â c─â exist─â o necesitate urgent─â de a ac╚Ťiona ├«n scopul protej─ârii drepturilor ╚Öi libert─â╚Ťilor persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolele 63, 64 ╚Öi 65 sau de la procedura men╚Ťionat─â la articolul 60, s─â adopte de ├«ndat─â m─âsuri provizorii menite s─â produc─â efecte juridice pe propriul s─âu teritoriu, cu o perioad─â de valabilitate determinat─â, care s─â nu dep─â╚Öeasc─â trei luni. Autoritatea de supraveghere comunic─â f─âr─â ├«nt├órziere aceste m─âsuri ╚Öi motivele adopt─ârii lor celorlalte autorit─â╚Ťi de supraveghere vizate, comitetului ╚Öi Comisiei.

(2) ├Än cazul ├«n care o autoritate de supraveghere a adoptat o m─âsur─â ├«n temeiul alineatului (1) ╚Öi consider─â c─â este necesar─â adoptarea de urgen╚Ť─â a unor m─âsuri definitive, aceasta poate solicita un aviz de urgen╚Ť─â sau o decizie obligatorie urgent─â din partea comitetului, indic├ónd motivele pentru aceast─â solicitare.

(3) Orice autoritate de supraveghere poate solicita un aviz de urgen╚Ť─â sau o decizie obligatorie urgent─â, dup─â caz, din partea comitetului ├«n cazul ├«n care o autoritate de supraveghere competent─â nu a luat o m─âsur─â adecvat─â ├«ntr-o situa╚Ťie ├«n care exist─â o necesitate urgent─â de a ac╚Ťiona pentru a proteja drepturile ╚Öi libert─â╚Ťile persoanelor vizate, indic├ónd motivele pentru solicitarea unui astfel de aviz sau a unei astfel de decizii, inclusiv pentru necesitatea urgent─â de a ac╚Ťiona.

(4) Prin derogare de la articolul 64 alineatul (3) ╚Öi de la articolul 65 alineatul (2), un aviz de urgen╚Ť─â sau o decizie obligatorie urgent─â men╚Ťionat(─â) la alineatele (2) ╚Öi (3) de la prezentul articol este adoptat(─â) ├«n termen de dou─â s─âpt─âm├óni cu majoritate simpl─â a membrilor comitetului.

Articolul 67

Schimb de informa╚Ťii

Comisia poate adopta acte de punere ├«n aplicare cu un domeniu de aplicare general pentru a defini modalit─â╚Ťile de realizare a schimbului electronic de informa╚Ťii ├«ntre autorit─â╚Ťile de supraveghere, precum ╚Öi ├«ntre autorit─â╚Ťile de supraveghere ╚Öi comitet, ├«n special formularul standard men╚Ťionat la articolul 64.

Actele de punere ├«n aplicare respective sunt adoptate ├«n conformitate cu procedura de examinare men╚Ťionat─â la articolul 93 alineatul (2).

Sec╚Ťiunea 3

Comitetul european pentru protec╚Ťia datelor

Articolul 68

Comitetul european pentru protec╚Ťia datelor

(1) Comitetul european pentru protec╚Ťia datelor (ÔÇ×comitetulÔÇŁ) este instituit ca organ al Uniunii ╚Öi are personalitate juridic─â.

(2) Comitetul este reprezentat de președintele său.

(3) Comitetul este alc─âtuit din ╚Öeful unei autorit─â╚Ťi de supraveghere din fiecare stat membru ╚Öi din Autoritatea European─â pentru Protec╚Ťia Datelor sau reprezentan╚Ťii respectivi ai acestora.

(4) ├Än cazul ├«n care ├«ntr-un stat membru mai multe autorit─â╚Ťi de supraveghere sunt responsabile de monitorizarea aplic─ârii dispozi╚Ťiilor adoptate ├«n temeiul prezentului regulament, se nume╚Öte un reprezentant comun ├«n conformitate cu dreptul intern al statului membru respectiv.

(5) Comisia are dreptul de a participa la activit─â╚Ťile ╚Öi reuniunile comitetului f─âr─â a avea drept de vot. Comisia nume╚Öte un reprezentant. Pre╚Öedintele comitetului comunic─â Comisiei activit─â╚Ťile comitetului.

(6) ├Än cazurile men╚Ťionate la articolul 65, Autoritatea European─â pentru Protec╚Ťia Datelor de╚Ťine drept de vot numai cu privire la deciziile care privesc principiile ╚Öi normele aplicabile ├«n ceea ce prive╚Öte institu╚Ťiile, organismele, oficiile ╚Öi agen╚Ťiile Uniunii care corespund pe fond cu cele din prezentul regulament.

Articolul 69

Independen╚Ť─â

(1) Comitetul ac╚Ťioneaz─â independent ├«n ├«ndeplinirea sarcinilor sale sau ├«n exercitarea competen╚Ťelor sale ├«n conformitate cu articolele 70 ╚Öi 71.

(2) F─âr─â a aduce atingere solicit─ârilor din partea Comisiei men╚Ťionate la articolul 70 alineatul (1) litera (b) ╚Öi la articolul 70 alineatul (2), comitetul, ├«n ├«ndeplinirea sarcinilor sale sau ├«n exercitarea competen╚Ťelor sale, nu solicit─â ╚Öi nu accept─â instruc╚Ťiuni de la nicio parte extern─â.

Articolul 70

Sarcinile comitetului

(1) Comitetul asigur─â aplicarea coerent─â a prezentului regulament. ├Än acest scop, din proprie ini╚Ťiativ─â sau, dup─â caz, la solicitarea Comisiei, comitetul are, ├«n special, urm─âtoarele sarcini:

(a) s─â monitorizeze ╚Öi s─â asigure aplicarea corect─â a prezentului regulament, ├«n cazurile prev─âzute la articolele 64 ╚Öi 65, f─âr─â a aduce atingere sarcinilor autorit─â╚Ťilor na╚Ťionale de supraveghere;

(b) s─â ofere consiliere Comisiei cu privire la orice aspect legat de protec╚Ťia datelor cu caracter personal ├«n cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentului regulament;

(c) s─â ofere consiliere Comisiei cu privire la formatul ╚Öi procedurile pentru schimbul de informa╚Ťii ├«ntre operatori, persoanele ├«mputernicite de operatori ╚Öi autorit─â╚Ťile de supraveghere pentru regulile corporatiste obligatorii;

(d) s─â emit─â orient─âri, recomand─âri ╚Öi bune practici privind procedurile de ╚Ötergere a linkurilor c─âtre datele cu caracter personal, a copiilor sau a reproducerilor acestora de care dispun serviciile de comunica╚Ťii accesibile publicului, astfel cum se men╚Ťioneaz─â la articolul 17 alineatul (2);

(e) s─â examineze, din proprie ini╚Ťiativ─â, la cererea unuia dintre membrii s─âi sau la cererea Comisiei, orice chestiune referitoare la aplicarea prezentului regulament ╚Öi s─â emit─â orient─âri, recomand─âri ╚Öi bune practici pentru a ├«ncuraja aplicarea coerent─â a prezentului regulament;

(f) s─â emit─â orient─âri, recomand─âri ╚Öi bune practici ├«n conformitate cu prezentul alineat litera (e) ├«n vederea detalierii criteriilor ╚Öi condi╚Ťiilor pentru deciziile bazate pe crearea de profiluri men╚Ťionate la articolul 22 alineatul (2);

(g) s─â emit─â orient─âri, recomand─âri ╚Öi bune practici ├«n conformitate cu litera (e) din prezentul alineat pentru stabilirea ├«nc─âlc─ârii securit─â╚Ťii datelor cu caracter personal ╚Öi stabilirii ├«nt├órzierilor nejustificate men╚Ťionate la articolul 33 alineatele (1) ╚Öi (2), precum ╚Öi pentru circumstan╚Ťele speciale ├«n care un operator sau o persoan─â ├«mputernicit─â de c─âtre operator are obliga╚Ťia de a notifica ├«nc─âlcarea securit─â╚Ťii datelor cu caracter personal;

(h) s─â emit─â orient─âri, recomand─âri ╚Öi bune practici ├«n conformitate cu litera (e) din prezentul alineat ├«n ceea ce prive╚Öte circumstan╚Ťele ├«n care o ├«nc─âlcare a securit─â╚Ťii datelor cu caracter personal este susceptibil─â s─â genereze un risc ridicat pentru drepturile ╚Öi libert─â╚Ťile persoanelor fizice, men╚Ťionate la articolul 34 alineatul (1);

(i) s─â emit─â orient─âri, recomand─âri ╚Öi bune practici ├«n conformitate cu litera (e) din prezentul alineat ├«n scopul detalierii criteriilor ╚Öi cerin╚Ťelor aplicabile transferurilor de date cu caracter personal bazate pe regulile corporatiste obligatorii care trebuie respectate de operatori ╚Öi cele care trebuie respectate de persoanele ├«mputernicite de operatori, precum ╚Öi cu privire la cerin╚Ťe suplimentare necesare pentru a asigura protec╚Ťia datelor cu caracter personal ale persoanelor vizate men╚Ťionate la articolul 47;

(j) s─â emit─â orient─âri, recomand─âri ╚Öi bune practici ├«n conformitate cu litera (e) din prezentul alineat ├«n vederea detalierii criteriilor ╚Öi cerin╚Ťelor pentru transferurile de date cu caracter personal men╚Ťionate la articolul 49 alineatul (1);

(k) s─â elaboreze orient─âri destinate autorit─â╚Ťilor de supraveghere, referitoare la aplicarea m─âsurilor men╚Ťionate la articolul 58 alineatele (1), (2) ╚Öi (3) ╚Öi s─â stabileasc─â amenzile administrative ├«n conformitate cu articolul 83;

(l) s─â revizuiasc─â aplicarea practic─â a orient─ârilor, recomand─ârilor ╚Öi bunelor practici men╚Ťionate la literele (e) ╚Öi (f);

(m) să emită orientări, recomandări și bune practici în conformitate cu litera (e) din prezentul alineat în vederea stabilirii procedurilor comune de raportare de către persoanele fizice a încălcărilor prezentului regulament în conformitate cu articolul 54 alineatul (2);

(n) s─â ├«ncurajeze elaborarea de coduri de conduit─â ╚Öi stabilirea unor mecanisme de certificare, precum ╚Öi a unor sigilii ╚Öi m─ârci ├«n domeniul protec╚Ťiei datelor, ├«n conformitate cu articolele 40 ╚Öi 42;

(o) s─â efectueze acreditarea organismelor de certificare ╚Öi revizuirea periodic─â a acredit─ârii ├«n conformitate cu articolul 43 ╚Öi s─â ╚Ťin─â un registru public al organismelor acreditate, ├«n conformitate cu articolul 43 alineatul (6), ╚Öi al operatorilor acredita╚Ťi sau al persoanelor ├«mputernicite de operator acreditate, stabili╚Ťi (stabilite) ├«n ╚Ť─âri ter╚Ťe, ├«n conformitate cu articolul 42 alineatul (7);

(p) s─â precizeze cerin╚Ťele men╚Ťionate la articolul 43 alineatul (3), ├«n vederea acredit─ârii organismelor de certificare prev─âzute la articolul 42;

(q) s─â prezinte Comisiei un aviz privind cerin╚Ťele de certificare men╚Ťionate la articolul 43 alineatul (8);

(r) s─â prezinte Comisiei un aviz privind pictogramele men╚Ťionate la articolul 12 alineatul (7);

(s) s─â prezinte Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protec╚Ťie ├«ntr-o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â, inclusiv pentru a determina dac─â o ╚Ťar─â ter╚Ť─â, un teritoriu, sau unul sau mai multe sectoare specificate din acea ╚Ťar─â ter╚Ť─â, sau o organiza╚Ťie interna╚Ťional─â nu mai asigur─â un nivel de protec╚Ťie adecvat. ├Än acest scop, Comisia pune la dispozi╚Ťia comitetului toat─â documenta╚Ťia necesar─â, inclusiv coresponden╚Ťa purtat─â cu autorit─â╚Ťile publice ale ╚Ť─ârii ter╚Ťe, ├«n ceea ce prive╚Öte acea ╚Ťar─â ter╚Ť─â, acel teritoriu sau acel sector, sau cu organiza╚Ťia interna╚Ťional─â;

(t) s─â emit─â avize privind proiectele de decizii ale autorit─â╚Ťilor de supraveghere ├«n conformitate cu mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolul 64 alineatul (1) privind chestiunile prezentate ├«n conformitate cu articolul 64 alineatul (2) ╚Öi s─â emit─â decizii obligatorii ├«n temeiul articolului 65, inclusiv ├«n cazurile men╚Ťionate la articolul 66;

(u) s─â promoveze cooperarea ╚Öi schimbul eficient bilateral ╚Öi multilateral de informa╚Ťii ╚Öi bune practici ├«ntre autorit─â╚Ťile de supraveghere;

(v) s─â promoveze programe comune de formare ╚Öi s─â faciliteze schimburile de personal ├«ntre autorit─â╚Ťile de supraveghere, precum ╚Öi, dup─â caz, cu autorit─â╚Ťile de supraveghere ale ╚Ť─ârilor ter╚Ťe sau organiza╚Ťiilor interna╚Ťionale;

(w) s─â promoveze schimbul de cuno╚Ötin╚Ťe ╚Öi de documente privind legisla╚Ťia ╚Öi practicile ├«n materie de protec╚Ťie a datelor cu autorit─â╚Ťile de supraveghere a protec╚Ťiei datelor la nivel mondial;

(x) să emită avize privind codurile de conduită elaborate la nivelul Uniunii în temeiul articolului 40 alineatul (9); și

(y) s─â ╚Ťin─â un registru electronic accesibil publicului cu deciziile luate de autorit─â╚Ťile de supraveghere ╚Öi de instan╚Ťe cu privire la chestiuni tratate ├«n cadrul mecanismului pentru asigurarea coeren╚Ťei.

(2) ├Än cazul ├«n care Comisia consult─â comitetul, aceasta poate indica un termen limit─â, ╚Ťin├ónd seama de caracterul urgent al chestiunii.

(3) Comitetul ├«╚Öi transmite avizele, orient─ârile, recomand─ârile ╚Öi bunele practici Comisiei ╚Öi comitetului men╚Ťionat la articolul 93 ╚Öi le face publice.

(4) Dac─â este cazul, comitetul consult─â p─âr╚Ťile interesate ╚Öi le ofer─â posibilitatea de a face observa╚Ťii ├«ntr-un termen rezonabil. F─âr─â a aduce atingere dispozi╚Ťiilor articolului 76, comitetul public─â rezultatele procedurii de consultare.

Articolul 71

Rapoarte

(1) Comitetul ├«ntocme╚Öte un raport anual privind protec╚Ťia persoanelor fizice cu privire la prelucrare ├«n Uniune ╚Öi, dac─â este relevant, ├«n ╚Ť─âri ter╚Ťe ╚Öi organiza╚Ťii interna╚Ťionale. Raportul este pus la dispozi╚Ťia publicului ╚Öi transmis Parlamentului European, Consiliului ╚Öi Comisiei.

(2) Raportul anual include o revizuire a aplic─ârii practice a orient─ârilor, recomand─ârilor ╚Öi bunelor practici men╚Ťionate la articolul 70 alineatul (1) litera (l), precum ╚Öi a deciziilor obligatorii men╚Ťionate la articolul 65.

Articolul 72

Procedura

(1) Comitetul adopt─â decizii prin majoritate simpl─â a membrilor s─âi, cu excep╚Ťia cazului c├ónd se prevede altfel ├«n prezentul regulament.

(2) Comitetul ├«╚Öi adopt─â propriul regulament de procedur─â cu o majoritate de dou─â treimi a membrilor s─âi ╚Öi ├«╚Öi organizeaz─â propriile mecanisme de func╚Ťionare.

Articolul 73

Președintele

(1) Comitetul alege un pre╚Öedinte ╚Öi doi vicepre╚Öedin╚Ťi din r├óndul membrilor s─âi, cu majoritate simpl─â.

(2) Mandatul pre╚Öedintelui ╚Öi al vicepre╚Öedin╚Ťilor este de cinci ani ╚Öi poate fi re├«nnoit o singur─â dat─â.

Articolul 74

Sarcinile președintelui

(1) Președintele are următoarele sarcini:

(a) să convoace reuniunile comitetului și să stabilească ordinea de zi;

(b) s─â notifice deciziile adoptate de comitet, ├«n conformitate cu articolul 65, autorit─â╚Ťii de supraveghere principale ╚Öi autorit─â╚Ťilor de supraveghere vizate;

(c) s─â asigure ├«ndeplinirea la timp a sarcinilor comitetului, ├«n special ├«n ceea ce prive╚Öte mecanismul pentru asigurarea coeren╚Ťei men╚Ťionat la articolul 63.

(2) Comitetul stabile╚Öte ├«n regulamentul s─âu de procedur─â repartizarea sarcinilor ├«ntre pre╚Öedinte ╚Öi vicepre╚Öedin╚Ťi.

Articolul 75

Secretariatul

(1) Comitetul dispune de un secretariat, care este asigurat de Autoritatea European─â pentru Protec╚Ťia Datelor.

(2) Secretariatul ├«╚Öi ├«ndepline╚Öte sarcinile exclusiv pe baza instruc╚Ťiunilor pre╚Öedintelui comitetului.

(3) Personalul Autorit─â╚Ťii Europene pentru Protec╚Ťia Datelor implicat ├«n ├«ndeplinirea sarcinilor conferite comitetului ├«n temeiul prezentului regulament face obiectul unor linii de raportare separate ├«n raport cu personalul implicat ├«n ├«ndeplinirea sarcinilor conferite Autorit─â╚Ťii Europene pentru Protec╚Ťia Datelor.

(4) Dac─â este oportun, comitetul ╚Öi Autoritatea European─â pentru Protec╚Ťia Datelor elaboreaz─â ╚Öi public─â un memorandum de ├«n╚Ťelegere pentru punerea ├«n aplicare a prezentului articol, care s─â stabileasc─â condi╚Ťiile cooper─ârii ╚Öi s─â se aplice personalului Autorit─â╚Ťii Europene pentru Protec╚Ťia Datelor implicat ├«n ├«ndeplinirea sarcinilor conferite comitetului ├«n temeiul prezentului regulament.

(5) Secretariatul oferă sprijin analitic, administrativ și logistic comitetului.

(6) Secretariatul este responsabil în special de următoarele:

(a) gestionarea curent─â a activit─â╚Ťii comitetului;

(b) comunicarea dintre membrii comitetului, președintele acestuia și Comisie;

(c) comunicarea cu alte institu╚Ťii ╚Öi cu publicul;

(d) utilizarea mijloacelor electronice pentru comunicarea internă și externă;

(e) traducerea informa╚Ťiilor relevante;

(f) preg─âtirea ╚Öi monitorizarea ac╚Ťiunilor ulterioare reuniunilor comitetului;

(g) preg─âtirea, redactarea ╚Öi publicarea avizelor, deciziilor privind solu╚Ťionarea litigiilor dintre autorit─â╚Ťile de supraveghere ╚Öi a altor texte adoptate de comitet.

Articolul 76

Confiden╚Ťialitate

(1) Discu╚Ťiile din cadrul comitetului sunt confiden╚Ťiale ├«n cazul ├«n care comitetul consider─â c─â acest lucru este necesar ├«n conformitate cu regulamentul s─âu de procedur─â.

(2) Accesul la documentele prezentate membrilor comitetului, exper╚Ťilor ╚Öi reprezentan╚Ťilor p─âr╚Ťilor ter╚Ťe este reglementat prin Regulamentul (CE) nr. 1049/2001 al Parlamentului European ╚Öi al Consiliului (21).

CAPITOLUL VIII

C─âi de atac, r─âspundere ╚Öi sanc╚Ťiuni

Articolul 77

Dreptul de a depune o plângere la o autoritate de supraveghere

(1) F─âr─â a aduce atingere oric─âror alte c─âi de atac administrative sau judiciare, orice persoan─â vizat─â are dreptul de a depune o pl├óngere la o autoritate de supraveghere, ├«n special ├«n statul membru ├«n care ├«╚Öi are re╚Öedin╚Ťa obi╚Önuit─â, ├«n care se afl─â locul s─âu de munc─â sau ├«n care a avut loc presupusa ├«nc─âlcare, ├«n cazul ├«n care consider─â c─â prelucrarea datelor cu caracter personal care o vizeaz─â ├«ncalc─â prezentul regulament.

(2) Autoritatea de supraveghere la care s-a depus pl├óngerea informeaz─â reclamantul cu privire la evolu╚Ťia ╚Öi rezultatul pl├óngerii, inclusiv posibilitatea de a exercita o cale de atac judiciar─â ├«n temeiul articolului 78.

Articolul 78

Dreptul la o cale de atac judiciar─â eficient─â ├«mpotriva unei autorit─â╚Ťi de supraveghere

(1) F─âr─â a aduce atingere oric─âror alte c─âi de atac administrative sau nejudiciare, fiecare persoan─â fizic─â sau juridic─â are dreptul de a exercita o cale de atac judiciar─â eficient─â ├«mpotriva unei decizii obligatorii din punct de vedere juridic a unei autorit─â╚Ťi de supraveghere care o vizeaz─â.

(2) F─âr─â a aduce atingere oric─âror alte c─âi de atac administrative sau nejudiciare, fiecare persoan─â vizat─â are dreptul de a exercita o cale de atac judiciar─â eficient─â ├«n cazul ├«n care autoritatea de supraveghere care este competent─â ├«n temeiul articolelor 55 ╚Öi 56 nu trateaz─â o pl├óngere sau nu informeaz─â persoana vizat─â ├«n termen de trei luni cu privire la progresele sau la solu╚Ťionarea pl├óngerii depuse ├«n temeiul articolului 77.

(3) Ac╚Ťiunile introduse ├«mpotriva unei autorit─â╚Ťi de supraveghere sunt aduse ├«n fa╚Ťa instan╚Ťelor din statul membru ├«n care este stabilit─â autoritatea de supraveghere.

(4) ├Än cazul ├«n care ac╚Ťiunile sunt introduse ├«mpotriva unei decizii a unei autorit─â╚Ťi de supraveghere care a fost precedat─â de un aviz sau o decizie a comitetului ├«n cadrul mecanismului pentru asigurarea coeren╚Ťei, autoritatea de supraveghere transmite cur╚Ťii avizul respectiv sau decizia respectiv─â.

Articolul 79

Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator

(1) Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.

(2) Ac╚Ťiunile introduse ├«mpotriva unui operator sau unei persoane ├«mputernicite de operator sunt prezentate ├«n fa╚Ťa instan╚Ťelor din statul membru unde operatorul sau persoana ├«mputernicit─â de operator ├«╚Öi are un sediu. Alternativ, o astfel de ac╚Ťiune poate fi prezentat─â ├«n fa╚Ťa instan╚Ťelor din statul membru ├«n care persoana vizat─â ├«╚Öi are re╚Öedin╚Ťa obi╚Önuit─â, cu excep╚Ťia cazului ├«n care operatorul sau persoana ├«mputernicit─â de operator este o autoritate public─â a unui stat membru ce ac╚Ťioneaz─â ├«n exercitarea competen╚Ťelor sale publice.

Articolul 80

Reprezentarea persoanelor vizate

(1) Persoana vizat─â are dreptul de a mandata un organism, o organiza╚Ťie sau o asocia╚Ťie f─âr─â scop lucrativ, care au fost constituite ├«n mod corespunz─âtor ├«n conformitate cu dreptul intern, ale c─âror obiective statutare sunt de interes public, care sunt active ├«n domeniul protec╚Ťiei drepturilor ╚Öi libert─â╚Ťilor persoanelor vizate ├«n ceea ce prive╚Öte protec╚Ťia datelor lor cu caracter personal, s─â depun─â pl├óngerea ├«n numele s─âu, s─â exercite ├«n numele s─âu drepturile men╚Ťionate la articolele 77, 78 ╚Öi 79, precum ╚Öi s─â exercite dreptul de a primi desp─âgubiri men╚Ťionat la articolul 82 ├«n numele persoanei vizate, dac─â acest lucru este prev─âzut ├«n dreptul intern.

(2) Statele membre pot prevedea c─â orice organism, organiza╚Ťie sau asocia╚Ťie men╚Ťionat─â la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune ├«n statul membru respectiv o pl├óngere la autoritatea de supraveghere care este competent─â ├«n temeiul articolului 77 ╚Öi de a exercita drepturile men╚Ťionate la articolele 78 ╚Öi 79, ├«n cazul ├«n care consider─â c─â drepturile unei persoane vizate ├«n temeiul prezentului regulament au fost ├«nc─âlcate ca urmare a prelucr─ârii.

Articolul 81

Suspendarea procedurilor

(1) ├Än cazul ├«n care o instan╚Ť─â competent─â a unui stat membru are informa╚Ťii c─â pe rolul unei instan╚Ťe dintr-un alt stat membru se afl─â o ac╚Ťiune av├ónd acela╚Öi obiect ├«n ceea ce prive╚Öte activit─â╚Ťile de prelucrare ale aceluia╚Öi operator sau ale acelea╚Öi persoane ├«mputernicite de operator, instan╚Ťa respectiv─â contacteaz─â instan╚Ťa din cel─âlalt stat membru pentru a confirma existen╚Ťa unor astfel de ac╚Ťiuni.

(2) Atunci c├ónd pe rolul unei instan╚Ťe dintr-un alt stat membru se afl─â o ac╚Ťiune av├ónd acela╚Öi obiect ├«n ceea ce prive╚Öte activit─â╚Ťile de prelucrare ale aceluia╚Öi operator sau ale acelea╚Öi persoane ├«mputernicite de operator, orice alt─â instan╚Ť─â competent─â dec├ót instan╚Ťa sesizat─â ini╚Ťial poate suspenda ac╚Ťiunea aflat─â la ea pe rol.

(3) ├Än cazul ├«n care o astfel de ac╚Ťiune se judec─â ├«n prim─â instan╚Ť─â, orice instan╚Ť─â sesizat─â ulterior poate, de asemenea, la cererea uneia dintre p─âr╚Ťi, s─â-╚Öi decline competen╚Ťa, cu condi╚Ťia ca respectiva ac╚Ťiune s─â fie de competen╚Ťa primei instan╚Ťe sesizate ╚Öi ca dreptul aplicabil acesteia s─â permit─â conexarea ac╚Ťiunilor.

Articolul 82

Dreptul la despăgubiri și răspunderea

(1) Orice persoan─â care a suferit un prejudiciu materialesau moral ca urmare a unei ├«nc─âlc─âri a prezentului regulament are dreptul s─â ob╚Ťin─â desp─âgubiri de la operator sau de la persoana ├«mputernicit─â de operator pentru prejudiciul suferit.

(2) Orice operator implicat ├«n opera╚Ťiunile de prelucrare este r─âspunz─âtor pentru prejudiciul cauzat de opera╚Ťiunile sale de prelucrare care ├«ncalc─â prezentul regulament. Persoana ├«mputernicit─â de operator este r─âspunz─âtoare pentru prejudiciul cauzat de prelucrare numai ├«n cazul ├«n care nu a respectat obliga╚Ťiile din prezentul regulament care revin ├«n mod specific persoanelor ├«mputernicite de operator sau a ac╚Ťionat ├«n afara sau ├«n contradic╚Ťie cu instruc╚Ťiunile legale ale operatorului.

(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.

(4) ├Än cazul ├«n care mai mul╚Ťi operatori sau mai multe persoane ├«mputernicite de operator, sau un operator ╚Öi o persoan─â ├«mputernicit─â de operator sunt implica╚Ťi (implicate) ├«n aceea╚Öi opera╚Ťiune de prelucrare ╚Öi r─âspund, ├«n temeiul alineatelor (2) ╚Öi (3), pentru orice prejudiciu cauzat de prelucrare, fiecare operator sau persoan─â ├«mputernicit─â de operator este r─âspunz─âtor (r─âspunz─âtoare) pentru ├«ntregul prejudiciu pentru a asigura desp─âgubirea efectiv─â a persoanei vizate.

(5) ├Än cazul ├«n care un operator sau o persoan─â ├«mputernicit─â de operator a pl─âtit, ├«n conformitate cu alineatul (4), ├«n totalitate desp─âgubirile pentru prejudiciul ocazionat, respectivul operator sau respectiva persoan─â ├«mputernicit─â de operator are dreptul s─â solicite de la ceilal╚Ťi operatori sau celelalte persoane ├«mputernicite de operator implicate ├«n aceea╚Öi opera╚Ťiune de prelucrare recuperarea acelei p─âr╚Ťi din desp─âgubiri care corespunde p─âr╚Ťii lor de r─âspundere pentru prejudiciu, ├«n conformitate cu condi╚Ťiile stabilite la alineatul (2).

(6) Ac╚Ťiunile ├«n exercitarea dreptului de recuperare a desp─âgubirilor pl─âtite se introduc la instan╚Ťele competente ├«n temeiul dreptului statului membru men╚Ťionat la articolul 79 alineatul (2).

Articolul 83

Condi╚Ťii generale pentru impunerea amenzilor administrative

(1) Fiecare autoritate de supraveghere asigur─â faptul c─â impunerea unor amenzi administrative ├«n conformitate cu prezentul articol pentru ├«nc─âlc─ârile prezentului regulament men╚Ťionate la alineatele (4), (5) ╚Öi, (6) este, ├«n fiecare caz, eficace, propor╚Ťional─â ╚Öi disuasiv─â.

(2) ├Än func╚Ťie de circumstan╚Ťele fiec─ârui caz ├«n parte, amenzile administrative sunt impuse ├«n completarea sau ├«n locul m─âsurilor men╚Ťionate la articolul 58 alineatul (2) literele (a)-(h) ╚Öi (j). Atunci c├ónd se ia decizia dac─â s─â se impun─â o amend─â administrativ─â ╚Öi decizia cu privire la valoarea amenzii administrative ├«n fiecare caz ├«n parte, se acord─â aten╚Ťia cuvenit─â urm─âtoarelor aspecte:

(a) natura, gravitatea ╚Öi durata ├«nc─âlc─ârii, ╚Ťin├óndu-se seama de natura, domeniul de aplicare sau scopul prelucr─ârii ├«n cauz─â, precum ╚Öi de num─ârul persoanelor vizate afectate ╚Öi de nivelul prejudiciilor suferite de acestea;

(b) dac─â ├«nc─âlcarea a fost comis─â inten╚Ťionat sau din neglijen╚Ť─â;

(c) orice ac╚Ťiuni ├«ntreprinse de operator sau de persoana ├«mputernicit─â de operator pentru a reduce prejudiciul suferit de persoana vizat─â;

(d) gradul de responsabilitate al operatorului sau al persoanei ├«mputernicite de operator ╚Ťin├óndu-se seama de m─âsurile tehnice ╚Öi organizatorice implementate de ace╚Ötia ├«n temeiul articolelor 25 ╚Öi 32;

(e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării;

(g) categoriile de date cu caracter personal afectate de încălcare;

(h) modul ├«n care ├«nc─âlcarea a fost adus─â la cuno╚Ötin╚Ťa autorit─â╚Ťii de supraveghere, ├«n special dac─â ╚Öi ├«n ce m─âsur─â operatorul sau persoana ├«mputernicit─â de operator a notificat ├«nc─âlcarea;

(i) ├«n cazul ├«n care m─âsurile men╚Ťionate la articolul 58 alineatul (2) au fost dispuse anterior ├«mpotriva operatorului sau persoanei ├«mputernicite de operator ├«n cauz─â cu privire la acela╚Öi obiect, respectarea respectivelor m─âsuri;

(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul 40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42; și

(k) orice alt factor agravant sau atenuant aplicabil circumstan╚Ťelor cazului, cum ar fi beneficiile financiare dob├óndite sau pierderile evitate ├«n mod direct sau indirect de pe urma ├«nc─âlc─ârii.

(3) ├Än cazul ├«n care un operator sau o persoan─â ├«mputernicit─â de operator ├«ncalc─â ├«n mod inten╚Ťionat sau din neglijen╚Ť─â, pentru aceea╚Öi opera╚Ťiune de prelucrare sau pentru opera╚Ťiuni de prelucrare conexe, mai multe dispozi╚Ťii din prezentul regulament, cuantumul total al amenzii administrative nu poate dep─â╚Öi suma prev─âzut─â pentru cea mai grav─â ├«nc─âlcare.

(4) Pentru ├«nc─âlc─ârile dispozi╚Ťiilor urm─âtoare, ├«n conformitate cu alineatul (2), se aplic─â amenzi administrative de p├ón─â la 10 000 000 EUR sau, ├«n cazul unei ├«ntreprinderi, de p├ón─â la 2 % din cifra de afaceri mondial─â total─â anual─â corespunz─âtoare exerci╚Ťiului financiar anterior, lu├óndu-se ├«n calcul cea mai mare valoare:

(a) obliga╚Ťiile operatorului ╚Öi ale persoanei ├«mputernicite de operator ├«n conformitate cu articolele 8, 11, 25-39, 42 ╚Öi 43;

(b) obliga╚Ťiile organismului de certificare ├«n conformitate cu articolele 42 ╚Öi 43;

(c) obliga╚Ťiile organismului de monitorizare ├«n conformitate cu articolul 41 alineatul (4).

(5) Pentru ├«nc─âlc─ârile dispozi╚Ťiilor urm─âtoare, ├«n conformitate cu alineatul (2), se aplic─â amenzi administrative de p├ón─â la 20 000 000 EUR sau, ├«n cazul unei ├«ntreprinderi, de p├ón─â la 4 % din cifra de afaceri mondial─â total─â anual─â corespunz─âtoare exerci╚Ťiului financiar anterior, lu├óndu-se ├«n calcul cea mai mare valoare:

(a) principiile de baz─â pentru prelucrare, inclusiv condi╚Ťiile privind consim╚Ť─âm├óntul, ├«n conformitate cu articolele 5, 6, 7 ╚Öi 9;

(b) drepturile persoanelor vizate în conformitate cu articolele 12-22;

(c) transferurile de date cu caracter personal c─âtre un destinatar dintr-o ╚Ťar─â ter╚Ť─â sau o organiza╚Ťie interna╚Ťional─â, ├«n conformitate cu articolele 44-49;

(d) orice obliga╚Ťii ├«n temeiul legisla╚Ťiei na╚Ťionale adoptate ├«n temeiul capitolului IX;

(e) nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere în temeiul articolului 58 alineatul (2), sau neacordarea accesului, încălcând articolul 58 alineatul (1).

(6) Pentru ├«nc─âlcarea unui ordin emis de autoritatea de supraveghere ├«n conformitate cu articolul 58 alineatul (2) se aplic─â, ├«n conformitate cu alineatul (2) din prezentul articol, amenzi administrative de p├ón─â la 20 000 000 EUR sau, ├«n cazul unei ├«ntreprinderi, de p├ón─â la 4 % din cifra de afaceri mondial─â total─â anual─â corespunz─âtoare exerci╚Ťiului financiar anterior, lu├óndu-se ├«n calcul cea mai mare valoare.

(7) F─âr─â a aduce atingere competen╚Ťelor corective ale autorit─â╚Ťilor de supraveghere men╚Ťionate la articolul 58 alineatul (2), fiecare stat membru poate prevedea norme prin care s─â se stabileasc─â dac─â ╚Öi ├«n ce m─âsur─â pot fi impuse amenzi administrative autorit─â╚Ťilor publice ╚Öi organismelor publice stabilite ├«n statul membru respectiv.

(8) Exercitarea de c─âtre autoritatea de supraveghere a competen╚Ťelor sale ├«n temeiul prezentului articol are loc cu condi╚Ťia existen╚Ťei unor garan╚Ťii procedurale adecvate ├«n conformitate cu dreptul Uniunii ╚Öi cu dreptul intern, inclusiv c─âi de atac judiciare eficiente ╚Öi dreptul la un proces echitabil.

(9) ├Än cazul ├«n care sistemul juridic al statului membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel ├«nc├ót amenda s─â fie ini╚Ťiat─â de autoritatea de supraveghere competent─â ╚Öi impus─â de instan╚Ťele na╚Ťionale competente, garant├óndu-se, ├«n acela╚Öi timp, faptul c─â aceste c─âi de atac sunt eficiente ╚Öi au un efect echivalent cu cel al amenzilor administrative impuse de autorit─â╚Ťile de supraveghere. ├Än orice caz, amenzile impuse trebuie s─â fie eficace, propor╚Ťionale ╚Öi disuasive. Respectivele state membre informeaz─â Comisia cu privire la dispozi╚Ťiile de drept intern pe care le adopt─â ├«n temeiul prezentului alineat p├ón─â la 25 mai 2018, precum ╚Öi, f─âr─â ├«nt├órziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioar─â a acestora.

Articolul 84

Sanc╚Ťiuni

(1) Statele membre stabilesc normele privind alte sanc╚Ťiunile aplicabile ├«n caz de ├«nc─âlcare a prezentului regulament, ├«n special pentru ├«nc─âlc─âri care nu fac obiectul unor amenzi administrative ├«n temeiul articolului 83, ╚Öi iau toate m─âsurile necesare pentru a garanta faptul c─â acestea sunt puse ├«n aplicare. Sanc╚Ťiunile respective sunt eficace, propor╚Ťionale ╚Öi disuasive.

(2) Fiecare stat membru informeaz─â Comisia cu privire la dispozi╚Ťiile de drept intern pe care le adopt─â ├«n temeiul alineatului (1) p├ón─â la 25 mai 2018, precum ╚Öi, f─âr─â ├«nt├órziere, cu privire la orice modificare ulterioar─â a acestora.

CAPITOLUL IX

Dispozi╚Ťii referitoare la situa╚Ťii specifice de prelucrare

Articolul 85

Prelucrarea și libertatea de exprimare și de informare

(1) Prin intermediul dreptului intern, statele membre asigur─â un echilibru ├«ntre dreptul la protec╚Ťia datelor cu caracter personal ├«n temeiul prezentului regulament ╚Öi dreptul la libertatea de exprimare ╚Öi de informare, inclusiv prelucrarea ├«n scopuri jurnalistice sau ├«n scopul exprim─ârii academice, artistice sau literare.

(2) Pentru prelucrarea efectuat─â ├«n scopuri jurnalistice sau ├«n scopul exprim─ârii academice, artistice sau literare, statele membre prev─âd exoner─âri sau derog─âri de la dispozi╚Ťiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul ╚Öi persoana ├«mputernicit─â de operator), ale capitolului V (transferul datelor cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale), ale capitolului VI (autorit─â╚Ťi de supraveghere independente), ale capitolului VII (cooperare ╚Öi coeren╚Ť─â) ╚Öi ale capitolului IX (situa╚Ťii specifice de prelucrare a datelor) ├«n cazul ├«n care acestea sunt necesare pentru a asigura un echilibru ├«ntre dreptul la protec╚Ťia datelor cu caracter personal ╚Öi libertatea de exprimare ╚Öi de informare.

(3) Fiecare stat membru informeaz─â Comisia cu privire la dispozi╚Ťiile de drept intern pe care le-a adoptat ├«n temeiul alineatului (2) precum ╚Öi, f─âr─â ├«nt├órziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioar─â a acestora.

Articolul 86

Prelucrarea și accesul public la documente oficiale

Datele cu caracter personal din documentele oficiale de╚Ťinute de o autoritate public─â sau de un organism public sau privat pentru ├«ndeplinirea unei sarcini care serve╚Öte interesului public pot fi divulgate de autoritatea sau organismul respectiv ├«n conformitate cu dreptul Uniunii sau cu dreptul intern sub inciden╚Ťa c─âruia intr─â autoritatea sau organismul, pentru a stabili un echilibru ├«ntre accesul public la documente oficiale ╚Öi dreptul la protec╚Ťia datelor cu caracter personal ├«n temeiul prezentului regulament.

Articolul 87

Prelucrarea unui num─âr de identificare na╚Ťional

Statele membre pot detalia ├«n continuare condi╚Ťiile specifice de prelucrare a unui num─âr de identificare na╚Ťional sau a oric─ârui alt identificator cu aplicabilitate general─â. ├Än acest caz, num─ârul de identificare na╚Ťional sau orice alt identificator cu aplicabilitate general─â este folosit numai ├«n temeiul unor garan╚Ťii corespunz─âtoare pentru drepturile ╚Öi libert─â╚Ťile persoanei vizate ├«n temeiul prezentului regulament.

Articolul 88

Prelucrarea în contextul ocupării unui loc de muncă

(1) Prin lege sau prin acorduri colective, statele membre pot prevedea norme mai detaliate pentru a asigura protec╚Ťia drepturilor ╚Öi a libert─â╚Ťilor cu privire la prelucrarea datelor cu caracter personal ale angaja╚Ťilor ├«n contextul ocup─ârii unui loc de munc─â, ├«n special ├«n scopul recrut─ârii, al ├«ndeplinirii clauzelor contractului de munc─â, inclusiv desc─ârcarea de obliga╚Ťiile stabilite prin lege sau prin acorduri colective, al gestion─ârii, planific─ârii ╚Öi organiz─ârii muncii, al egalit─â╚Ťii ╚Öi diversit─â╚Ťii la locul de munc─â, al asigur─ârii s─ân─ât─â╚Ťii ╚Öi securit─â╚Ťii la locul de munc─â, al protej─ârii propriet─â╚Ťii angajatorului sau a clientului, precum ╚Öi ├«n scopul exercit─ârii ╚Öi beneficierii, ├«n mod individual sau colectiv, de drepturile ╚Öi beneficiile legate de ocuparea unui loc de munc─â, precum ╚Öi pentru ├«ncetarea raporturilor de munc─â.

(2) Aceste norme includ m─âsuri corespunz─âtoare ╚Öi specifice pentru garantarea demnit─â╚Ťii umane, a intereselor legitime ╚Öi a drepturilor fundamentale ale persoanelor vizate, ├«n special ├«n ceea ce prive╚Öte transparen╚Ťa prelucr─ârii, transferul de date cu caracter personal ├«n cadrul unui grup de ├«ntreprinderi sau al unui grup de ├«ntreprinderi implicate ├«ntr-o activitate economic─â comun─â ╚Öi sistemele de monitorizare la locul de munc─â.

(3) Fiecare stat membru informeaz─â Comisia cu privire la dispozi╚Ťiile de drept intern pe care le adopt─â ├«n temeiul alineatului (1) p├ón─â la 25 mai 2018, precum ╚Öi, f─âr─â ├«nt├órziere, cu privire la orice modificare ulterioar─â a acestora.

Articolul 89

Garan╚Ťii ╚Öi derog─âri privind prelucrarea ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice

(1) Prelucrarea ├«n scopuri de arhivare ├«n interes public, ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice are loc cu condi╚Ťia existen╚Ťei unor garan╚Ťii corespunz─âtoare, ├«n conformitate cu prezentul regulament, pentru drepturile ╚Öi libert─â╚Ťile persoanelor vizate. Respectivele garan╚Ťii asigur─â faptul c─â au fost instituite m─âsuri tehnice ╚Öi organizatorice necesare pentru a se asigura, ├«n special, respectarea principiului reducerii la minimum a datelor. Respectivele m─âsuri pot include pseudonimizarea, cu condi╚Ťia ca respectivele scopuri s─â fie ├«ndeplinite ├«n acest mod. Atunci c├ónd respectivele scopuri pot fi ├«ndeplinite printr-o prelucrare ulterioar─â care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt ├«ndeplinite ├«n acest mod.

(2) ├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri de cercetare ╚Ötiin╚Ťific─â sau istoric─â ori ├«n scopuri statistice, dreptul Uniunii sau dreptul intern poate s─â prevad─â derog─âri de la drepturile men╚Ťionate la articolele 15, 16, 18 ╚Öi 21, sub rezerva condi╚Ťiilor ╚Öi a garan╚Ťiilor prev─âzute la alineatul (1) din prezentul articol, ├«n m─âsura ├«n care drepturile respective sunt de natur─â s─â fac─â imposibil─â sau s─â afecteze ├«n mod grav realizarea scopurilor specifice, iar derog─ârile respective sunt necesare pentru ├«ndeplinirea acestor scopuri.

(3) ├Än cazul ├«n care datele cu caracter personal sunt prelucrate ├«n scopuri de arhivare ├«n interes public, dreptul Uniunii sau dreptul intern poate s─â prevad─â derog─âri de la drepturile men╚Ťionate la articolele 15, 16, 18, 19, 20 ╚Öi 21, sub rezerva condi╚Ťiilor ╚Öi a garan╚Ťiilor prev─âzute la alineatul (1) din prezentul articol, ├«n m─âsura ├«n care drepturile respective sunt de natur─â s─â fac─â imposibil─â sau s─â afecteze ├«n mod grav realizarea scopurilor specifice, iar derog─ârile respective sunt necesare pentru ├«ndeplinirea acestor scopuri.

(4) ├Än cazul ├«n care prelucrarea men╚Ťionat─â la alineatele (2) ╚Öi (3) serve╚Öte ├«n acela╚Öi timp ╚Öi altui scop, derog─ârile se aplic─â numai prelucr─ârii ├«n scopurile men╚Ťionate la alineatele respective.

Articolul 90

Obliga╚Ťii privind p─âstrarea confiden╚Ťialit─â╚Ťii

(1) Statele membre pot adopta norme specifice pentru a stabili competen╚Ťele autorit─â╚Ťilor de supraveghere, prev─âzute la articolul 58 alineatul (1) literele (e) ╚Öi (f), ├«n leg─âtur─â cu operatori sau cu persoane ├«mputernicite de operatori care, ├«n temeiul dreptului Uniunii sau al dreptului internsau ├«n temeiul normelor stabilite de organismele na╚Ťionale competente, au obliga╚Ťia de a p─âstra secretul profesional sau alte obliga╚Ťii echivalente de confiden╚Ťialitate, ├«n cazul ├«n care acest lucru este necesar ╚Öi propor╚Ťional pentru a stabili un echilibru ├«ntre dreptul la protec╚Ťia datelor cu caracter personal ╚Öi obliga╚Ťia p─âstr─ârii confiden╚Ťialit─â╚Ťii. Respectivele norme se aplic─â doar ├«n ceea ce prive╚Öte datele cu caracter personal pe care operatorul sau persoana ├«mputernicit─â de operator le-a primit ├«n urma sau ├«n contextul unei activit─â╚Ťi care intr─â sub inciden╚Ťa acestei obliga╚Ťii de p─âstrare a confiden╚Ťialit─â╚Ťii.

(2) Fiecare stat membru notifică Comisiei normele adoptate în temeiul alineatului (1) până la 25 mai 2018, precum și, fără întârziere, orice modificare ulterioară a acestora.

Articolul 91

Normele existente ├«n domeniul protec╚Ťiei datelor pentru biserici ╚Öi asocia╚Ťii religioase

(1) ├Än cazul ├«n care, ├«ntr-un stat membru, bisericile ╚Öi asocia╚Ťiile sau comunit─â╚Ťile religioase aplic─â, la data intr─ârii ├«n vigoare a prezentului regulament, un set cuprinz─âtor de norme de protec╚Ťie a persoanelor fizice cu privire la prelucrare, aceste norme pot continua s─â se aplice, cu condi╚Ťia s─â fie aliniate la prezentul regulament.

(2) Bisericile ╚Öi asocia╚Ťiile religioase care aplic─â un set cuprinz─âtor de norme ├«n conformitate cu alineatul (1) din prezentul articol sunt supuse supravegherii unei autorit─â╚Ťi de supraveghere independente care poate fi specific─â, cu condi╚Ťia s─â ├«ndeplineasc─â condi╚Ťiile stabilite ├«n capitolul VI din prezentul regulament.

CAPITOLUL X

Acte delegate și acte de punere în aplicare

Articolul 92

Exercitarea deleg─ârii

(1) Competen╚Ťa de a adopta acte delegate este conferit─â Comisiei ├«n condi╚Ťiile prev─âzute de prezentul articol.

(2) Delegarea de competen╚Ťe prev─âzut─â la articolul 12 alineatul (8) ╚Öi la articolul 43 alineatul (8) se confer─â Comisiei pe o perioad─â nedeterminat─â de la 24 mai 2016.

(3) Delegarea de competen╚Ťe men╚Ťionat─â la articolul 12 alineatul (8) ╚Öi la articolul 43 alineatul (8) poate fi revocat─â ├«n orice moment de Parlamentul European sau de Consiliu. O decizie de revocare pune cap─ât deleg─ârii de competen╚Ťe specificat─â ├«n decizia respectiv─â. Decizia produce efecte din ziua urm─âtoare datei public─ârii acesteia ├«n Jurnalul Oficial al Uniunii Europene sau de la o dat─â ulterioar─â men╚Ťionat─â ├«n decizie. Decizia nu aduce atingere validit─â╚Ťii actelor delegate care sunt deja ├«n vigoare.

(4) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(5) Un act delegat adoptat ├«n conformitate cu articolul 12 alineatul (8) ╚Öi cu articolul 43 alineatul (8) intr─â ├«n vigoare numai ├«n cazul ├«n care nici Parlamentul European ╚Öi nici Consiliul nu au formulat obiec╚Ťiuni ├«n termen de trei luni de la notificarea acestuia Parlamentului European ╚Öi Consiliului, sau ├«n cazul ├«n care, ├«nainte de expirarea termenului respectiv, Parlamentul European ╚Öi Consiliul au informat Comisia c─â nu vor formula obiec╚Ťiuni. Respectivul termen se prelunge╚Öte cu trei luni la ini╚Ťiativa Parlamentului European sau a Consiliului.

Articolul 93

Procedura comitetului

(1) Comisia este asistat─â de un comitet. Comitetul respectiv este un comitet ├«n ├«n╚Ťelesul Regulamentului (UE) nr. 182/2011.

(2) În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(3) În cazul în care se face trimitere la prezentul alineat, se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din respectivul regulament.

CAPITOLUL XI

Dispozi╚Ťii finale

Articolul 94

Abrogarea Directivei 95/46/CE

(1) Decizia 95/46/CE se abrog─â cu efect de la 25 mai 2018.

(2) Trimiterile la directiva abrogat─â se interpreteaz─â ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protec╚Ťia persoanelor ├«n ceea ce prive╚Öte prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE se interpreteaz─â ca trimiteri la Comitetul european pentru protec╚Ťia datelor instituit prin prezentul regulament.

Articolul 95

Rela╚Ťia cu Directiva 2002/58/CE

Prezentul regulament nu impune obliga╚Ťii suplimentare pentru persoanele fizice sau juridice ├«n ceea ce prive╚Öte prelucrarea ├«n leg─âtur─â cu furnizarea de servicii de comunica╚Ťii electronice destinate publicului ├«n re╚Ťelele de comunica╚Ťii publice din Uniune, cu privire la aspectele pentru care acestora le revin obliga╚Ťii specifice cu acela╚Öi obiectiv prev─âzut ├«n Directiva 2002/58/CE.

Articolul 96

Rela╚Ťia cu acordurile ├«ncheiate anterior

Acordurile interna╚Ťionale care implic─â transferul de date cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale, care au fost ├«ncheiate de statele membre ├«nainte de 24 mai 2016 ╚Öi care sunt ├«n conformitate cu dreptul Uniunii aplicabil ├«nainte de data respectiv─â, r─âm├ón ├«n vigoare p├ón─â c├ónd vor fi modificate, ├«nlocuite sau revocate.

Articolul 97

Rapoartele Comisiei

(1) Până la 25 mai 2020 și, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European și Consiliului un raport privind evaluarea și revizuirea prezentului regulament. Rapoartele sunt făcute publice.

(2) ├Än contextul evalu─ârilor ╚Öi revizuirilor men╚Ťionate la alineatul (1), Comisia examineaz─â ├«n special aplicarea ╚Öi func╚Ťionarea:

(a) capitolului V privind transferul datelor cu caracter personal c─âtre ╚Ť─âri ter╚Ťe sau organiza╚Ťii interna╚Ťionale, av├ónd ├«n vedere ├«n special deciziile adoptate ├«n temeiul articolului 45 alineatul (3) din prezentul regulament ╚Öi deciziile adoptate ├«n temeiul articolului 25 alineatul (6) din Directiva 95/46/CE;

(b) capitolul VII privind cooperarea ╚Öi coeren╚Ťa.

(3) ├Än scopul alineatului (1), Comisia poate solicita informa╚Ťii de la statele membre ╚Öi de la autorit─â╚Ťile de supraveghere.

(4) La efectuarea evalu─ârilor ╚Öi a revizuirilor men╚Ťionate la alineatele (1) ╚Öi (2), Comisia ia ├«n considerare pozi╚Ťiile ╚Öi constat─ârile Parlamentului European, ale Consiliului, precum ╚Öi ale altor organisme sau surse relevante.

(5) Comisia transmite, dac─â este necesar, propuneri corespunz─âtoare de modificare a prezentului regulament, ├«n special ╚Ťin├ónd seama de evolu╚Ťiile din domeniul tehnologiei informa╚Ťiei ╚Öi av├ónd ├«n vedere progresele societ─â╚Ťii informa╚Ťionale.

Articolul 98

Revizuirea altor acte juridice ale Uniunii ├«n materie de protec╚Ťie a datelor

Dac─â este cazul, Comisia prezint─â propuneri legislative ├«n vederea modific─ârii altor acte juridice ale Uniunii privind protec╚Ťia datelor cu caracter personal, ├«n vederea asigur─ârii unei protec╚Ťii uniforme ╚Öi consecvente a persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea. Acest lucru prive╚Öte ├«n special normele referitoare la protec╚Ťia persoanelor fizice ├«n ceea ce prive╚Öte prelucrarea de c─âtre institu╚Ťiile, organismele, oficiile ╚Öi agen╚Ťiile Uniunii, precum ╚Öi normele referitoare la libera circula╚Ťie a acestor date.

Articolul 99

Intrare în vigoare și aplicare

(1) Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2) Prezentul regulament se aplic─â de la 25 mai 2018.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 27 aprilie 2016.

Pentru Parlamentul European

Președintele

M. SCHULZ

Pentru Consiliu

Președintele

J.A. HENNIS-PLASSCHAERT

Acest website a fost produs cu sprijinul Uniunii Europene. Con┼úinutul acestui website intr─â ├«n responsabilitatea Consiliul Jude╚Ťean Maramure╚Ö ┼či nu reflect─â ├«n mod necesar pozi┼úia oficial─â a Uniunii Europene sau a structurilor de management ale Programului Opera┼úional Comun Rom├ónia-Ucraina 2014-2021.
┬ę 2020-2021 Consiliul Jude╚Ťean Maramure╚Ö. Toate drepturile rezervate.


Contact:

Adresa: Strada Gheorghe ╚śincai 46, Baia Mare 430311

Tel. : +40 262.212.110

E-mail: office@cjmaramures.ro