DIRECTIVA (UE) 2016/680 A PARLAMENTULUI EUROPEAN SI A CONSILIULUI
din 27 aprilie 2016
privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor si privind libera circulatie a acestor date si de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
PARLAMENTUL EUROPEAN SI CONSILIUL UNIUNII EUROPENE,
avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16 alineatul (2),
avand in vedere propunerea Comisiei Europene,
dupa transmiterea proiectului de act legislativ catre parlamentele nationale,
avand in vedere avizul Comitetului Regiunilor (1),
hotarand in conformitate cu procedura legislativa ordinara (2),
intrucat:
Consilier Ghid complet de Salarizare ReviSal si Contributii sociale
Proiecte Didactice pentru succesul la Titularizare sau Definitivat Educatori
Teste rezolvate de matematica pentru clasele V-VIII
(1)
Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal reprezinta un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (Carta) si articolul 16 alineatul (1) din Tratatul privind functionarea Uniunii Europene (TFUE) prevad dreptul oricarei persoane la protectia datelor cu caracter personal care o privesc.
(2)
Principiile si normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetatenia sau de locul de resedinta al persoanelor fizice, sa respecte drepturile si libertatile fundamentale ale acestora, in special dreptul la protectia datelor cu caracter personal. Prezenta directiva urmareste sa contribuie la realizarea unui spatiu de libertate, securitate si justitie.
(3)
Evolutiile tehnologice rapide si globalizarea au generat noi provocari pentru protectia datelor cu caracter personal. Amploarea colectarii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite prelucrarea datelor cu caracter personal la un nivel fara precedent in cadrul activitatilor precum prevenirea, depistarea, investigarea sau urmarirea penala a infractiunilor ori executarea pedepselor.
(4)
Libera circulatie a datelor cu caracter personal intre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora in cadrul Uniunii, si transferul de astfel de date cu caracter personal catre tari terte si organizatii internationale, ar trebui facilitate asigurand, totodata, un nivel ridicat de protectie a datelor cu caracter personal. Aceste evolutii impun realizarea unui cadru solid si mai coerent in materie de protectie a datelor cu caracter personal in Uniune, insotit de o aplicare riguroasa a normelor.
(5)
Directiva 95/46/CE a Parlamentului European si a Consiliului (3) se aplica oricarei prelucrari de date cu caracter personal in statele membre, atat in sectorul public, cat si in cel privat. Cu toate acestea, directiva mentionata nu se aplica prelucrarii datelor cu caracter personal in cursul exercitarii unei activitatii care nu se inscrie in domeniul de aplicare a dreptului comunitar, cum sunt activitatile in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti.
(6)
Decizia-cadru 2008/977/JAI a Consiliului (4) se aplica in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti. Domeniul de aplicare a deciziei-cadru mentionate este limitat la prelucrarea datelor cu caracter personal transmise sau puse la dispozitie intre statele membre.
(7)
Asigurarea unui nivel omogen si ridicat de protectie a datelor cu caracter personal ale persoanelor fizice si facilitarea schimbului de date cu caracter personal intre autoritatile competente ale statelor membre sunt esentiale pentru a se garanta eficacitatea cooperarii judiciare in materie penala si a cooperarii politienesti. In acest scop, nivelul de protectie a drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora, ar trebui sa fie echivalent in toate statele membre. Protectia efectiva a datelor cu caracter personal in intreaga Uniune necesita nu numai consolidarea drepturilor persoanelor vizate si a obligatiilor celor care prelucreaza date cu caracter personal, ci si competente echivalente pentru monitorizarea si asigurarea conformitatii cu normele in materie de protectie a datelor cu caracter personal in statele membre.
(8)
Articolul 16 alineatul (2) din TFUE mandateaza Parlamentul European si Consiliul sa stabileasca normele privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum si normele privind libera circulatie a acestor date.
(9)
Pe aceasta baza, Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului (5) stabileste normele generale pentru protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si garantarea liberei circulatii a acestor date in cadrul Uniunii.
(10)
In Declaratia nr. 21 cu privire la protectia datelor cu caracter personal in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti, anexata la actul final al Conferintei interguvernamentale care a adoptat Tratatul de la Lisabona, conferinta a recunoscut ca s-ar putea dovedi necesare norme specifice privind protectia datelor cu caracter personal si libera circulatie a datelor cu caracter personal in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti in temeiul articolului 16 din TFUE, avand in vedere natura specifica a acestor domenii.
(11)
Prin urmare, domeniile mentionate ar trebui sa fie reglementate printr-o directiva care sa stabileasca norme specifice privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora, cu respectarea naturii speciale a activitatilor in cauza. Pot reprezenta astfel de autoritati competente nu numai autoritatile publice, precum autoritatile judiciare, politia sau alte autoritati de aplicare a legii, ci si orice alt organism sau alta entitate insarcinata prin dreptul intern sa exercite autoritatea publica si competente publice in sensul prezentei directive. In cazul in care un astfel de organism sau de entitate prelucreaza date cu caracter personal in alte scopuri decat cele urmarite de prezenta directiva, se aplica Regulamentul (UE) 2016/679. Regulamentul (UE) 2016/679 se aplica, prin urmare, in cazurile in care un organism sau o entitate colecteaza date cu caracter personal in alte scopuri si ulterior prelucreaza datele cu caracter personal respective in vederea respectarii unei obligatii legale care ii revine. De exemplu, in scopul depistarii, investigarii sau urmaririi infractiunilor, institutiile financiare pastreaza anumite date cu caracter personal care sunt prelucrate de catre acestea si furnizeaza datele cu caracter personal respective numai autoritatilor nationale competente in cazuri specifice si in conformitate cu dreptul intern. Unui organism sau entitati care prelucreaza date cu caracter personal in numele acestor autoritati, in cadrul domeniului de aplicare al prezentei directive, ar trebui sa ii revina obligatii in temeiul unui contract sau al altui act juridic si al dispozitiilor aplicabile persoanelor imputernicite de catre operatori in conformitate cu prezenta directiva, fara ca prin aceasta sa se aduca atingere aplicarii Regulamentului (UE) 2016/679 in ceea ce priveste prelucrarea datelor cu caracter personal de catre persoana imputernicita de catre operator, atunci cand aceasta prelucrare nu intra sub incidenta prezentei directive.
(12)
Activitatile desfasurate de politie sau de alte autoritati de aplicare a legii, inclusiv activitatile politienesti desfasurate fara a cunoaste dinainte daca un incident constituie o infractiune, se concentreaza in principal asupra prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor. Activitatile respective pot include, de asemenea, exercitarea autoritatii prin aplicarea unor masuri coercitive, precum activitatile politienesti desfasurate cu ocazia unor manifestatii, evenimente sportive majore si revolte. De asemenea, activitatile mentionate includ mentinerea legii si ordinii ca atributii ale politiei sau ale altor autoritati de aplicare a legii atunci cand aceasta se impune pentru a se asigura protectia impotriva amenintarilor la adresa securitatii publice si la adresa intereselor fundamentale ale societatii protejate prin lege si pentru prevenirea acestor amenintari, care pot conduce la o infractiune. Statele membre pot incredinta autoritatilor competente alte sarcini care nu sunt neaparat indeplinite in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora, astfel incat prelucrarea datelor cu caracter personal in aceste alte scopuri, in masura in care se circumscriu domeniului de aplicare al dreptului Uniunii, intra sub incidenta Regulamentului (UE) 2016/679.
(13)
Notiunea de infractiune, in sensul prezentei directive, ar trebui sa constituie o notiune autonoma de drept al Uniunii astfel cum este interpretat de Curtea de Justitie a Uniunii Europene („Curtea de Justitie”).
(14)
Avand in vedere ca prezenta directiva nu ar trebui sa se aplice prelucrarii datelor cu caracter personal in cadrul unei activitati care nu intra sub incidenta dreptului Uniunii, activitatile privind securitatea nationala, activitatile agentiilor sau ale unitatilor specializate pe probleme de securitate nationala si prelucrarea datelor cu caracter personal de catre statele membre atunci cand acestea desfasoara activitati circumscrise domeniului de aplicare al titlului V capitolul 2 din Tratatul privind Uniunea Europeana (TUE) nu ar trebui sa fie considerate activitati care se incadreaza in domeniul de aplicare al prezentei directive.
(15)
In vederea asigurarii aceluiasi nivel de protectie pentru persoanele fizice prin drepturi garantate din punct de vedere juridic in intreaga Uniune si a preintampinarii discrepantelor care impiedica schimbul de date cu caracter personal intre autoritatile competente, prezenta directiva ar trebui sa prevada norme armonizate pentru protectia si libera circulatie a datelor cu caracter personal prelucrate in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora. Armonizarea drepturilor statelor membre nu ar trebui sa aiba ca rezultat diminuarea nivelului de protectie a datelor cu caracter personal pe care il ofera statele respective, ci ar trebui, dimpotriva, sa urmareasca sa asigure un inalt nivel de protectie in cadrul Uniunii. Statele membre nu ar trebui sa fie impiedicate sa prevada garantii mai mari decat cele stabilite in prezenta directiva pentru protectia drepturilor si libertatilor persoanelor vizate in ceea ce priveste prelucrarea datelor cu caracter personal de catre autoritatile competente.
(16)
Prezenta directiva nu aduce atingere principiului accesului publicului la documente oficiale. In temeiul Regulamentului (UE) 2016/679, datele cu caracter personal din documentele oficiale detinute de o autoritate publica sau de un organism public sau privat pentru indeplinirea unei atributii de interes public pot fi divulgate de autoritatea sau organismul respectiv in conformitate cu dreptul Uniunii sau cu dreptul intern sub incidenta caruia intra autoritatea sau organismul, pentru a stabili un echilibru intre accesul public la documente oficiale si dreptul la protectia datelor cu caracter personal.
(17)
Protectia conferita de prezenta directiva ar trebui sa vizeze persoanele fizice, indiferent de cetatenia sau de locul de resedinta al acestora, in ceea ce priveste prelucrarea datelor cu caracter personal ale acestora.
(18)
Pentru a preintampina un risc serios de eludare, protectia persoanelor fizice ar trebui sa fie neutra din punct de vedere tehnologic si nu ar trebui sa depinda de tehnicile utilizate. Protectia persoanelor fizice ar trebui sa se aplice in ceea ce priveste prelucrarea datelor cu caracter personal prin mijloace automate, precum si prelucrarea manuala, in cazul in care datele cu caracter personal sunt cuprinse sau destinate sa fie cuprinse intr-un sistem de evidenta. Dosarele sau seturile de dosare, precum si copertele acestora, care nu sunt structurate in conformitate cu criterii specifice, nu ar trebui sa intre sub incidenta prezentei directive.
(19)
Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului (6) se aplica prelucrarii datelor cu caracter personal de catre institutiile, organele, oficiile si agentiile Uniunii. Regulamentul (CE) nr. 45/2001 si alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal ar trebui adaptate la principiile si normele stabilite prin Regulamentul (UE) 2016/679.
(20)
Prezenta directiva nu impiedica statele membre sa precizeze operatiunile si procedurile de prelucrare in normele nationale privind procedurile penale in ceea ce priveste prelucrarea datelor cu caracter personal de catre instante si alte autoritati judiciare, in special in ceea ce priveste datele cu caracter personal continute intr-o hotarare judecatoreasca sau in inregistrarile legate de proceduri penale.
(21)
Principiile protectiei datelor ar trebui sa se aplice oricarei informatii referitoare la o persoana fizica identificata sau identificabila. Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia in considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, sa le utilizeze fie operatorul, fie o alta persoana in scopul identificarii, in mod direct sau indirect, a persoanei fizice respective. Pentru a se determina daca este probabil, in mod rezonabil, sa fie utilizate mijloace in scopul identificarii persoanei fizice, ar trebui luati in considerare toti factorii obiectivi, precum costurile si intervalul de timp necesare pentru identificare, tinandu-se seama de tehnologia disponibila la momentul prelucrarii si de dezvoltarea tehnologica. Principiile protectiei datelor ar trebui, prin urmare, sa nu se aplice informatiilor anonime, adica informatiilor care nu sunt legate de o persoana fizica identificata sau identificabila, sau datelor cu caracter personal care sunt anonimizate astfel incat persoana vizata nu mai este identificabila.
(22)
Autoritatile publice carora le sunt divulgate date cu caracter personal in conformitate cu o obligatie legala pentru exercitarea misiunii lor oficiale, cum ar fi autoritatile fiscale si vamale, unitatile de investigare financiara, autoritatile administrative independente sau autoritatile pietelor financiare, responsabile de reglementarea si de supravegherea pietelor valorilor mobiliare, nu ar trebui sa fie considerate drept destinatari in cazul in care primesc date cu caracter personal care sunt necesare pentru desfasurarea unei anumite anchete de interes general, in conformitate cu dreptul Uniunii sau cu dreptul intern. Cererile de divulgare transmise de autoritatile publice ar trebui sa se faca intotdeauna in scris, sa fie motivate si ocazionale si nu ar trebui sa se refere la totalitatea unui sistem de evidenta sau sa conduca la interconectarea sistemelor de evidenta. Prelucrarea datelor cu caracter personal de catre respectivele autoritati publice ar trebui sa respecte normele aplicabile privind protectia datelor, in conformitate cu scopurile prelucrarii.
(23)
Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care ofera informatii unice despre fiziologia sau starea de sanatate a persoanei respective, si care rezulta in urma unei analize a unei mostre de material biologic al persoanei fizice in cauza, in special a analizei cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau in urma analizei oricarui alt element care permite obtinerea unor informatii echivalente. Avand in vedere complexitatea si sensibilitatea informatiilor genetice, exista un risc ridicat de utilizare abuziva si de reutilizare in diverse scopuri neautorizate de catre operator. Orice discriminare bazata pe caracteristici genetice ar trebui sa fie, in principiu, interzisa.
(24)
Datele cu caracter personal privind sanatatea ar trebui sa includa toate datele avand legatura cu starea de sanatate a persoanei vizate, care sa dezvaluie informatii despre starea de sanatate fizica sau mentala trecuta, prezenta sau viitoare a persoanei vizate. Acestea includ informatii privind persoana fizica colectate in cursul inscrierii acesteia la serviciile de asistenta medicala sau in cadrul acordarii serviciilor respective persoanei fizice in cauza, astfel cum sunt mentionate in Directiva 2011/24/UE a Parlamentului European si a Consiliului (7); un numar, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulara a acesteia in scopuri medicale; informatii rezultate din testarea sau examinarea unei parti a corpului sau a unei substante corporale, inclusiv din date genetice si esantioane de material biologic; precum si orice informatii privind, de exemplu, o boala, un handicap, un risc de imbolnavire, istoricul medical, tratamentul clinic sau starea fiziologica sau biomedicala a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
(25)
Toate statele membre sunt afiliate la Organizatia Internationala de Politie Criminala (Interpol). Pentru a-si indeplini misiunea, Interpol primeste, stocheaza si difuzeaza date cu caracter personal pentru a ajuta autoritatile competente sa previna si sa combata criminalitatea internationala. Prin urmare, este adecvat sa se consolideze cooperarea dintre Uniune si Interpol prin promovarea unui schimb eficient de date cu caracter personal, asigurand, in acelasi timp, respectarea drepturilor si libertatilor fundamentale in ceea ce priveste prelucrarea automata a datelor cu caracter personal. Atunci cand se transfera date cu caracter personal din Uniune catre Interpol si catre tarile care au membri delegati la Interpol, ar trebui sa se aplice prezenta directiva, in special dispozitiile privind transferurile internationale. Prezenta directiva nu ar trebui sa aduca atingere normelor specifice stabilite in Pozitia comuna 2005/69/JAI a Consiliului (8) si in Decizia 2007/533/JAI a Consiliului (9).
(26)
Orice prelucrare a datelor cu caracter personal trebuie sa fie legala, echitabila si transparenta fata de persoanele fizice in cauza, iar prelucrarea trebuie sa fie facuta numai pentru scopuri specifice prevazute de lege. Acest lucru nu impiedica, in sine, autoritatile de aplicare a legii sa desfasoare activitati precum investigatiile sub acoperire sau supravegherea video. Aceste activitati pot fi intreprinse in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii sanctiunilor penale, inclusiv al protectiei impotriva fraudei si al prevenirii amenintarilor la adresa securitatii publice, in masura in care sunt prevazute de lege si constituie o masura necesara si proportionala intr-o societate democratica, tinandu-se seama in mod corespunzator de interesele legitime ale respectivei persoane fizice. Principiul prelucrarii echitabile a datelor din domeniul protectiei datelor cu caracter personal este o notiune distincta de dreptul la un proces echitabil, astfel cum este definit la articolul 47 din Carta si la articolul 6 din Conventia europeana pentru apararea drepturilor omului si a libertatilor fundamentale (CEDO). Persoanele fizice ar trebui sa fie informate cu privire la riscurile, normele, garantiile si drepturile in materie de prelucrare a datelor acestora cu caracter personal si cu privire la modul in care sa isi exercite drepturile respective. In special, scopurile specifice in care datele cu caracter personal sunt prelucrate ar trebui sa fie explicite si legitime si sa fie determinate la momentul colectarii datelor. Datele cu caracter personal ar trebui sa fie adecvate si relevante pentru scopurile in care sunt prelucrate. In special, ar trebui sa se asigure faptul ca datele cu caracter personal colectate nu sunt excesive si ca nu sunt stocate mai mult timp decat este necesar pentru indeplinirea scopului in care sunt prelucrate. Datele cu caracter personal ar trebui prelucrate doar in cazul in care scopul prelucrarii nu poate fi indeplinit, in mod rezonabil, prin alte mijloace. In vederea asigurarii faptului ca datele nu sunt pastrate mai mult timp decat este necesar, ar trebui sa se stabileasca de catre operator termene pentru stergere sau revizuire periodica. Statele membre ar trebui sa stabileasca garantii adecvate pentru datele cu caracter personal care sunt stocate pe o perioada mai lunga, in scopuri de arhivare in interes public sau in scopuri stiintifice, statistice sau istorice.
(27)
Pentru prevenirea, investigarea si urmarirea penala a infractiunilor, autoritatile competente trebuie sa prelucreze datele cu caracter personal colectate in contextul prevenirii, depistarii, investigarii sau urmaririi penale a anumitor infractiuni dincolo de acest context pentru a intelege mai bine activitatile infractionale si pentru a face legaturi intre diferitele infractiuni detectate.
(28)
In vederea mentinerii securitatii in ceea ce priveste prelucrarea si a prevenirii prelucrarilor care nu respecta prezenta directiva, datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure un nivel corespunzator de securitate si confidentialitate, inclusiv prin prevenirea accesului neautorizat la acestea sau a utilizarii neautorizate a datelor si a echipamentului utilizat pentru prelucrare si luand in considerare stadiul actual al tehnologiei disponibile, costurile punerii acesteia in aplicare in raport cu riscurile si natura datelor cu caracter personal a caror protectie trebuie asigurata.
(29)
Colectarea datelor cu caracter personal ar trebui sa fie efectuata in scopuri determinate, explicite si legitime in cadrul domeniului de aplicare al prezentei directive, iar prelucrarea acestora nu ar trebui sa se faca in scopuri care sunt incompatibile cu obiectivele prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau ale executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora. In cazul in care datele cu caracter personal sunt prelucrate de catre acelasi sau de catre un alt operator intr-un scop care se incadreaza in domeniul de aplicare al prezentei directive, dar este diferit de scopul in care au fost colectate, o astfel de prelucrare ar trebui sa fie permisa cu conditia ca o astfel de prelucrare sa fie autorizata in conformitate cu dispozitiile legale aplicabile si este necesara si proportionala in raport cu acest alt scop.
(30)
Principiul exactitatii datelor ar trebui aplicat luand in considerare natura si scopul prelucrarii in cauza. In special in cadrul procedurilor judiciare, declaratiile care contin date cu caracter personal se bazeaza pe o perceptie subiectiva a persoanelor fizice si nu sunt intotdeauna verificabile. In consecinta, acest principiu nu ar trebui sa se aplice exactitatii unei declaratii, ci doar faptului ca o anumita declaratie a fost facuta.
(31)
Prelucrarea datelor cu caracter personal in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti presupune prelucrarea datelor cu caracter personal referitoare la diferite categorii de persoane. Prin urmare, ar trebui sa se faca o distinctie clara, dupa caz si in masura posibilului, intre datele cu caracter personal ale diferitelor categorii de persoane vizate, cum ar fi suspectii, persoanele condamnate pentru comiterea unei infractiuni, victimele si alte parti, cum ar fi martorii, persoanele care detin informatii sau contacte relevante si complicii suspectilor si ai infractorilor condamnati. Acest lucru nu ar trebui sa impiedice aplicarea dreptului la prezumtia de nevinovatie, astfel cum este garantat de Carta si de CEDO, dupa cum a fost interpretat de jurisprudenta Curtii de Justitie si, respectiv, a Curtii Europene a Drepturilor Omului.
(32)
Autoritatile competente ar trebui sa se asigure ca nu se transmit sau nu se pun la dispozitie date cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale. Pentru a asigura protectia persoanelor fizice si exactitatea, caracterul integral sau gradul de actualitate si fiabilitatea datelor cu caracter personal transmise sau puse la dispozitie, autoritatile competente ar trebui, pe cat posibil, sa adauge informatiile necesare in toate transmiterile de date cu caracter personal.
(33)
Atunci cand prezenta directiva face trimitere la dreptul intern, la un temei juridic sau la o masura legislativa, aceasta nu necesita neaparat un act legislativ adoptat de catre un parlament, fara a aduce atingere cerintelor care decurg din ordinea constitutionala a statului membru in cauza. Cu toate acestea, dreptul intern, temeiul juridic sau masura legislativa in cauza ar trebui sa fie clare si precise, iar aplicarea sa fie previzibila destinatarilor, in conformitate cu jurisprudenta Curtii de Justitie si a Curtii Europene a Drepturilor Omului. Dreptul intern care reglementeaza prelucrarea datelor cu caracter personal din domeniul de aplicare al prezentei directive ar trebui sa precizeze cel putin obiectivele, datele cu caracter personal care urmeaza a fi prelucrate, scopurile prelucrarii si procedurile de pastrare a integritatii si a confidentialitatii datelor cu caracter personal si procedurile de distrugere a acestora, oferind astfel garantii suficiente impotriva riscurilor de abuzuri si de arbitrar.
(34)
Prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii sanctiunilor penale, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora, ar trebui sa acopere orice operatiune sau serie de operatiuni care se efectueaza asupra datelor cu caracter personal sau seturilor de date cu caracter personal in aceste scopuri efectuata prin mijloace automate sau in alt mod, precum colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, alinierea sau combinarea, restrictionarea prelucrarii, stergerea sau distrugerea. In special, normele din prezenta directiva ar trebui sa se aplice transmiterii datelor cu caracter personal in sensul prezentei directive catre un destinatar care nu face obiectul prezentei directive. Un astfel de destinatar ar trebui sa includa o persoana fizica sau juridica, o autoritate publica, o agentie sau orice alt organ caruia ii sunt divulgate in mod legal datele cu caracter personal de catre autoritatile competente. In cazul in care datele cu caracter personal au fost initial colectate de catre o autoritate competenta in unul dintre scopurile prezentei directive, Regulamentul (UE) 2016/679 ar trebui sa se aplice prelucrarii acestor date in alte scopuri decat cele ale prezentei directive atunci cand o astfel de prelucrare este autorizata de dreptul Uniunii sau de dreptul intern. In special, normele din Regulamentul (UE) 2016/679 ar trebui sa se aplice la transmiterea de date cu caracter personal in scopuri care nu intra sub incidenta prezentei directive. Prelucrarea datelor cu caracter personal de catre un destinatar care nu este sau nu actioneaza in calitate de autoritate competenta in sensul prezentei directive si caruia ii sunt divulgate in mod legal date cu caracter personal de catre o autoritate competenta, ar trebui sa intre sub incidenta Regulamentului (UE) 2016/679. La punerea in aplicare a prezentei directive, statele membre ar trebui, de asemenea, sa poata aduce precizari suplimentare cu privire la aplicarea normelor din Regulamentul (UE) 2016/679, sub rezerva conditiilor prevazute in regulamentul respectiv.
(35)
Pentru a fi legala, prelucrarea datelor cu caracter personal in temeiul prezentei directive ar trebui sa fie necesara pentru indeplinirea unei atributii de interes public de catre o autoritate competenta in temeiul dreptului Uniunii sau al dreptului intern, in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora. Aceste activitati ar trebui sa acopere protejarea intereselor vitale ale persoanei vizate. Indeplinirea sarcinilor de prevenire, depistare, investigare sau urmarire penala a infractiunilor, conferita in mod institutional prin lege autoritatilor competente, le permite acestora sa solicite sau sa impuna persoanelor fizice sa respecte cerintele formulate. In acest caz, consimtamantul persoanei vizate, astfel cum este definit in Regulamentul (UE) 2016/679, nu ar trebui sa constituie un temei juridic pentru prelucrarea datelor cu caracter personal de catre autoritatile competente. In cazul in care i se solicita persoanei vizate sa respecte o obligatie legala, persoana vizata nu dispune cu adevarat de libertatea de alegere, astfel incat reactia persoanei vizate nu poate fi considerata ca o manifestare libera a vointei sale. Acest lucru nu ar trebui sa impiedice statele membre sa prevada prin lege ca persoana vizata poate accepta prelucrarea datelor sale cu caracter personal in scopurile prezentei directive, cum ar fi testele ADN in anchetele penale sau monitorizarea localizarii persoanei vizate prin dispozitive electronice pentru executarea pedepselor.
(36)
Statele membre ar trebui sa prevada ca, in cazul in care dreptul Uniunii sau dreptul intern aplicabil autoritatii competente care a transmis datele prevede conditii specifice aplicabile in situatii specifice prelucrarii datelor cu caracter personal, cum ar fi folosirea unor coduri de utilizare, autoritatea competenta care a transmis datele ar trebui sa informeze destinatarul respectivelor date cu caracter personal cu privire la astfel de conditii si obligatia de a le respecta. Astfel de conditii ar putea include, de exemplu, interdictia de a transmite datele cu caracter personal altor destinatari sau de a le utiliza in alte scopuri decat cele pentru care au fost transmise destinatarului, sau de a informa persoana vizata in cazul unei limitari a dreptului la informare fara aprobarea prealabila a autoritatii competente care a transmis datele. Obligatiile mentionate ar trebui sa se aplice, de asemenea, transferurilor realizate de autoritatea competenta care a transmis datele catre destinatari din tari terte sau catre organizatii internationale. Statele membre ar trebui sa garanteze neaplicarea de catre autoritatea competenta care a transmis datele nu aplica in cazul destinatarilor din alte state membre sau in cazul agentiilor, oficiilor si organelor instituite in conformitate cu titlul V capitolele 4 si 5 din TFUE, alte conditii decat cele aplicabile transmiterii similare de date in statul membru al autoritatii competente respective.
(37)
Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile in ceea ce priveste drepturile si libertatile fundamentale necesita o protectie specifica, deoarece contextul prelucrarii acestora ar putea genera riscuri considerabile la adresa drepturilor si libertatilor fundamentale. Aceste date cu caracter personal ar trebui sa includa datele cu caracter personal care dezvaluie originea rasiala sau etnica, utilizarea termenului „origine rasiala” in prezenta directiva neimplicand o acceptare de catre Uniune a teoriilor care urmaresc sa stabileasca existenta unor rase umane separate. Asemenea date cu caracter personal nu ar trebui prelucrate, cu exceptia cazului in care prelucrarea face obiectul unor garantii adecvate pentru drepturile si libertatile persoanei vizate prevazute de lege si este autorizata in cazuri prevazute de lege; daca nu este deja autorizata de o astfel de lege, prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane; sau prelucrarea se refera la date care sunt facute publice in mod manifest de catre persoana vizata. Garantiile adecvate pentru drepturile si libertatile persoanei vizate ar putea include posibilitatea de a colecta aceste date numai in legatura cu alte date referitoare la persoana fizica respectiva, posibilitatea de a garanta in mod adecvat datele colectate, reguli mai stricte privind accesul la date al personalului autoritatii competente si interzicerea transmiterii datelor respective. Prelucrarea unor astfel de date ar trebui, de asemenea, sa fie permisa de lege, atunci cand persoana vizata a fost de acord in mod explicit, in cazurile in care prelucrarea este deosebit de intruziva pentru aceasta. Cu toate acestea, consimtamantul persoanei vizate nu ar trebui sa constituie, in sine, un temei juridic pentru prelucrarea unor astfel de date sensibile cu caracter personal de catre autoritatile competente.
(38)
Persoana vizata ar trebui sa aiba dreptul de a nu face obiectul unei decizii care evalueaza aspecte cu caracter personal referitoare la propria persoana, care se bazeaza exclusiv pe prelucrarea automata si care produce efecte juridice negative care privesc propria persoana sau o afecteaza in mod semnificativ. In orice caz, o astfel de prelucrare ar trebui sa faca obiectul unor garantii corespunzatoare, inclusiv o informare specifica a persoanei vizate si dreptul acesteia de a obtine interventie umana, in special de a-si exprima punctul de vedere, de a primi o explicatie privind decizia luata in urma unei astfel de evaluari sau de a contesta decizia. Crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza datelor cu caracter personal care sunt, prin natura lor, deosebit de sensibile in ceea ce priveste drepturile si libertatile fundamentale este interzisa in conditiile prevazute la articolele 21 si 52 din Carta.
(39)
Pentru ca persoana vizata sa isi poata exercita drepturile, toate informatiile adresate persoanei vizate ar trebui sa fie usor accesibile, inclusiv pe site-ul internet al operatorului, si usor de inteles, fiind necesar ca limbajul folosit sa fie simplu si clar. Respectivele informatii ar trebui sa fie adaptate la nevoile persoanelor vulnerabile, cum ar fi copiii.
(40)
Ar trebui sa fie prevazute modalitati de facilitare a exercitarii de catre persoana vizata a drepturilor care ii sunt conferite prin dispozitiile adoptate in temeiul prezentei directive, inclusiv mecanismele prin care aceasta poate solicita si, dupa caz obtine, in mod gratuit, in special, acces la datele cu caracter personal, precum si rectificarea sau stergerea acestora si restrictionarea prelucrarii. Operatorul ar trebui sa aiba obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate, cu exceptia cazului in care operatorul aplica limitari ale drepturilor persoanelor vizate in conformitate cu prezenta directiva. In plus, in cazul in care cererile sunt in mod vadit nefondate sau excesive, de exemplu atunci cand persoana vizata solicita informatii in mod nejustificat si repetat sau atunci cand persoana vizata abuzeaza de dreptul sau de a primi informatii, de exemplu prin furnizarea de informatii false sau inselatoare in momentul efectuarii cererii, operatorul ar trebui sa poata percepe o taxa rezonabila sau sa refuze sa dea curs cererii.
(41)
Atunci cand operatorul solicita furnizarea de informatii suplimentare necesare pentru a confirma identitatea persoanei vizate, respectivele informatii ar trebui sa fie prelucrate numai in acest scop specific si nu ar trebui sa fie stocate pentru o perioada mai lunga decat cea necesara in acest scop specific.
(42)
Cel putin urmatoarele informatii ar trebui sa fie puse la dispozitia persoanei vizate: identitatea operatorului, existenta operatiunii de prelucrare, scopurile prelucrarii, dreptul de a inainta o plangere si existenta dreptului de a solicita operatorului accesul la prelucrare, precum si rectificarea sau stergerea datelor cu caracter personal sau restrictionarea prelucrarii. Acest lucru ar putea sa se realizeze pe site-ul internet al autoritatii competente. In plus, in cazuri specifice si pentru a-i permite persoanei vizate sa isi exercite drepturile, persoana vizata ar trebui sa fie informata cu privire la temeiul juridic al prelucrarii si cu privire la cat timp vor fi stocate datele, in masura in care astfel de informatii suplimentare sunt necesare, avand in vedere circumstantele specifice in care sunt prelucrate datele, pentru a garanta o prelucrare echitabila in ceea ce priveste persoana vizata.
(43)
O persoana fizica ar trebui sa aiba drept de acces la datele colectate care o privesc si ar trebui sa isi exercite acest drept cu usurinta si la intervale de timp rezonabile, pentru a fi informata cu privire la prelucrare si pentru a verifica legalitatea acesteia. Orice persoana vizata ar trebui, prin urmare, sa aiba dreptul de a cunoaste si de a i se comunica in ce scopuri sunt prelucrate datele, pentru ce perioada sunt acestea prelucrate si care este identitatea destinatarilor datelor, inclusiv din tarile terte. Cand respectiva comunicare include informatii cu privire la originea datelor cu caracter personal, astfel de informatii nu ar trebui sa dezvaluie identitatea persoanelor fizice, in special a surselor confidentiale. Pentru ca acest drept sa fie respectat, este suficient ca persoana vizata sa detina o sinteza completa a respectivelor date intr-o forma inteligibila, adica o forma care sa permita persoanei vizate sa ia cunostinta de aceste date si sa verifice ca acestea sunt exacte si prelucrate in conformitate cu prezenta directiva, astfel incat persoana vizata sa poata sa isi exercite drepturile care ii sunt conferite prin prezenta directiva. O astfel de sinteza ar putea fi furnizata sub forma unei copii a datelor cu caracter personal care sunt in curs de prelucrare.
(44)
Statele membre ar trebui sa aiba posibilitatea de a adopta masuri legislative in vederea amanarii, a restrictionarii sau a omiterii informarii persoanelor vizate sau in vederea restrictionarii, integrale sau partiale, a accesului la datele lor cu caracter personal, in masura in care si atat timp cat o astfel de masura constituie o masura necesara si proportionala intr-o societate democratica, tinand seama in mod corespunzator de drepturile fundamentale si de interesele legitime ale persoanei fizice in cauza, pentru a se evita obstructionarea cercetarilor, a anchetelor sau a procedurilor oficiale sau judiciare, pentru a nu se afecta prevenirea, investigarea, depistarea sau urmarirea penala a infractiunilor sau executarea pedepselor, pentru a se apara securitatea publica sau securitatea nationala ori pentru a se apara drepturile si libertatile altor persoane. Operatorul ar trebui sa evalueze, prin intermediul unei examinari concrete si individuale a fiecarui caz in parte, daca dreptul de acces ar trebui sa fie limitat partial sau complet.
(45)
Orice refuz sau limitare a accesului ar trebui, in principiu, sa fie prezentata in scris persoanei vizate si ar trebui sa includa motivele de fapt si de drept pe care se bazeaza decizia.
(46)
Orice limitare a drepturilor persoanei vizate trebuie sa fie in conformitate cu Carta si cu CEDO, dupa cum a fost interpretata de jurisprudenta Curtii de Justitie si, respectiv, a Curtii Europene a Drepturilor Omului si, indeosebi, trebuie sa respecte esenta drepturilor si libertatilor respective.
(47)
O persoana fizica ar trebui sa aiba dreptul de a obtine rectificarea datelor cu caracter personal inexacte care o privesc, mai ales cand acestea se refera la fapte, precum si dreptul la stergerea datelor in cazul in care prelucrarea datelor respective nu respecta prezenta directiva. Cu toate acestea, dreptul la rectificare nu ar trebui sa afecteze, de exemplu, continutul depozitiilor martorilor. O persoana fizica ar trebui sa aiba, de asemenea, dreptul la restrictionarea prelucrarii atunci cand aceasta persoana contesta exactitatea datelor cu caracter personal si nu se poate stabili exactitatea sau inexactitatea lor sau in cazul in care datele cu caracter personal trebuie sa fie pastrate ca mijloace de proba. In special, in loc ca datele cu caracter personal sa fie sterse, prelucrarea ar trebui sa fie restrictionata daca intr-un caz specific exista motive intemeiate sa se considere ca stergerea lor ar putea afecta interesele legitime ale persoanei vizate. In acest caz, datele restrictionate ar trebui sa fie prelucrate doar in scopul care a impiedicat stergerea lor. Metodele de restrictionare a prelucrarii ar putea include, printre altele, transferul datelor selectate in alt sistem de prelucrare, de exemplu in scopuri de arhivare, sau anularea accesului utilizatorilor la datele selectate. In ceea ce priveste sistemele automatizate de evidenta a datelor, restrictionarea prelucrarii de date cu caracter personal ar trebui, in principiu, asigurata prin mijloace tehnice; faptul ca prelucrarea datelor cu caracter personal este restrictionata ar trebui indicat in sistem in asa fel incat sa se inteleaga clar ca aceasta restrictionare are loc. O astfel de rectificare sau stergere a datelor cu caracter personal sau restrictionare a prelucrarii ar trebui sa fie comunicata destinatarilor carora le-au fost divulgate datele si autoritatilor competente de la care provin datele inexacte. Operatorii ar trebui, de asemenea, sa nu comunice mai departe astfel de date.
(48)
In cazul in care operatorul refuza unei persoane vizate drepturile acesteia la informare, acces ori la rectificarea sau stergerea datelor cu caracter personal sau la restrictionarea prelucrarii, persoana vizata ar trebui sa aiba dreptul de a solicita ca autoritatea nationala de supraveghere sa verifice legalitatea prelucrarii. Persoana vizata ar trebui sa fie informata cu privire la acest drept. Atunci cand autoritatea de supraveghere actioneaza in numele persoanei vizate, persoana vizata ar trebui sa fie informata de catre autoritatea de supraveghere cel putin cu privire la faptul ca toate verificarile sau revizuirile necesare au fost efectuate de catre autoritatea de supraveghere. Autoritatea de supraveghere ar trebui, de asemenea, sa informeze persoana vizata in legatura cu dreptul de a introduce o cale de atac.
(49)
In cazul in care datele cu caracter personal sunt prelucrate in cadrul unei anchete penale si al unor actiuni in instanta in materie penala, statele membre ar trebui sa poata garanta exercitarea drepturilor la informare, acces si de rectificare sau stergere a datelor cu caracter personal si de restrictionare a prelucrarii in conformitate cu normele nationale privind procedurile judiciare.
(50)
Ar trebui sa se stabileasca responsabilitatea si raspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuata de catre acesta sau in numele sau. In special, operatorul ar trebui sa fie obligat sa puna in aplicare masuri adecvate si eficace si sa fie in masura sa demonstreze ca activitatile de prelucrare respecta prezenta directiva. Masurile respective ar trebui sa tina seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscul la adresa drepturilor si libertatilor persoanelor fizice. Masurile luate de operator ar trebui sa includa elaborarea si punerea in aplicare a unor garantii specifice cu privire la tratamentul datelor cu caracter personal ale persoanelor vulnerabile, in special ale copiilor.
(51)
Riscurile la adresa drepturilor si libertatilor persoanelor fizice, prezentand grade diferite de probabilitate si gravitate, pot fi rezultatul unei prelucrari a datelor care ar putea genera prejudicii de natura fizica, materiala sau morala, in special in cazurile in care: prelucrarea poate genera discriminare, furtul sau uzurparea identitatii, prejudiciu financiar, compromiterea reputatiei, pierderea confidentialitatii datelor protejate prin secret profesional, inversarea neautorizata a pseudonimizarii sau la orice alt prejudiciu semnificativ de natura economica sau sociala; persoanele vizate ar putea fi private de drepturile si libertatile lor sau de capacitatea de a-si exercita controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvaluie originea rasiala sau etnica, opiniile politice, religia sau convingerile filozofice, ori apartenenta sindicala; sunt prelucrate date genetice sau date biometrice pentru identificarea singulara a unei persoane sau date privind sanatatea sau date privind viata sexuala si orientarea sexuala sau condamnarile penale si infractiunile sau masurile de securitate conexe; sunt evaluate aspecte de natura personala, de exemplu analizarea si previzionarea unor aspecte privind randamentul la locul de munca, situatia economica, starea de sanatate, preferintele sau interesele personale, fiabilitatea sau comportamentul, localizarea sau deplasarile, in scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, in special ale copiilor; sau prelucrarea implica un volum mare de date cu caracter personal si afecteaza un numar larg de persoane vizate.
(52)
Probabilitatea si gravitatea riscului ar trebui sa fie determinate in raport de natura, domeniul de aplicare, contextul si scopurile prelucrarii. Riscul ar trebui sa faca obiectul unei evaluari obiective, prin care sa se stabileasca daca operatiunile de prelucrare a datelor prezinta un risc ridicat. Un risc ridicat este un risc deosebit de prejudiciere a drepturilor si libertatilor persoanelor vizate.
(53)
Protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura indeplinirea cerintelor din prezenta directiva. Punerea in aplicare a unor astfel de masuri nu ar trebui sa se intemeieze doar pe considerente economice. Pentru a fi in masura sa demonstreze respectarea prezentei directive, operatorul ar trebui sa adopte politici interne si sa puna in aplicare masuri care sa adere, in special, la principiul protectiei datelor incepand cu momentul conceperii si al protectiei implicite a datelor. In cazul in care operatorul a realizat o evaluare a impactului asupra protectiei datelor in temeiul prezentei directive, ar trebui sa se tina cont de rezultatele acesteia la elaborarea masurilor si procedurilor respective. Masurile ar putea consta, printre altele, in utilizarea pseudonimizarii, cat mai curand posibil. Utilizarea pseudonimizarii in sensul prezentei directive poate servi ca instrument care ar putea facilita, in special, libera circulatie a datelor cu caracter personal in cadrul spatiului de libertate, securitate si justitie.
(54)
Protectia drepturilor si libertatilor persoanelor vizate, precum si responsabilitatea si raspunderea operatorilor si a persoanelor imputernicite de catre operator, inclusiv in ceea ce priveste monitorizarea de catre autoritatile de supraveghere si masurile adoptate de acestea, necesita o atribuire clara a responsabilitatilor stabilite prin prezenta directiva, inclusiv in cazul in care un operator stabileste scopurile si mijloacele prelucrarii impreuna cu alti operatori sau in cazul in care o operatiune de prelucrare este efectuata in numele unui operator.
(55)
Efectuarea prelucrarii de catre o persoana imputernicita de catre un operator ar trebui sa fie reglementata printr-un act juridic care sa includa un contract care creeaza obligatii pentru persoana imputernicita de catre operator in raport cu operatorul si care sa stipuleze, in special, ca persoana imputernicita de catre operator ar trebui sa actioneze numai la instructiunile operatorului. Persoana imputernicita de catre operator ar trebui sa tina cont de principiul protectiei datelor incepand cu momentul conceperii si al protectiei implicite a datelor.
(56)
In vederea demonstrarii conformitatii cu prezenta directiva, operatorul sau persoana imputernicita de catre operator ar trebui sa pastreze evidente ale tuturor categoriilor de activitati de prelucrare aflate in responsabilitatea sa. Fiecare operator si fiecare persoana imputernicita de catre operator ar trebui sa aiba obligatia de a coopera cu autoritatea de supraveghere si de a pune la dispozitia acesteia, la cerere, aceste evidente, pentru a putea fi utilizate in scopul monitorizarii respectivelor operatiuni de prelucrare. Operatorul sau persoana imputernicita de catre operator care prelucreaza date cu caracter personal in sisteme de prelucrare neautomata ar trebui sa dispuna de metode eficiente pentru a demonstra legalitatea prelucrarii, a permite monitorizarea proprie si a garanta integritatea si securitatea datelor, precum inregistrari sau alte forme de evidente.
(57)
Inregistrarile ar trebui pastrate cel putin pentru operatiunile din cadrul sistemelor de prelucrare automata, precum colectarea, modificarea, consultarea, divulgarea, inclusiv transferurile, combinarea sau stergerea. Identificarea persoanei care a consultat sau divulgat date cu caracter personal ar trebui sa fie inregistrata si, plecand de la identificarea respectiva, ar putea fi posibil sa se stabileasca justificarea operatiunilor de prelucrare. Inregistrarile ar trebui sa fie utilizate numai pentru verificarea legalitatii prelucrarii, monitorizarea proprie, asigurarea integritatii si securitatii datelor si pentru proceduri penale. Monitorizarea proprie include, de asemenea, proceduri disciplinare interne ale autoritatilor competente.
(58)
Operatorul ar trebui sa realizeze o evaluare a impactului asupra protectiei datelor in cazurile in care operatiunile de prelucrare pot avea drept rezultat, prin natura, domeniul de aplicare sau scopurile lor, un risc ridicat la adresa drepturilor si libertatilor persoanelor vizate, evaluare care ar trebui sa includa in special masurile, garantiile si mecanismele preconizate in vederea asigurarii protectiei datelor cu caracter personal si a atestarii conformitatii cu prezenta directiva. Evaluarile impactului ar trebui sa acopere sistemele si procesele relevante aferente operatiunilor de prelucrare, si nu cazuri individuale.
(59)
Pentru a garanta protectia eficienta a drepturilor si libertatilor persoanelor vizate, operatorul sau persoana imputernicita de catre operator ar trebui sa se consulte cu autoritatea de supraveghere in anumite cazuri, inainte de prelucrare.
(60)
In vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca prezenta directiva, operatorul sau persoana imputernicita de catre operator ar trebui sa evalueze riscurile inerente prelucrarii si sa puna in aplicare masuri pentru atenuarea acestor riscuri, precum criptarea. Masurile respective ar trebui sa asigure un nivel corespunzator de securitate, inclusiv de confidentialitate, luand in considerare stadiul actual al tehnologiei, costurile punerii lor in aplicare in raport cu riscurile si natura datelor cu caracter personal a caror protectie trebuie asigurata. La evaluarea riscurilor la adresa securitatii datelor, ar trebui sa se acorde atentie riscurilor pe care le prezinta prelucrarea datelor, cum ar fi distrugerea, pierderea sau modificarea accidentala sau ilegala, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod, care pot duce in special la prejudicii fizice, materiale sau morale. Operatorul si persoana imputernicita de catre operator ar trebui sa se asigure ca prelucrarea datelor cu caracter personal nu se realizeaza de catre persoane neautorizate.
(61)
Daca nu este solutionata la timp si intr-un mod adecvat, o incalcare a securitatii datelor cu caracter personal poate genera prejudicii fizice, materiale sau morale persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau uzurpare de identitate, prejudiciu financiar, inversarea neautorizata a pseudonimizarii, compromiterea reputatiei, pierderea confidentialitatii datelor cu caracter personal protejate prin secret profesional sau orice alt prejudiciu important de natura economica sau sociala cauzat acelei persoane fizice. Prin urmare, de indata ce a luat cunostinta de producerea unei incalcari a securitatii datelor cu caracter personal, operatorul ar trebui sa notifice incalcarea securitatii datelor cu caracter personal autoritatii de supraveghere fara intarziere nejustificata si, daca este posibil, in cel mult 72 de ore dupa ce a luat cunostinta de existenta acesteia, cu exceptia cazului in care operatorul este in masura sa demonstreze, in conformitate cu principiul responsabilitatii, ca incalcarea securitatii datelor cu caracter personal nu este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice. Atunci cand notificarea nu se poate realiza in termen de 72 de ore, aceasta ar trebui sa cuprinda motivele intarzierii, iar informatiile pot fi furnizate treptat, fara alta intarziere.
(62)
Persoanele fizice ar trebui sa fie notificate fara intarziere in cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor fizice, pentru a le permite acestora sa ia masurile de precautie necesare. Notificarea ar trebui sa descrie natura incalcarii securitatii datelor cu caracter personal si sa formuleze recomandari pentru persoana fizica in cauza in scopul atenuarii eventualelor efecte negative. Notificarea persoanelor vizate ar trebui sa fie efectuate in cel mai scurt timp posibil in mod rezonabil si in stransa cooperare cu autoritatea de supraveghere si in conformitate cu orientarile furnizate de aceasta sau de alte autoritati relevante. De exemplu, necesitatea de a atenua un risc imediat de producere a unor prejudicii ar presupune notificarea cu promptitudine a persoanelor vizate, in timp ce necesitatea de a pune in aplicare masuri corespunzatoare impotriva incalcarii in continuare a securitatii datelor sau impotriva unor incalcari similare ale securitatii datelor ar putea justifica un termen mai indelungat. In cazul in care evitarea obstructionarii cercetarilor, a anchetelor sau a procedurilor oficiale sau judiciare, evitarea aducerii de prejudicii la adresa prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau a executarii pedepselor, a protejarii securitatii publice, a protejarii securitatii nationale sau a apararii drepturilor si libertatilor altora nu pot fi obtinute prin amanarea sau restrictionarea comunicarii unei incalcari a securitatii datelor cu caracter personal catre persoana fizica in cauza, o astfel de comunicare ar putea fi omisa in circumstante exceptionale.
(63)
Operatorul ar trebui sa desemneze o persoana care sa ii acorde asistenta pentru a monitoriza respectarea, la nivel intern, a dispozitiilor adoptate in temeiul prezentei directive, cu exceptia cazului in care un stat membru decide sa exonereze instantele si alte autoritati judiciare independente atunci cand actioneaza in exercitiul functiei lor judiciare. Persoana respectiva ar putea fi un membru al personalului existent al operatorului care a beneficiat de o formare speciala in materie de legislatie si practici privind protectia datelor pentru a dobandi cunostinte de specialitate in domeniul respectiv. Nivelul necesar al cunostintelor de specialitate ar trebui sa se stabileasca in special in functie de prelucrarea efectuata asupra datelor si de gradul de protectie impus pentru datele cu caracter personal prelucrate de catre operator. Indeplinirea sarcinilor sale poate fi efectuata cu norma intreaga sau cu fractiune de norma. Un responsabil cu protectia datelor poate fi numit in comun de mai multi operatori, tinand seama de structura organizatorica si de dimensiunea acestora, de exemplu in caz de resurse comune in unitatile centrale. Persoana respectiva poate fi, de asemenea, numita in posturi diferite in cadrul structurii operatorilor relevanti. Persoana respectiva ar trebui sa il ajute pe operator si pe angajatii care prelucreaza date cu caracter personal, prin informarea si consilierea acestora cu privire la respectarea obligatiilor relevante ale acestora in materie de protectie a datelor. Astfel de responsabili cu protectia datelor ar trebui sa fie in masura sa isi indeplineasca indatoririle si sarcinile in mod independent, in conformitate cu dreptul intern.
(64)
Statele membre ar trebui sa asigure ca transferul catre o tara terta sau catre o organizatie internationala are loc numai in cazul in care acest transfer este necesar pentru prevenirea, depistarea, investigarea sau urmarirea penala a infractiunilor sau pentru executarea pedepselor, inclusiv pentru protejarea impotriva amenintarilor la adresa securitatii publice si prevenirea acestora, iar operatorul din tara terta sau din organizatia internationala este o autoritate competenta in sensul prezentei directive. Un transfer ar trebui sa poata fi efectuat numai de catre autoritatile competente, actionand in calitate de operatori, cu exceptia cazului in care persoanele imputernicite de catre operatori primesc instructiuni in mod expres sa transfere in numele operatorilor. Un astfel de transfer poate avea loc in cazul in care Comisia decide ca tara terta sau organizatia internationala in cauza asigura un nivel adecvat de protectie, atunci cand se asigura garantii corespunzatoare ori cand se aplica derogari pentru situatii speciale. In cazul in care se transfera date cu caracter personal din Uniune catre operatori, persoane imputernicite de catre operatori sau alti destinatari din tari terte sau organizatii internationale, nivelul de protectie a persoanelor fizice garantat in Uniune prin prezenta directiva nu ar trebui sa fie diminuat, inclusiv in cazurile de transferuri ulterioare de date cu caracter personal dinspre tara terta sau organizatia internationala catre operatori sau persoane imputernicite de catre operatori din aceeasi sau dintr-o alta tara terta sau organizatie internationala.
(65)
In cazul transferului de date cu caracter personal de la un stat membru catre tari terte sau catre organizatii internationale, un astfel de transfer ar trebui sa aiba loc, in principiu, numai dupa ce statul membru de la care au fost obtinute datele a acordat o autorizatie in ceea ce priveste transferul. Interesele unei cooperari eficiente in domeniul aplicarii legii impun ca, in cazul in care natura unei amenintari la adresa securitatii publice a unui stat membru sau a unei tari terte sau la adresa intereselor fundamentale ale unui stat membru este atat de urgenta incat sa faca imposibila obtinerea unei autorizatii prealabile in timp util, autoritatea competenta ar trebui sa poata transfera datele cu caracter personal relevante catre tara terta sau organizatia internationala in cauza fara o astfel de autorizatie prealabila. Statele membre ar trebui sa prevada ca orice conditii specifice pentru transfer ar trebui sa fie comunicate tarilor terte sau organizatiilor internationale. Transferurile ulterioare de date cu caracter personal ar trebui sa faca obiectul autorizarii prealabile de catre autoritatea competenta care a realizat transferul initial. Atunci cand decide cu privire la o cerere de autorizare a unui transfer ulterior, autoritatea competenta care a realizat transferul initial ar trebui sa tina seama in mod corespunzator de toti factorii relevanti, inclusiv de gravitatea infractiunii, de conditiile specifice transferului si de scopul pentru care datele au fost transferate initial, de natura si conditiile executarii pedepsei, precum si de nivelul de protectie a datelor cu caracter personal din tara terta sau dintr-o organizatie internationala catre care datele cu caracter personal sunt transferate ulterior. Autoritatea competenta care a realizat transferul initial ar trebui, de asemenea, sa poata aplica transferului ulterior conditii specifice. Astfel de conditii specifice pot fi descrise, de exemplu, in coduri de utilizare.
(66)
Comisia ar trebui sa poata decide, cu efect in intreaga Uniune, ca anumite tari terte, un teritoriu ori unul sau mai multe sectoare determinate dintr-o tara terta sau o organizatie internationala ofera un nivel adecvat de protectie a datelor, furnizand astfel securitate juridica si uniformitate in intreaga Uniune in ceea ce priveste tarile terte sau organizatiile internationale care sunt considerate a furniza un astfel de nivel de protectie. In astfel de cazuri, transferurile de date cu caracter personal catre tarile respective ar trebui sa se poata realiza fara a fi necesara obtinerea unei autorizatii speciale, cu exceptia cazului in care un alt stat membru de la care au fost obtinute datele trebuie sa isi dea autorizatia pentru transfer.
(67)
In conformitate cu valorile fundamentale pe care se intemeiaza Uniunea, in special apararea drepturilor omului, Comisia ar trebui, in evaluarea sa referitoare la tara terta sau la un teritoriu sau la un sector determinat dintr-o tara terta, sa ia in considerare modul in care o anumita tara terta respecta statul de drept, accesul la justitie, precum si normele si standardele internationale in materie de drepturi ale omului si legislatia sa generala si sectoriala, inclusiv legislatia privind securitatea publica, apararea si securitatea nationala, precum si ordinea publica si dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protectie in ceea ce priveste un teritoriu sau un sector determinat dintr-o tara terta ar trebui sa tina seama de criterii clare si obiective, cum ar fi activitatile specifice de prelucrare si domeniul de aplicare al standardelor juridice aplicabile si legislatia in vigoare in tara terta respectiva. Tara terta ar trebui sa garanteze un nivel adecvat de protectie, echivalent in esenta celui asigurat in cadrul Uniunii, in special atunci cand datele sunt prelucrate in unul sau mai multe sectoare specifice. In special, tara terta ar trebui sa asigure o supraveghere efectiva independenta in materie de protectie a datelor si sa prevada mecanisme de cooperare cu autoritatile de protectie a datelor din statele membre, iar persoanele vizate ar trebui sa beneficieze de drepturi efective si opozabile si de reparatii efective pe cale administrativa si judiciara.
(68)
Pe langa angajamentele internationale asumate de tara terta sau de organizatia internationala, Comisia ar trebui sa tina seama si de obligatiile care decurg din participarea tarii terte sau a organizatiei internationale la sistemele multilaterale sau regionale, in special in ceea ce priveste protectia datelor cu caracter personal, precum si de punerea in aplicare a unor astfel de obligatii. In special, ar trebui sa fie luata in considerare aderarea tarii terte la Conventia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal si la protocolul aditional la aceasta. Comisia ar trebui sa consulte Comitetul european pentru protectia datelor instituit prin Regulamentul (UE) 2016/679 („comitetul”) atunci cand evalueaza nivelul de protectie din tarile terte sau din organizatiile internationale. De asemenea, Comisia ar trebui sa tina seama de orice decizie relevanta a Comisiei privind caracterul adecvat al nivelului de protectie, adoptata in conformitate cu articolul 45 din Regulamentul (UE) 2016/679.
(69)
Comisia ar trebui sa monitorizeze functionarea deciziilor privind nivelul de protectie dintr-o tara terta, un teritoriu sau un sector determinat dintr-o tara terta sau dintr-o organizatie internationala. In ceea ce priveste deciziile sale privind caracterul adecvat al nivelului de protectie, Comisia ar trebui sa prevada un mecanism de revizuire periodica a functionarii acestora. Aceasta revizuire periodica ar trebui sa se realizeze in consultare cu tara terta sau cu organizatia internationala in cauza si ar trebui sa ia in considerare toate evolutiile relevante din tara terta sau organizatia internationala.
(70)
Comisia ar trebui, de asemenea, sa fie in masura sa constate faptul ca o tara terta, un teritoriu sau un sector determinat dintr-o tara terta ori o organizatie internationala nu mai asigura un nivel corespunzator de protectie a datelor. In consecinta, transferul de date cu caracter personal catre tara terta sau organizatia internationala respectiva ar trebui sa fie interzis, cu exceptia cazului cand sunt indeplinite cerintele prevazute in prezenta directiva referitoare la transferul de date sub rezerva unor garantii adecvate si a unor derogari in situatii specifice. Ar trebui sa se prevada proceduri de consultare intre Comisie si astfel de tari terte sau organizatii internationale. Comisia ar trebui ca, in timp util, sa informeze tara terta sau organizatia internationala cu privire la aceste motive si sa initieze consultari cu aceasta pentru remedierea situatiei.
(71)
Transferurile care nu se intemeiaza pe o astfel de decizie privind caracterul adecvat al nivelului de protectie ar trebui sa fie permise numai in cazul in care au fost prezentate garantii corespunzatoare intr-un instrument cu caracter juridic obligatoriu, care sa asigure protectia datelor cu caracter personal, sau in cazul in care operatorul a evaluat toate circumstantele legate de datele transferate si, pe baza acestei evaluari, considera ca exista garantii adecvate in ceea ce priveste protectia datelor cu caracter personal. Astfel de instrumente cu caracter juridic obligatoriu ar putea fi, de exemplu, acorduri bilaterale cu caracter juridic obligatoriu care au fost incheiate de statele membre si puse in aplicare in ordinea juridica a acestora si a caror respectare poate fi impusa de catre persoanele vizate din respectivele state membre, asigurand respectarea cerintelor in materie de protectie a datelor si drepturile persoanelor vizate, inclusiv dreptul de a obtine reparatii efective pe cale administrativa sau judiciara. Operatorul ar trebui sa ia in considerare acordurile de cooperare incheiate intre Europol sau Eurojust si tari terte care permit schimbul de date cu caracter personal atunci cand se efectueaza evaluarea tuturor circumstantelor legate de transferul de date. Operatorul ar trebui, de asemenea, sa poata lua in considerare faptul ca transferul de date cu caracter personal va fi supus obligatiilor de confidentialitate si principiului specificitatii, asigurandu-se ca datele nu vor fi prelucrate in alte scopuri decat cel al transferului. In plus, operatorul ar trebui sa ia in considerare faptul ca datele cu caracter personal nu vor fi folosite pentru a solicita, a pronunta sau a executa pedeapsa cu moartea sau orice alta forma de tratament crud si inuman. Chiar daca aceste conditii ar putea fi considerate garantii adecvate care sa permita transferul de date, operatorul ar trebui sa poata solicita garantii suplimentare.
(72)
In cazul in care nu exista nicio decizie privind caracterul adecvat al nivelului de protectie sau nicio garantie adecvata, un transfer sau o categorie de transferuri poate avea loc numai in situatii specifice, daca este necesar in scopul protejarii intereselor vitale ale persoanei vizate sau ale unei alte persoane sau al protejarii intereselor legitime ale persoanei vizate, in cazul in care se prevede astfel in dreptul statului membru care transfera datele cu caracter personal; pentru prevenirea unei amenintari imediate si grave la adresa securitatii publice a unui stat membru sau a unei tari terte; intr-un caz specific, in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv in scopul protejarii impotriva amenintarilor la adresa securitatii publice; sau, intr-un caz specific, pentru constatarea, exercitarea sau apararea unui drept in instanta. Aceste derogari ar trebui interpretate restrictiv si nu ar trebui sa permita transferuri frecvente, masive si structurale de date cu caracter personal sau transferuri la scara larga de date, ci ar trebui sa se limiteze la datele strict necesare. Astfel de transferuri ar trebui sa fie documentate si sa fie puse la dispozitia autoritatii de supraveghere la cerere, in scopul monitorizarii legalitatii transferului.
(73)
Autoritatile competente ale statelor membre aplica acordurile internationale bilaterale sau multilaterale in vigoare, incheiate cu tari terte in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti, in schimbul obtinerii de informatii relevante care sa le permita sa isi indeplineasca sarcinile atribuite in mod legal. In principiu, acest lucru are loc prin intermediul sau cel putin cu cooperarea autoritatilor competente din tarile terte implicate in scopul prezentei directive, uneori chiar in absenta unui acord international bilateral sau multilateral. Cu toate acestea, in anumite cazuri individuale, procedurile obisnuite care necesita contactarea autoritatii din tara terta pot fi ineficiente sau inadecvate, in special din cauza faptului ca transferul nu poate fi efectuat in timp util sau din cauza faptului ca autoritatea din tara terta nu respecta statul de drept sau normele si standardele internationale in materie de drepturi ale omului, astfel incat autoritatile competente ale statelor membre ar putea decide sa transfere datele cu caracter personal direct beneficiarilor stabiliti in tari terte. Acesta ar putea fi cazul atunci cand exista o nevoie urgenta de a transfera date cu caracter personal pentru a salva viata unei persoane care se afla in pericol de a deveni victima a unei infractiuni sau in interesul prevenirii savarsirii iminente a unei infractiuni, inclusiv a terorismului. Chiar daca acest transfer intre autoritatile competente si destinatarii stabiliti in tari terte ar trebui sa aiba loc numai in anumite cazuri individuale, prezenta directiva ar trebui sa prevada conditiile pentru reglementarea unor astfel de cazuri. Aceste dispozitii nu ar trebui sa fie considerate derogari de la niciun acord international bilateral sau multilateral existent in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti. Aceste norme ar trebui sa se aplice in completarea altor norme din directiva, in special cele cu privire la legalitatea prelucrarii si cele din capitolul V.
(74)
Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit capacitatea persoanelor fizice de a-si exercita drepturile in materie de protectie a datelor pentru a se proteja impotriva utilizarii sau a divulgarii ilegale a acestor date. In acelasi timp, autoritatile de supraveghere pot constata ca se afla in imposibilitatea de a da curs unor plangeri sau de a efectua investigatii referitoare la activitatile desfasurate in afara frontierelor lor. Eforturile lor de a conlucra in context transfrontalier pot fi, de asemenea, ingreunate de insuficienta competentelor de prevenire sau remediere si de caracterul eterogen al regimurilor juridice. Prin urmare, este necesar sa se promoveze o cooperare mai stransa intre autoritatile de supraveghere a protectiei datelor pentru a le ajuta sa faca schimb de informatii cu omologii lor straini.
(75)
Instituirea in statele membre a unor autoritati de supraveghere capabile sa isi exercite atributiile in deplina independenta reprezinta un element esential al protectiei persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal. Autoritatile de supraveghere ar trebui sa monitorizeze aplicarea dispozitiilor adoptate in temeiul prezentei directive si ar trebui sa contribuie la aplicarea ei consecventa in intreaga Uniune, in scopul asigurarii protectiei persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal. In acest scop, autoritatile de supraveghere ar trebui sa coopereze intre ele si cu Comisia.
(76)
Statele membre pot incredinta unei autoritati de supraveghere deja infiintate in temeiul Regulamentului (UE) 2016/679 responsabilitatea pentru sarcinile care urmeaza sa fie indeplinite de catre autoritatile nationale de supraveghere care urmeaza a fi infiintate in temeiul prezentei directive.
(77)
Statele membre ar trebui sa aiba posibilitatea de a institui mai multe autoritati de supraveghere, pentru a reflecta structura lor constitutionala, organizatorica si administrativa. Fiecare autoritate de supraveghere ar trebui sa beneficieze de resurse financiare si umane, de localuri si de infrastructura necesare pentru indeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistenta reciproca si cooperarea cu alte autoritati de supraveghere in intreaga Uniune. Fiecare autoritate de supraveghere ar trebui sa aiba un buget public anual distinct, care poate face parte din bugetul general de stat sau national.
(78)
Autoritatile de supraveghere ar trebui sa faca obiectul unui control independent sau al unor mecanisme de monitorizare in ceea ce priveste cheltuielile lor financiare, cu conditia ca acest control financiar sa nu le afecteze independenta.
(79)
Conditiile generale pentru membrul sau membrii autoritatii de supraveghere ar trebui stabilite prin dreptul intern si ar trebui, in special, sa prevada ca respectivii membri ar trebui sa fie numiti de parlamentul si/sau de guvernul ori de seful de stat al statului membru in cauza, pe baza unei propuneri din partea guvernului sau a unui membru al guvernului ori din partea parlamentului sau camerei acestuia, ori de catre un organism independent imputernicit prin dreptul intern sa faca numirea prin intermediul unei proceduri transparente. In vederea asigurarii independentei autoritatii de supraveghere, membrul sau membrii acesteia ar trebui sa dea dovada de integritate, nu ar trebui sa intreprinda actiuni incompatibile cu indatoririle lor, iar, pe durata mandatului, nu ar trebui sa desfasoare activitati incompatibile, remunerate sau nu. In vederea asigurarii independentei autoritatii de supraveghere, personalul ar trebui sa fie ales de autoritatea de supraveghere, ceea ce poate include o interventie din partea unui organism independent imputernicit in acest sens prin dreptul intern.
(80)
Cu toate ca prezenta directiva se aplica, de asemenea, activitatilor instantelor nationale si ale altor autoritati judiciare, prelucrarea datelor cu caracter personal nu ar trebui sa fie de competenta autoritatilor de supraveghere atunci cand instantele actioneaza in exercitiul functiei lor judiciare, in scopul asigurarii independentei judecatorilor in indeplinirea sarcinilor lor judiciare. Aceasta derogare ar trebui sa se limiteze la activitati judiciare in cadrul actiunilor in instanta si sa nu se aplice altor activitati in care judecatorii ar putea fi implicati, in conformitate cu dreptul intern. Statele membre ar trebui, de asemenea, sa poata sa prevada faptul ca nu este de competenta autoritatii de supraveghere prelucrarea datelor cu caracter personal ale altor autoritati judiciare independente care actioneaza in exercitiul functiei lor judiciare, de exemplu ministerul public. In orice caz, respectarea normelor prezentei directive de catre instante si alte autoritati judiciare independente face intotdeauna obiectul unei supravegheri independente in conformitate cu articolul 8 alineatul (3) din Carta.
(81)
Fiecare autoritate de supraveghere ar trebui sa trateze plangerile depuse de orice persoana vizata si ar trebui sa investigheze cazul sau sa-l transmita autoritatii de supraveghere competente. Investigatia in urma unei plangeri ar trebui sa fie efectuata, sub rezerva controlului jurisdictional, in masura necesara fiecarui caz. Autoritatea de supraveghere ar trebui sa informeze persoana vizata cu privire la evolutia si solutionarea plangerii intr-un termen rezonabil. In eventualitatea in care cazul necesita o investigare suplimentara sau coordonarea cu o alta autoritate de supraveghere, ar trebui sa se furnizeze informatii intermediare persoanei vizate.
(82)
Pentru a se asigura eficacitatea, fiabilitatea si consecventa monitorizarii respectarii si a aplicarii prezentei directive in intreaga Uniune, in conformitate cu TFUE, astfel cum a fost interpretat de Curtea de Justitie, autoritatilor de supraveghere din fiecare stat membru ar trebui sa le revina aceleasi sarcini si competente efective, inclusiv competente de investigare, corective si de consiliere, care constituie mijloace necesare pentru indeplinirea sarcinilor lor. Cu toate acestea, competentele acestora nu ar trebui sa afecteze normele speciale de procedura penala, inclusiv cele referitoare la investigarea si urmarirea penala a infractiunilor, sau independenta justitiei. Fara a aduce atingere competentelor autoritatilor de urmarire penala in temeiul dreptului intern, autoritatile de supraveghere ar trebui sa aiba, de asemenea, competenta de a aduce in atentia autoritatilor judiciare cazurile de incalcare a prezentei directive sau de a desfasura proceduri judiciare. Competentele autoritatilor de supraveghere ar trebui sa fie exercitate in conformitate cu garantiile procedurale adecvate prevazute in dreptul Uniunii si in dreptul intern, in mod impartial, echitabil si intr-un termen rezonabil. In special, fiecare masura ar trebui sa fie adecvata, necesara si proportionala in scopul de a asigura conformitatea cu prezenta directiva, luand in considerare circumstantele fiecarui caz in parte, sa respecte dreptul oricarei persoane de a fi ascultata inainte de a fi luata orice masura individuala care ar putea sa ii aduca atingere si sa evite costurile inutile si inconvenientele excesive pentru persoanele in cauza. Competentele de investigare in ceea ce priveste accesul in incinte ar trebui exercitate in conformitate cu cerintele specifice din dreptul intern, cum ar fi obligatia de a obtine in prealabil o autorizare judiciara. Adoptarea unei decizii obligatorii din punct de vedere juridic ar trebui sa faca obiectul controlului jurisdictional in statul membru al autoritatii de supraveghere care a adoptat decizia.
(83)
Autoritatile de supraveghere ar trebui sa se sprijine reciproc in indeplinirea sarcinilor care le revin si ar trebui sa isi acorde asistenta reciproca, pentru a se asigura aplicarea consecventa a dispozitiilor adoptate in temeiul prezentei directive.
(84)
Comitetul, ar trebui sa contribuie la aplicarea coerenta a prezentei directive in intreaga Uniune, inclusiv prin consilierea Comisiei si prin promovarea cooperarii autoritatilor de supraveghere in intreaga Uniune.
(85)
Orice persoana vizata ar trebui sa aiba dreptul de a depune o plangere la o singura autoritate de supraveghere si la o cale de atac eficienta in conformitate cu articolul 47 din Carta, in cazul in care persoana vizata considera ca sunt incalcate drepturile care ii revin in conformitate cu dispozitiile adoptate in temeiul prezentei directive sau in cazul in care autoritatea de supraveghere nu da curs unei plangeri, respinge sau refuza partial sau total o plangere sau nu actioneaza atunci cand o astfel de actiune este necesara pentru asigurarea protectiei drepturilor persoanei vizate. Investigatia in urma unei plangeri ar trebui sa fie efectuata, facand obiectul controlului jurisdictional, in masura in care este necesar, in functie de caz. Autoritatea de supraveghere competenta ar trebui sa informeze persoana vizata cu privire la evolutia si solutionarea plangerii intr-un termen rezonabil. In eventualitatea in care cazul necesita o investigare suplimentara sau coordonarea cu o alta autoritate de supraveghere, ar trebui sa se furnizeze informatii intermediare persoanei vizate. In vederea facilitarii depunerii plangerilor, fiecare autoritate de supraveghere ar trebui sa ia masuri precum punerea la dispozitie a unui formular de depunere a plangerii, care sa poata fi completat inclusiv in format electronic, fara a exclude alte mijloace de comunicare.
(86)
Orice persoana fizica sau juridica ar trebui sa aiba dreptul la o cale de atac eficienta in fata instantei nationale competente, impotriva unei decizii a unei autoritati de supraveghere care produce efecte juridice privind persoana respectiva. O astfel de decizie se refera in special la exercitarea competentelor de investigare, corective si de autorizare de catre autoritatea de supraveghere sau la refuzul sau respingerea plangerilor. Cu toate acestea, dreptul respectiv nu priveste alte masuri ale autoritatilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consultanta furnizata de aceasta. Actiunile initiate impotriva unei autoritati de supraveghere ar trebui sa fie aduse in fata instantelor statului membru in care este stabilita autoritatea de supraveghere si ar trebui sa se desfasoare in conformitate cu dreptul intern al statului membru respectiv. Respectivele instante ar trebui sa isi exercite competenta deplina, care ar trebui sa includa competenta de a examina toate aspectele de fapt sau de drept care au relevanta pentru litigiul cu care acestea sunt sesizate.
(87)
In cazul in care persoana vizata considera ca drepturile sale in temeiul prezentei directive sunt incalcate, aceasta ar trebui sa aiba dreptul sa mandateze un organism care are drept obiectiv asigurarea protectiei drepturilor si a intereselor persoanelor vizate in ceea ce priveste protectia datelor acestora cu caracter personal si este constituit in conformitate cu dreptul intern, sa depuna o plangere in numele persoanei vizate la o autoritate de supraveghere sau sa exercite dreptul la o cale de atac. Dreptul de reprezentare a persoanelor vizate ar trebui sa nu aduca atingere dreptului procedural intern care poate impune reprezentarea in mod obligatoriu a persoanelor vizate de un avocat, astfel cum este definit in Directiva 77/249/CEE a Consiliului (10), in fata instantelor nationale.
(88)
Orice dauna pe care o persoana o poate suferi ca urmare a unei prelucrari care incalca dispozitiile adoptate in temeiul prezentei directive ar trebui sa fie despagubita de operator sau de orice alta autoritate competenta in conformitate cu dreptul intern respectiv. Conceptul de „prejudiciu” ar trebui interpretat, in sens larg, din perspectiva jurisprudentei Curtii de Justitie, intr-un mod care sa reflecte pe deplin obiectivele prezentei directive. Prezenta dispozitie nu aduce atingere niciunei actiuni in despagubire care rezulta din incalcarea altor norme din dreptul Uniunii sau din dreptul intern. Atunci cand se face trimitere la o prelucrare care este ilegala sau care incalca dispozitiile adoptate in temeiul prezentei directive, trimiterea vizeaza si prelucrarea care nu respecta actele de punere in aplicare adoptate in temeiul prezentei directive. Persoanele vizate ar trebui sa primeasca despagubiri integrale si efective pentru prejudiciile suferite.
(89)
Ar trebui sa se aplice sanctiuni oricarei persoane fizice sau juridice, de drept privat sau public, care incalca prezenta directiva. Statele membre ar trebui sa se asigure ca sanctiunile sunt eficace, proportionale si disuasive si ar trebui sa adopte toate masurile pentru aplicarea sanctiunilor.
(90)
In vederea asigurarii unor conditii uniforme de punere in aplicare a prezentei directive, Comisiei ar trebui sa i confere competente de executare referitor la nivelul adecvat de protectie oferit de o tara terta, de un teritoriu sau de un sector determinat din tara terta respectiva sau de o organizatie internationala, formatul si procedurile pentru asistenta reciproca si modalitatile de schimb de informatii prin mijloace electronice intre autoritatile de supraveghere, precum si intre autoritatile de supraveghere si comitet. Competentele respective ar trebui sa fie exercitate in conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European si al Consiliului (11).
(91)
Procedura de examinare ar trebui sa fie utilizata pentru adoptarea actelor de punere in aplicare privind nivelul adecvat de protectie oferit de o tara terta, de un teritoriu sau de un sector determinat din tara terta respectiva sau de o organizatie internationala, precum si privind formatul si procedurile pentru asistenta reciproca si modalitatile de schimb de informatii prin mijloace electronice intre autoritatile de supraveghere si intre autoritatile de supraveghere si comitet, tinand seama de faptul ca actele respective au un caracter general.
(92)
Comisia ar trebui sa adopte acte de punere in aplicare imediat aplicabile atunci cand acest lucru se impune din motive imperative de urgenta, in cazuri justificate in mod corespunzator referitoare la o tara terta, la un teritoriu sau la un sector determinat din tara terta respectiva sau la o organizatie internationala care nu mai asigura un nivel de protectie adecvat.
(93)
Intrucat obiectivele prezentei directive, si anume protejarea drepturilor si a libertatilor fundamentale ale persoanelor fizice, in special dreptul acestora la protectia datelor cu caracter personal si asigurarea liberului schimb de date cu caracter personal de catre autoritatile competente in cadrul Uniunii, nu pot fi realizate in mod satisfacator de catre statele membre ci, datorita amplorii sau a efectelor actiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate adopta masuri, in conformitate cu principiul subsidiaritatii, astfel cum este definit la articolul 5 din TUE. In conformitate cu principiul proportionalitatii, astfel cum este definit la articolul respectiv, prezenta directiva nu depaseste ceea ce este necesar pentru realizarea obiectivelor mentionate.
(94)
Dispozitiile speciale din actele Uniunii adoptate in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti, care au fost adoptate inainte de data adoptarii prezentei directive, care reglementeaza prelucrarea datelor cu caracter personal intre statele membre sau accesul autoritatilor desemnate ale statelor membre la sistemele de informatii stabilite in conformitate cu tratatele, ar trebui sa ramana neatinse, cum ar fi, de exemplu, dispozitiile speciale referitoare la protectia datelor cu caracter personal aplicate in conformitate cu Decizia 2008/615/JAI a Consiliului (12), sau articolul 23 din Conventia privind asistenta judiciara reciproca in materie penala intre statele membre ale Uniunii Europene (13). Intrucat articolul 8 din Carta si articolul 16 din TFUE prevad ca dreptul fundamental la protectia datelor cu caracter personal trebuie sa fie asigurat in mod consecvent in intreaga Uniune, Comisia ar trebui sa evalueze situatia in ceea ce priveste relatia dintre prezenta directiva si actele adoptate inainte de data adoptarii prezentei directive care reglementeaza prelucrarea datelor cu caracter personal intre statele membre si accesul autoritatilor desemnate de statele membre la sistemele de informatii instituite in conformitate cu tratatele, pentru a evalua necesitatea alinierii acestor dispozitii specifice cu prezenta directiva. Daca este cazul, Comisia ar trebui sa prezinte propuneri cu scopul de a asigura norme juridice coerente privind prelucrarea datelor cu caracter personal.
(95)
In vederea asigurarii unei protectii globale si consecvente a datelor cu caracter personal in cadrul Uniunii, acordurile internationale care au fost incheiate de catre statele membre inainte de data intrarii in vigoare a prezentei directive si care respecta dispozitiile relevante din dreptul Uniunii aplicabil inainte de data respectiva ar trebui sa ramana in vigoare pana la data la care sunt modificate, inlocuite sau revocate.
(96)
Statelor membre ar trebui sa le fie acordat un termen de cel mult doi ani de la data intrarii in vigoare a prezentei directive in vederea transpunerii sale. Prelucrarile in derulare la data mentionata ar trebui sa fie aduse in conformitate cu prezenta directiva in termen de doi ani de la data intrarii in vigoare a prezentei directive. Cu toate acestea, in cazul in care o astfel de prelucrare respecta dreptul Uniunii aplicabil inainte de data intrarii in vigoare a prezentei directive, cerintele din prezenta directiva cu privire la consultarea prealabila a autoritatii de supraveghere nu ar trebui sa se aplice operatiunilor de prelucrare aflate deja in derulare la data mentionata, avand in vedere ca respectivele cerinte, prin insasi natura lor, trebuie sa fie indeplinite inainte de prelucrare. In cazul in care statele membre aplica termenul mai lung pentru punerea in aplicare, care expira dupa sapte ani de la data intrarii in vigoare a prezentei directive, pentru indeplinirea obligatiilor de inregistrare pentru sistemele de prelucrare automata instituite inainte de data respectiva, operatorul sau persoana imputernicita de catre operator ar trebui sa dispuna de metode eficiente pentru a demonstra legalitatea prelucrarii datelor, a permite monitorizarea proprie si a garanta integritatea si securitatea datelor, precum inregistrari sau alte forme de evidente.
(97)
Prezenta directiva se aplica fara a aduce atingere normelor privind combaterea abuzului sexual, a exploatarii sexuale a copiilor si a pornografiei infantile, astfel cum se prevede in Directiva 2011/93/UE a Parlamentului European si a Consiliului (14).
(98)
Decizia-cadru 2008/977/JAI a Consiliului ar trebui, prin urmare, sa fie abrogata.
(99)
In conformitate cu articolul 6a din Protocolul nr. 21 privind pozitia Regatului Unit si a Irlandei in ceea ce priveste spatiul de libertate, securitate si justitie, anexat la TUE si la TFUE, Regatului Unit si Irlandei nu le revin obligatii in temeiul normelor stabilite in prezenta directiva referitoare la prelucrarea datelor cu caracter personal de catre statele membre in exercitarea activitatilor care intra in domeniul de aplicare al partii a treia titlul V capitolul 4 sau 5 din TFUE, atat timp cat Regatului Unit sau Irlandei nu le revin obligatii in temeiul normelor Uniunii privind formele de cooperare judiciara in materie penala sau de cooperare politieneasca care necesita respectarea dispozitiilor stabilite in temeiul articolului 16 din TFUE.
(100)
In conformitate cu articolele 2 si 2a din Protocolul nr. 22 privind pozitia Danemarcei, astfel cum a fost anexat la TUE si la TFUE, Danemarcei nu ii revin obligatii in temeiul normelor stabilite in prezenta directiva si acestea nu i se aplica in ceea ce priveste prelucrarea datelor cu caracter personal de catre statele membre in exercitarea activitatilor care intra sub incidenta partii a treia titlul V capitolul 4 sau 5 din TFUE. Avand in vedere faptul ca prezenta directiva constituie o dezvoltare a acquis-ului Schengen, in temeiul partii a treia titlul V din TFUE, Danemarca decide, in conformitate cu articolul 4 din protocolul respectiv, in termen de sase luni de la adoptarea prezentei directive, daca o va pune in aplicare in dreptul sau intern.
(101)
In ceea ce priveste Islanda si Norvegia, prezenta directiva constituie o dezvoltare a dispozitiilor acquis-ului Schengen, in conformitate cu Acordul incheiat intre Consiliul Uniunii Europene si de Republica Islanda si Regatul Norvegiei in ceea ce priveste asocierea acestor doua state la implementarea, aplicarea si dezvoltarea acquis-ului Schengen (15).
(102)
In ceea ce priveste Elvetia, prezenta directiva constituie o dezvoltare a dispozitiilor acquis-ului Schengen, in conformitate cu Acordul dintre Uniunea Europeana, Comunitatea Europeana si Confederatia Elvetiana privind asocierea Confederatiei Elvetiene la punerea in aplicare, respectarea si dezvoltarea acquis-ului Schengen (16).
(103)
In ceea ce priveste Liechtenstein, prezenta directiva reprezinta o dezvoltare a dispozitiilor acquis-ului Schengen, astfel cum se prevede in Protocolul dintre Uniunea Europeana, Comunitatea Europeana, Confederatia Elvetiana si Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeana, Comunitatea Europeana si Confederatia Elvetiana privind asocierea Confederatiei Elvetiene la punerea in aplicare, respectarea si dezvoltarea acquis-ului Schengen (17).
(104)
Prezenta directiva respecta drepturile fundamentale si principiile recunoscute de carta, astfel cum sunt consacrate in TFUE, in special dreptul la respectarea vietii private si de familie, dreptul la protectia datelor cu caracter personal, dreptul la o cale de atac eficienta si la un proces echitabil. Limitarile aduse acestor drepturi sunt in conformitate cu articolul 52 alineatul (1) din Carta intrucat sunt necesare pentru atingerea obiectivelor de interes general recunoscute de Uniune sau pentru a proteja drepturile si libertatile celorlalti.
(105)
In conformitate cu Declaratia politica comuna a statelor membre si a Comisiei din 28 septembrie 2011 privind documentele explicative, statele membre s-au angajat sa insoteasca, in cazurile justificate, notificarea masurilor de transpunere cu unul sau mai multe documente care sa explice relatia dintre componentele unei directive si partile corespunzatoare din masurile nationale de transpunere. In ceea ce priveste prezenta directiva, legiuitorul considera ca este justificata transmiterea unor astfel de documente.
(106)
Autoritatea Europeana pentru Protectia Datelor a fost consultata in conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 si a emis un aviz la data de 7 martie 2012 (18).
(107)
Prezenta directiva nu ar trebui sa impiedice statele membre sa puna in aplicare exercitarea, in cadrul procedurilor penale, a drepturilor persoanelor vizate cu privire la informare, acces si rectificarea sau stergerea datelor cu caracter personal si restrictionare a prelucrarii, precum si eventualele limitari ale acestor drepturi in normele procedurale penale de drept intern,
ADOPTA PREZENTA DIRECTIVA:
CAPITOLUL I
Dispozitii generale
Articolul 1
Obiect si obiective
(1) Prezenta directiva stabileste normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora.
(2) In conformitate cu prezenta directiva, statele membre:
(a)
protejeaza drepturile si libertatile fundamentale ale persoanelor fizice, in special dreptul acestora la protectia datelor cu caracter personal; si
(b)
se asigura ca schimbul de date cu caracter personal de catre autoritatile competente in cadrul Uniunii, in cazul in care schimbul respectiv de informatii este impus de dreptul Uniunii sau de dreptul intern, nu este limitat sau interzis din motive legate de protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal.
(3) Prezenta directiva nu impiedica statele membre sa prevada garantii sporite fata de cele stabilite in prezenta directiva pentru protectia drepturilor si libertatilor persoanelor vizate in ceea ce priveste prelucrarea datelor cu caracter personal de catre autoritatile competente.
Articolul 2
Domeniul de aplicare
(1) Prezenta directiva se aplica prelucrarii datelor cu caracter personal de catre autoritatile competente in scopurile prevazute la articolul 1 alineatul (1).
(2) Prezenta directiva se aplica prelucrarii datelor cu caracter personal realizate integral sau partial prin mijloace automatizate, precum si prelucrarii prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor sau care urmeaza sa faca parte dintr-un sistem de evidenta a datelor.
(3) Prezenta directiva nu se aplica prelucrarii datelor cu caracter personal:
(a)
in cadrul unei activitati care nu intra sub incidenta dreptului Uniunii;
(b)
de catre institutiile, organele, oficiile si agentiile Uniunii.
Articolul 3
Definitii
In sensul prezentei directive:
1.
„date cu caracter personal” inseamna orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
2.
„prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvaluirea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
3.
„restrictionarea prelucrarii” inseamna marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;
4.
„creare de profiluri” inseamna orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau a preconiza aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, localizarea sau deplasarile respectivei persoane fizice;
5.
„pseudonimizare” inseamna prelucrarea datelor cu caracter personal intr-un asemenea mod incat acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, in masura in care aceste informatii suplimentare sunt stocate separat si fac obiectul unor masuri de natura tehnica si organizatorica destinate sa garanteze neatribuirea unei persoane fizice identificate sau identificabile;
6.
„sistem de evidenta a datelor” inseamna orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate dupa criterii functionale sau geografice;
7.
„autoritate competenta” inseamna:
(a)
orice autoritate publica competenta in materie de prevenire, depistare, investigare sau urmarire penala a infractiunilor sau de executare a pedepselor, inclusiv in materie de protejare impotriva amenintarilor la adresa securitatii publice si de prevenire a acestora; sau
(b)
orice alt organism sau entitate imputernicit(a) de dreptul intern sa exercite autoritate publica si competente publice in scopul in prevenirii, depistarii, investigarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa securitatii publice si al prevenirii acestora;
8.
„operator” inseamna autoritatea competenta care, singura sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele de prelucrare sunt stabilite prin dreptul Uniunii sau prin dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin dreptul intern;
9.
„persoana imputernicita de catre operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
10.
„destinatar” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau un alt organism caruia ii sunt transmise datele cu caracter personal, fie ca aceasta este sau nu o parte terta; sunt exceptate, cu toate acestea, autoritatile publice care pot primi date cu caracter personal in cadrul unei anumite anchete in conformitate cu dreptul intern, iar prelucrarea datelor cu caracter personal respective de catre acestea respecta normele aplicabile in materie de protectie a datelor in conformitate cu scopurile prelucrarii;
11.
„incalcarea securitatii datelor cu caracter personal” inseamna o incalcare a securitatii, care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod;
12.
„date genetice” inseamna datele cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice care ofera informatii unice privind fiziologia sau sanatatea respectivei persoane fizice, astfel cum rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la acea persoana fizica;
13.
„date biometrice” inseamna date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice, referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirma identificarea unica a respectivei persoane fizice, cum ar fi imaginile faciale sau datele dactiloscopice;
14.
„date privind sanatatea” inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv acordarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;
15.
„autoritate de supraveghere” inseamna o autoritate publica independenta instituita de un stat membru in temeiul articolului 41;
16.
„organizatie internationala” inseamna o organizatie si organismele sale subordonate reglementate de dreptul international public sau orice alt organism care este instituit printr-un acord incheiat intre doua sau mai multe tari sau in temeiul unui astfel de acord.
CAPITOLUL II
Principii
Articolul 4
Principii referitoare la prelucrarea datelor cu caracter personal
(1) Statele membre garanteaza ca datele cu caracter personal:
(a)
sunt prelucrate in mod legal si echitabil;
(b)
sunt colectate in scopuri determinate, explicite si legitime si nu sunt prelucrate intr-un mod incompatibil cu aceste scopuri;
(c)
sunt adecvate, relevante si neexcesive in ceea ce priveste scopurile in care sunt prelucrate;
(d)
sunt exacte si, daca este necesar, sunt actualizate; trebuie sa se ia toate masurile rezonabile pentru a asigura faptul ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sa fie sterse sau rectificate fara intarziere;
(e)
sunt pastrate intr-o forma care permite identificarea persoanelor vizate pe o perioada care nu depaseste perioada necesara indeplinirii scopurilor pentru care sunt prelucrate datele respective;
(f)
sunt prelucrate intr-un mod care sa asigure securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.
(2) Prelucrarea de catre acelasi operator sau de catre un altul, in oricare dintre scopurile stabilite la articolul 1 alineatul (1), altele decat cele pentru care datele cu caracter personal au fost colectate, este permisa in masura in care:
(a)
operatorul este autorizat sa prelucreze astfel de date cu caracter personal in scopul respectiv, in conformitate cu dreptul Uniunii sau cu dreptul intern; si
(b)
prelucrarea este necesara si proportionala in raport cu respectivul alt scop, in conformitate cu dreptul Uniunii sau cu dreptul intern.
(3) Prelucrarea de catre acelasi operator sau de catre un altul poate include arhivarea in interes public sau in scopuri stiintifice, statistice sau istorice pentru scopurile stabilite la articolul 1 alineatul (1), cu conditia unor garantii adecvate pentru drepturile si libertatile persoanelor vizate.
(4) Operatorul este responsabil de respectarea alineatelor (1), (2) si (3) si poate demonstra acest lucru.
Articolul 5
Termene pentru stocare si revizuire
Statele membre garanteaza stabilirea unor termene corespunzatoare pentru stergerea datelor cu caracter personal sau pentru o revizuire periodica a necesitatii de stocare a datelor cu caracter personal. Respectarea acestor termene este asigurata prin masuri procedurale.
Articolul 6
Distinctia intre diferitele categorii de persoane vizate
Statele membre garanteaza ca, dupa caz si in masura posibilului, operatorul face distinctie clara intre datele cu caracter personal ale diferitelor categorii de persoane vizate, precum:
(a)
persoane in privinta carora exista motive serioase sa se creada ca au savarsit sau ca urmeaza sa savarseasca o infractiune;
(b)
persoane condamnate pentru savarsirea unei infractiuni;
(c)
victime ale unei infractiuni sau persoane in privinta carora, in baza anumitor fapte, exista motive sa se creada ca persoanele respective ar putea fi victimele unei infractiuni; si
(d)
alte parti care au legatura cu infractiunea, ca de exemplu persoane care ar putea fi chemate sa depuna marturie in cadrul anchetelor legate de infractiuni sau in cadrul procedurilor penale ulterioare sau persoane care pot oferi informatii cu privire la infractiuni sau persoane care sunt in legatura sau asociate cu persoanele mentionate la literele (a) si (b).
Articolul 7
Distinctia intre datele cu caracter personal si verificarea calitatii datelor cu caracter personal
(1) Statele membre garanteaza ca se face distinctie, pe cat posibil, intre datele cu caracter personal bazate pe fapte si datele cu caracter personal bazate pe evaluari personale.
(2) Statele membre garanteaza ca autoritatile competente iau toate masurile rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale nu sunt transmise sau puse la dispozitie. In acest scop, fiecare autoritate competenta verifica, in masura in care este posibil, calitatea datelor cu caracter personal inainte ca acestea sa fie transmise sau puse la dispozitie. In masura in care acest lucru este posibil, in cadrul tuturor transmiterilor de date cu caracter personal, se adauga informatii necesare care permit autoritatii competente destinatare sa evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate si de actualitate al datelor cu caracter personal.
(3) In cazul in care se constata transmiterea unor date cu caracter personal incorecte sau transmiterea unor date cu caracter personal in mod ilegal, acest lucru se comunica de indata destinatarului. Intr-un astfel de caz, datele cu caracter personal sunt rectificate sau sterse sau prelucrarea este restrictionata in conformitate cu articolul 16.
Articolul 8
Legalitatea prelucrarii
(1) Statele membre garanteaza legalitatea prelucrarii numai daca si in masura in care aceasta este necesara pentru indeplinirea unei sarcini de catre o autoritate competenta in scopurile stabilite la articolul 1 alineatul (1) si ca aceasta se intemeiaza pe dreptul Uniunii sau pe dreptul intern.
(2) Dreptul intern care reglementeaza prelucrarea care intra sub incidenta prezentei directive precizeaza cel putin obiectivele prelucrarii, datele cu caracter personal care urmeaza sa fie prelucrate si scopurile prelucrarii.
Articolul 9
Conditii specifice de prelucrare
(1) Datele cu caracter personal colectate de autoritatile competente in scopurile stabilite la articolul 1 alineatul (1) nu se prelucreaza in alte scopuri decat cele stabilite la articolul 1 alineatul (1), cu exceptia cazurilor in care o astfel de prelucrare este autorizata in temeiul dreptului Uniunii sau al dreptului intern. In cazurile in care datele cu caracter personal sunt prelucrate in alte scopuri, prelucrarii respective i se aplica Regulamentul (UE) 2016/679, cu exceptia cazului in care prelucrarea este efectuata in cadrul unei activitati care nu intra sub incidenta dreptului Uniunii.
(2) In cazul in care autoritatile competente sunt imputernicite prin dreptul intern sa indeplineasca alte atributii decat cele aferente scopurilor stabilite la articolul 1 alineatul (1), pentru prelucrarea in astfel de scopuri se aplica Regulamentul (UE) 2016/679, inclusiv in ce priveste prelucrarea in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, cu exceptia cazului in care prelucrarea este efectuata in cadrul unei activitati care nu intra sub incidenta dreptului Uniunii.
(3) Statele membre garanteaza ca, in cazul in care dreptul Uniunii sau dreptul intern aplicabil autoritatii competente care a transmis datele prevede conditii specifice de prelucrare, autoritatea competenta care a transmis datele informeaza destinatarul respectivelor date cu caracter personal cu privire la aceste conditii si la obligatia de a le respecta.
(4) Statele membre garanteaza ca autoritatea competenta care a transmis datele nu aplica conditiile prevazute la alineatul (3) destinatarilor din alte state membre sau agentiilor, oficiilor si organismelor instituite in conformitate cu titlul V capitolele 4 si 5 din TFUE, altele decat cele aplicabile transmiterii similare de date in statul membru al autoritatii competente care a transmis datele.
Articolul 10
Prelucrarea de categorii speciale de date cu caracter personal
Prelucrarea datelor cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice, afilierea sindicala, prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unica a unei persoane fizice sau prelucrarea datelor privind sanatatea sau a datelor privind viata sexuala si orientarea sexuala a unei persoane fizice este autorizata numai atunci cand este strict necesara si sub rezerva unor garantii adecvate pentru drepturile si libertatile persoanei vizate si numai atunci cand:
(a)
este autorizata de dreptul Uniunii sau de dreptul intern;
(b)
este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice; sau
(c)
prelucrarea respectiva se refera la date care sunt facute publice in mod manifest de persoana vizata.
Articolul 11
Procesul decizional individual automatizat
(1) Statele membre garanteaza ca o decizie intemeiata exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce un efect juridic negativ pentru persoana vizata sau care o afecteaza in mod semnificativ, este interzisa, cu exceptia cazului in care este autorizata de dreptul Uniunii sau de dreptul intern care se aplica operatorului si care prevede garantii adecvate pentru drepturile si libertatile persoanei vizate, cel putin dreptul de a obtine interventia umana din partea operatorului.
(2) Deciziile mentionate la alineatul (1) din prezentul articol nu se intemeiaza pe categoriile speciale de date cu caracter personal mentionate la articolul 10, cu exceptia cazului in care au fost instituite masuri corespunzatoare pentru protejarea drepturilor, a libertatilor si a intereselor legitime ale persoanei vizate.
(3) In conformitate cu dreptul Uniunii, este interzisa crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza categoriilor speciale de date cu caracter personal mentionate la articolul 10.
CAPITOLUL III
Drepturile persoanei vizate
Articolul 12
Comunicare si modalitati de exercitare a drepturilor persoanei vizate
(1) Statele membre garanteaza faptul ca operatorul ia masuri rezonabile pentru a transmite persoanei vizate orice informatii mentionate la articolul 13 si transmite acesteia orice comunicare in legatura cu articolele 11, 14-18 si 31 referitoare la prelucrare, intr-o forma concisa, inteligibila si usor accesibila, utilizand un limbaj clar si simplu. Informatiile se transmit prin orice mijloace adecvate, inclusiv prin mijloace electronice. Ca regula generala, operatorul transmite informatiile in acelasi format in care a fost primita cererea.
(2) Statele membre garanteaza faptul ca operatorul faciliteaza exercitarea drepturilor persoanei vizate in temeiul articolelor 11 si 14-18.
(3) Statele membre garanteaza faptul ca operatorul informeaza in scris persoana vizata cu privire la modul in care a dat curs cererii acesteia, fara intarzieri nejustificate.
(4) Statele membre garanteaza faptul ca transmiterea informatiilor in conformitate cu articolul 13 si orice comunicare transmisa si masura luata in temeiul articolelor 11, 14-18 si 31 este gratuita. In cazul in care cererile din partea unei persoane vizate sunt in mod vadit nefondate sau excesive, in special din cauza caracterului lor repetitiv, operatorul poate:
(a)
sa perceapa o taxa rezonabila care sa tina cont de costurile administrative pentru transmiterea informatiilor sau a comunicarilor sau pentru luarea masurilor solicitate; sau
(b)
poate refuza sa dea curs cererii.
Operatorului ii revine sarcina de a demonstra caracterul vadit nefondat sau excesiv al cererii.
(5) In cazul in care operatorul are indoieli intemeiate cu privire la identitatea persoanei fizice care inainteaza cererea mentionata la articolul 14 sau 16, acesta poate solicita furnizarea de informatii suplimentare necesare pentru a confirma identitatea persoanei vizate.
Articolul 13
Informatii care se pun la dispozitia persoanei vizate sau se comunica acesteia
(1) Statele membre garanteaza ca operatorul pune la dispozitia persoanelor vizate cel putin urmatoarele informatii:
(a)
identitatea si datele de contact ale operatorului;
(b)
datele de contact ale responsabilului cu protectia datelor, dupa caz;
(c)
scopurile in care sunt prelucrate datele cu caracter personal;
(d)
dreptul de a depune o plangere in fata autoritatii de supraveghere si datele de contact ale autoritatii de supraveghere;
(e)
existenta dreptului de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizata ori rectificarea sau stergerea acestor date sau restrictionarea prelucrarii lor.
(2) In plus fata de informatiile mentionate la alineatul (1), statele membre garanteaza prin lege ca operatorul comunica persoanei vizate, in anumite cazuri, urmatoarele informatii suplimentare, pentru a permite acesteia exercitarea drepturilor sale:
(a)
temeiul juridic al prelucrarii;
(b)
perioada pentru care vor fi stocate datele cu caracter personal sau, in cazul in care nu este posibil, criteriile utilizate pentru a stabili respectiva perioada;
(c)
daca este cazul, categoriile de destinatari ai datelor cu caracter personal, inclusiv in tari terte sau organizatii internationale;
(d)
in cazul in care este necesar, informatii suplimentare, in special atunci cand datele cu caracter personal sunt colectate fara stirea persoanei vizate.
(3) Statele membre pot adopta masuri legislative de amanare, restrictionare sau omitere a furnizarii de informatii persoanei vizate in conformitate cu alineatul (2) in masura in care si atat timp cat o astfel de masura constituie o masura necesara si proportionala intr-o societate democratica, tinand seama de drepturile fundamentale si de interesele legitime ale persoanei fizice, pentru:
(a)
evitarea obstructionarii cercetarilor, anchetelor sau procedurilor oficiale sau juridice;
(b)
a nu prejudicia prevenirea, depistarea, investigarea sau urmarirea penala a infractiunilor sau executarea pedepselor;
(c)
protejarea securitatii publice;
(d)
protejarea securitatii nationale;
(e)
protejarea drepturilor si libertatilor celorlalti.
(4) Statele membre pot adopta masuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau partial, sub incidenta oricareia dintre literele de la alineatul (3).
Articolul 14
Dreptul de acces al persoanei vizate
Sub rezerva articolului 15, statele membre garanteaza dreptul persoanei vizate de a obtine din partea operatorului o confirmare ca se prelucreaza sau nu date cu caracter personal care o privesc si, in caz afirmativ, acces la datele respective si la urmatoarele informatii:
(a)
scopurile si temeiul juridic al prelucrarii;
(b)
categoriile de date cu caracter personal vizate;
(c)
destinatarii sau categoriile de destinatari carora le-au fost divulgate datele cu caracter personal, in special destinatarii din tari terte sau organizatii internationale;
(d)
acolo unde este posibil, perioada pentru care se preconizeaza ca vor fi stocate datele cu caracter personal sau, in cazul in care acest lucru nu este posibil, criteriile utilizate pentru a stabili aceasta perioada;
(e)
existenta dreptului de a solicita de la operator rectificarea sau stergerea datelor cu caracter personal, sau restrictionarea prelucrarii datelor cu caracter personal referitoare la persoana vizata;
(f)
dreptul de a depune o plangere in fata autoritatii de supraveghere si datele de contact ale autoritatii de supraveghere;
(g)
comunicarea datelor cu caracter personal care sunt in curs de prelucrare si a oricarei informatii disponibile cu privire la originea datelor.
Articolul 15
Limitarea dreptului de acces
(1) Statele membre pot adopta masuri legislative care limiteaza, integral sau partial, dreptul de acces al persoanei vizate in masura si atat timp o astfel de limitare, partiala sau totala, constituie o masura necesara si proportionala intr-o societate democratica, tinandu-se seama de drepturile fundamentale si de interesele legitime ale respectivei persoane fizice, pentru:
(a)
evitarea obstructionarii cercetarilor, anchetelor sau procedurilor oficiale sau juridice;
(b)
a nu prejudicia prevenirea, depistarea, investigarea sau urmarirea penala a infractiunilor sau executarea pedepselor;
(c)
protejarea securitatii publice;
(d)
protejarea securitatii nationale;
(e)
protejarea drepturilor si libertatilor celorlalti.
(2) Statele membre pot adopta masuri legislative pentru a stabili categoriile de prelucrare care se pot intra, integral sau partial, sub incidenta literelor (a)-(e) de la alineatul (1).
(3) In cazurile prevazute la alineatele (1) si (2), statele membre garanteaza ca operatorul informeaza in scris persoana vizata, fara intarzieri nejustificate, cu privire la refuzarea sau limitarea accesului si la motivele refuzului sau ale limitarii. Astfel de informatii pot fi omise atunci cand furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Statele membre garanteaza ca operatorul informeaza persoana vizata cu privire la posibilitatea de a depune o plangere la autoritatea de supraveghere sau de a introduce o cale de atac judiciara.
(4) Statele membre garanteaza ca operatorul justifica motivele de fapt si de drept pe care se intemeiaza decizia. Aceste informatii se pun la dispozitia autoritatilor de supraveghere.
Articolul 16
Dreptul la rectificarea sau la stergerea datelor cu caracter personal si la restrictionarea prelucrarii
(1) Statele membre garanteaza persoanei vizate dreptul de a obtine de la operator, fara intarzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Tinandu-se seama de scopurile prelucrarii, statele membre garanteaza persoanei vizate dreptul de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.
(2) Statele membre impun operatorului obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate si garanteaza persoanei vizate dreptul de a obtine de la operator stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, in cazul in care prelucrarea incalca dispozitiile adoptate in temeiul articolului 4, 8 sau 10, sau in cazul in care datele cu caracter personal trebuie sterse pentru indeplinirea unei obligatii legale care ii revine operatorului.
(3) In loc de stergere, operatorul restrictioneaza prelucrarea datelor cu caracter personal in cazul in care:
(a)
exactitatea datelor cu caracter personal este contestata de persoana vizata, iar exactitatea sau inexactitatea datelor respective nu poate fi stabilita cu certitudine; sau
(b)
datele cu caracter personal trebuie sa fie pastrate ca mijloace de proba.
In cazul in care prelucrarea este restrictionata in conformitate cu litera (a) de la primul paragraf, operatorul informeaza in acest sens persoana vizata inainte de ridicarea restrictiilor de prelucrare.
(4) Statele garanteaza ca operatorul informeaza in scris persoana vizata cu privire la orice refuz de rectificare sau de stergere a datelor cu caracter personal sau de restrictionare a prelucrarii si cu privire la motivele refuzului. Statele membre pot adopta masuri legislative care restrictioneaza, integral sau partial, obligatia de a furniza astfel de informatii in masura in care o astfel de restrictionare a prelucrarii constituie o masura necesara si proportionala intr-o societate democratica, tinandu-se seama in mod corespunzator de drepturile fundamentale si de interesele legitime ale persoanei fizice vizate pentru:
(a)
a evita obstructionarea cercetarilor, anchetelor sau procedurilor oficiale sau juridice;
(b)
a nu prejudicia prevenirea, depistarea, investigarea sau urmarirea penala a infractiunilor sau executarea pedepselor;
(c)
a proteja securitatea publica;
(d)
a proteja securitatea nationala;
(e)
a proteja drepturile si libertatile celorlalti.
Statele membre garanteaza ca operatorul informeaza persoana vizata cu privire la posibilitatea de a depune o plangere la autoritatea de supraveghere sau de a introduce o cale de atac judiciara.
(5) Statele membre garanteaza comunicarea de catre operator a rectificarii datelor cu caracter personal inexacte autoritatii competente de la care provin datele cu caracter personal inexacte.
(6) Statele membre garanteaza faptul ca operatorul informeaza destinatarii cu privire la rectificarea sau stergerea datelor cu caracter personal sau cu privire la restrictionarea prelucrarii, in temeiul alineatelor (1), (2) si (3), precum si faptul ca destinatarii rectifica sau sterg datele cu caracter personal sau restrictioneaza prelucrarea datelor cu caracter personal atunci cand le revine responsabilitatea pentru acestea.
Articolul 17
Exercitarea drepturilor de catre persoana vizata si verificarea de catre autoritatea de supraveghere
(1) In cazurile mentionate la articolul 13 alineatul (3), la articolul 15 alineatul (3) si la articolul 16 alineatul (4), statele membre adopta masuri prin care se prevede ca drepturile persoanei vizate pot fi, de asemenea, exercitate prin intermediul autoritatii de supraveghere competente.
(2) Statele membre garanteaza ca operatorul informeaza persoana vizata cu privire la posibilitatea de a-si exercita drepturile prin intermediul autoritatii de supraveghere in temeiul alineatului (1).
(3) Atunci cand este exercitat dreptul mentionat la alineatul (1), autoritatea de supraveghere informeaza persoana vizata cel putin ca au fost realizate toate verificarile necesare sau o revizuire de catre autoritatea de supraveghere. Autoritatea de supraveghere informeaza, de asemenea, persoana vizata in legatura cu dreptul acesteia de a introduce o cale de atac.
Articolul 18
Drepturile persoanei vizate in cadrul investigatiilor si procedurilor penale
Statele membre garanteaza ca drepturile mentionate la articolele 13, 14 si 16 se exercita in conformitate cu dreptul intern in cazul in care datele cu caracter personal sunt continute intr-o hotarare judecatoreasca sau intr-un cazier sau dosar prelucrat pe parcursul investigatiilor si procedurilor penale.
CAPITOLUL IV
Operatorul si persoana imputernicita de catre operator
Sectiunea 1
Obligatii generale
Articolul 19
Obligatiile operatorului
(1) Statele membre garanteaza ca, tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si gravitate la adresa drepturilor si libertatilor persoanelor fizice, operatorul pune in aplicare masuri tehnice si organizatorice adecvate pentru a garanta si a fi in masura sa demonstreze ca prelucrarea se efectueaza in conformitate cu prezenta directiva. Respectivele masuri se revizuiesc si se actualizeaza daca este necesar.
(2) Atunci cand sunt proportionale in raport cu operatiunile de prelucrare, masurile mentionate la alineatul (1) includ punerea in aplicare de catre operator a unor politici corespunzatoare de protectie a datelor.
Articolul 20
Asigurarea protectiei datelor incepand cu momentul conceperii si in mod implicit
(1) Statele membre garanteaza ca, avand in vedere stadiul actual al tehnologiei, costurile de punere in aplicare, precum si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscurile cu grade diferite de probabilitate si de gravitate la adresa drepturilor si libertatilor persoanelor fizice pe care le prezinta prelucrarea, operatorul, atat la momentul stabilirii mijloacelor de prelucrare, cat si la cel al prelucrarii in sine, pune in aplicare masuri tehnice si organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minim a datelor si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele prezentei directive si a proteja drepturile persoanelor vizate.
(2) Statele membre garanteaza ca operatorul pune in aplicare masuri tehnice si organizatorice adecvate prin care sa se asigure ca, in mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrarii. Obligatia respectiva se aplica volumului de date cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de stocare si accesibilitatii lor. In special, masurile respective trebuie sa asigure ca, in mod implicit, datele cu caracter personal nu sunt accesibile, fara interventia persoanei fizice, unui numar nedefinit de persoane fizice.
Articolul 21
Operatori asociati
(1) Statele membre garanteaza faptul ca, atunci cand doi sau mai multi operatori stabilesc in comun scopurile si mijloacele de prelucrare, acestia sunt operatori asociati. Acestia stabilesc intr-un mod transparent responsabilitatile care revin fiecaruia in vederea respectarii prezentei directive, in special in ceea ce priveste exercitarea drepturilor persoanelor vizate si indatoririle fiecaruia de furnizare a informatiilor prevazute la articolul 13, prin intermediul unui acord intre ei, cu exceptia cazului si in masura in care responsabilitatile operatorilor sunt stabilite de dreptul Uniunii sau de dreptul intern care li se aplica. Acordul desemneaza punctul de contact pentru persoanele vizate. Statele membre pot desemna care dintre operatorii asociati poate actiona ca punct unic de contact pentru exercitarea de catre persoanele vizate a drepturilor lor.
(2) Indiferent de termenii acordului mentionat la alineatul (1), statele membre pot sa prevada dispozitii potrivit carora persoana vizata isi exercita drepturile cu privire la si in raport cu fiecare dintre operatori in conformitate cu dispozitiile adoptate in temeiul prezentei directive.
Articolul 22
Persoana imputernicita de catre operator
(1) Statele membre garanteaza ca, atunci cand o prelucrare urmeaza sa fie realizata in numele unui operator, operatorul recurge doar la persoane imputernicite care sa ofere garantii suficiente pentru punerea in aplicare a masurilor tehnice si organizatorice adecvate, astfel incat prelucrarea sa indeplineasca cerintele prezentei directive si sa asigure protectia drepturilor persoanei vizate.
(2) Statele membre garanteaza ca persoana imputernicita de catre operator nu recruteaza o alta persoana imputernicita de operator fara a primi in prealabil o autorizatie scrisa, specifica sau generala, din partea operatorului. In cazul unei autorizatii scrise generale, persoana imputernicita de catre operator informeaza operatorul cu privire la orice modificari preconizate privind adaugarea sau inlocuirea altor persoane imputernicite de catre operator, oferind astfel operatorului posibilitatea de a formula obiectii fata de aceste modificari.
(3) Statele membre garanteaza ca prelucrarea de catre o persoana imputernicita de un operator este reglementata printr-un contract sau un alt act juridic in temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana imputernicita de catre operator in raport cu operatorul si care stabileste obiectul si durata prelucrarii, natura si scopul prelucrarii, tipul de date cu caracter personal si categoriile de persoane vizate, precum si obligatiile si drepturile operatorului. Respectivul contract sau act juridic prevede, in special, ca persoana imputernicita de operator:
(a)
actioneaza numai la instructiunile operatorului;
(b)
garanteaza faptul ca persoanele autorizate sa prelucreze date cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie legala de confidentialitate corespunzatoare;
(c)
asista operatorul prin orice mijloace adecvate pentru a asigura respectarea dispozitiilor privind drepturile persoanei vizate;
(d)
la alegerea operatorului, sterge sau returneaza toate datele cu caracter personal operatorului dupa incetarea furnizarii serviciilor de prelucrare a datelor si elimina copiile existente, cu exceptia cazului in care dreptului Uniunii sau dreptul intern prevede stocarea datelor cu caracter personal;
(e)
pune la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea prezentului articol;
(f)
respecta conditiile mentionate la alineatele (2) si (3) pentru recrutarea unei alte persoane imputernicite de catre operator.
(4) Contractul sau un alt act juridic mentionat la alineatul (3) se intocmeste in scris si poate fi pus la dispozitie in format electronic.
(5) In cazul in care o persoana imputernicita de catre operator stabileste, cu incalcarea prezentei directive, scopurile si mijloacele de prelucrare, persoana imputernicita este considerata ca fiind operator in ceea ce priveste prelucrarea respectiva.
Articolul 23
Desfasurarea activitatii de prelucrare sub autoritatea operatorului sau a persoanei imputernicite de catre operator
Statele membre garanteaza ca persoana imputernicita de catre operator si orice persoana care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de catre operator care are acces la datele cu caracter personal prelucreaza datele respective numai la cererea operatorului, cu exceptia cazului in care dreptul Uniunii sau dreptul intern impun aceasta.
Articolul 24
Evidente ale activitatilor de prelucrare
(1) Statele membre garanteaza ca operatorul mentine o evidenta a tuturor categoriilor de activitati de prelucrare aflate in responsabilitatea sa. Respectiva evidenta cuprinde toate informatiile urmatoare:
(a)
numele si datele de contact ale operatorului si, dupa caz, ale operatorului asociat si ale responsabilului cu protectia datelor;
(b)
scopurile prelucrarii;
(c)
categoriile de destinatari carora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din tari terte sau organizatii internationale;
(d)
o descriere a categoriilor de persoane vizate si a categoriilor de date cu caracter personal;
(e)
acolo unde este cazul, utilizarea crearii de profiluri;
(f)
acolo unde este cazul, categoriile de transferuri de date cu caracter personal catre o tara terta sau o organizatie internationala;
(g)
indicarea temeiului juridic al operatiunii de prelucrare, inclusiv transferurile, pentru care sunt destinate datele cu caracter personal;
(h)
acolo unde este posibil, termenele-limita preconizate pentru stergerea diferitelor categorii de date cu caracter personal;
(i)
acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 29 alineatul (1).
(2) Statele membre garanteaza ca fiecare persoana imputernicita de catre operator pastreaza o evidenta a tuturor categoriilor de activitati de prelucrare desfasurate in numele operatorului, evidenta care cuprinde:
(a)
numele si datele de contact ale persoanei sau persoanelor imputernicite de catre operator, ale fiecarui operator in numele caruia actioneaza aceasta persoana si, dupa caz, cele ale responsabilului cu protectia datelor;
(b)
categoriile de activitati de prelucrare desfasurate in numele fiecarui operator;
(c)
acolo unde este cazul, transferurile de date cu caracter personal catre o tara terta sau catre o organizatie internationala, inclusiv, identificarea tarii terte sau a organizatiei internationale respective, atunci cand au primit instructiuni explicite in acest sens de la operator;
(d)
acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate mentionate la articolul 29 alineatul (1).
(3) Evidentele mentionate la alineatele (1) si (2) se pastreaza in scris, inclusiv in format electronic.
Operatorul si persoana imputernicita de acesta pun evidentele la dispozitia autoritatii de supraveghere, la cererea acesteia.
Articolul 25
Inregistrarea
(1) Statele membre se asigura ca se inregistreaza cel putin urmatoarele operatiuni de prelucrare din cadrul sistemelor de prelucrare automata: colectarea, modificarea, consultarea, divulgarea inclusiv transferurile, combinarea si stergerea. Inregistrarile consultarilor si ale divulgarilor fac posibila determinarea motivelor, a datei si a momentului acestor operatiuni si, in masura in care este posibil, identificarea persoanei care a consultat sau a divulgat date cu caracter personal si identitatea destinatarilor acestor date cu caracter personal.
(2) Inregistrarile sunt utilizate numai pentru verificarea legalitatii prelucrarii, monitorizare proprie, asigurarea integritatii si a securitatii datelor cu caracter personal si in cadrul unor proceduri penale.
(3) Operatorul si persoana imputernicita de catre operator pun inregistrarile la dispozitia autoritatii de supraveghere, la cererea acesteia.
Articolul 26
Cooperarea cu autoritatea de supraveghere
Statele membre garanteaza ca operatorul si persoana imputernicita de catre operator coopereaza cu autoritatea de supraveghere, la cererea acesteia, in indeplinirea sarcinilor acesteia.
Articolul 27
Evaluarea impactului asupra protectiei datelor
(1) In cazul in care un tip de prelucrare, in special care implica utilizarea de noi tehnologii, si, tinand seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, este susceptibil sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor fizice, statele membre garanteaza ca operatorul, inainte de prelucrare, efectueaza o evaluare a impactului operatiunilor de prelucrare preconizate asupra protectiei datelor cu caracter personal.
(2) Evaluarea mentionata la alineatul (1) cuprinde cel putin o descriere generala a operatiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor si libertatilor persoanelor vizate, masurile preconizate in vederea abordarii riscurilor, garantiile, masurile de securitate si mecanismele menite sa asigure protectia datelor cu caracter personal si sa demonstreze respectarea prezentei directive, luand in considerare drepturile si interesele legitime ale persoanelor vizate si ale celorlalte persoane interesate.
Articolul 28
Consultarea prealabila a autoritatii de supraveghere
(1) Statele membre garanteaza ca operatorul sau persoana imputernicita de catre operator consulta autoritatea de supraveghere inainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidenta a datelor care urmeaza a fi creat, in cazul in care:
(a)
o evaluare a impactului asupra protectiei datelor, prevazuta la articolul 27, indica faptul ca prelucrarea ar genera un risc ridicat in absenta masurilor luate de operator pentru atenuarea riscului sau
(b)
un tip de prelucrare, in special in cazul in care se utilizeaza noi tehnologii, mecanisme sau proceduri, implica un risc ridicat la adresa drepturilor si libertatilor persoanelor vizate.
(2) Statele membre garanteaza ca autoritatea de supraveghere este consultata in cadrul procesului de pregatire a unei propuneri de masura legislativa care sa fie adoptata de un parlament national sau a unei masuri de reglementare intemeiate pe o astfel de masura legislativa, care se refera la prelucrare.
(3) Statele membre garanteaza ca autoritatea de supraveghere poate stabili o lista a operatiunilor de prelucrare care fac obiectul consultarii prealabile, in conformitate cu alineatul (1).
(4) Statele membre garanteaza ca operatorul transmite autoritatii de supraveghere evaluarea impactului asupra protectiei datelor in temeiul articolului 27 si, la cererea acesteia, orice alta informatie care permite autoritatii de supraveghere sa evalueze conformitatea prelucrarii si in special riscurile la adresa protectiei datelor cu caracter personal ale persoanei vizate si garantiile aferente.
(5) Statele membre garanteaza ca atunci cand autoritatea de supraveghere considera ca prelucrarea preconizata, mentionata la alineatul (1) din prezentul articol, ar incalca dispozitiile adoptate in temeiul prezentei directive, in special in cazul in care riscul nu a fost identificat sau atenuat intr-o masura suficienta de catre operator, autoritatea de supraveghere ofera consiliere in scris operatorului, in termen de cel mult sase saptamani de la primirea cererii de consultare, si, daca este cazul, persoanei imputernicite de catre operator, si isi poate recurge la oricare dintre competentele mentionate la articolul 47. Termenul mentionat poate fi prelungit cu o luna, tinandu-se seama de complexitatea prelucrarii preconizate. Autoritatea de supraveghere informeaza operatorul si, daca este cazul, persoana imputernicita de catre operator, cu privire la prelungirea termenului respectiv, inclusiv cu privire la motivele prelungirii, in termen de o luna de la primirea cererii de consultare.
Sectiunea 2
Securitatea datelor cu caracter personal
Articolul 29
Securitatea prelucrarii
(1) Statele membre garanteaza ca, avand in vedere stadiul actual al tehnologiei si costurile implementarii si tinand seama de natura,domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscurile cu grade diferite de probabilitate si de gravitate la adresa drepturilor si libertatilor persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, in special in ceea ce priveste prelucrarea categoriilor speciale de date cu caracter personal mentionate la articolul 10.
(2) In ceea ce priveste prelucrarea automata, fiecare stat membru garanteaza ca operatorul sau persoana imputernicita de catre operator pune in aplicare, in urma unei evaluari a riscurilor, masuri menite:
(a)
sa impiedice accesul persoanelor neautorizate la echipamentele de prelucrare utilizate pentru prelucrare („controlul accesului la echipamente”);
(b)
sa impiedice orice citire, copiere, modificare sau eliminare neautorizata a suporturilor de date („controlul suporturilor de date”);
(c)
sa impiedice introducerea neautorizata de date cu caracter personal si inspectarea, modificarea sau stergerea neautorizata a datelor cu caracter personal stocate („controlul stocarii”);
(d)
sa impiedice utilizarea sistemelor de prelucrare automata de catre persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor („controlul utilizatorului”);
(e)
sa asigure faptul ca persoanele autorizate sa utilizeze un sistem de prelucrare automata au acces numai la datele cu caracter personal pentru care au autorizare („controlul accesului la date”);
(f)
sa asigure ca este posibila verificarea si identificarea organismelor carora le-au fost transmise sau puse la dispozitie sau s-ar putea sa le fie transmise sau puse la dispozitie date cu caracter personal utilizandu-se echipamente de comunicare a datelor („controlul comunicarii”);
(g)
sa asigure ca este posibil ulterior sa se verifice si sa se identifice datele cu caracter personal introduse in sistemele de prelucrare automata, momentul introducerii datelor cu caracter personal si entitatea care le-a introdus („controlul introducerii datelor”);
(h)
sa impiedice citirea, copierea, modificarea sau stergerea neautorizata a datelor cu caracter personal in timpul transferurilor de date cu caracter personal sau in timpul transportarii suporturilor de date („controlul transportarii”);
(i)
sa asigure posibilitatea recuperarii sistemelor instalate in cazul unei intreruperi („recuperarea”);
(j)
sa asigure functionarea sistemului, raportarea defectiunilor de functionare (fiabilitate) si imposibilitatea coruperii datelor cu caracter personal stocate din cauza functionarii defectuoase a sistemului („integritate”).
Articolul 30
Notificarea autoritatii de supraveghere in cazul incalcarii securitatii datelor cu caracter personal
(1) Statele membre garanteaza ca, in cazul in care are loc o incalcare a securitatii datelor cu caracter personal, operatorul notifica acest lucru autoritatii de supraveghere fara intarzieri nejustificate si, in cazul in care este posibil, in cel mult 72 de ore dupa ce a luat cunostinta de aceasta, cu exceptia cazului in care incalcarea securitatii datelor cu caracter personal nu este susceptibila sa genereze un risc la adresa drepturilor si libertatilor persoanelor fizice. In cazul notificarea se efectueaza in termen de 72 de ore, aceasta va fi insotita de o justificare a intarzierii.
(2) Persoana imputernicita de catre operator instiinteaza operatorul fara intarzieri nejustificate dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal.
(3) Notificarea mentionata la alineatul (1) trebuie, cel putin:
(a)
sa descrie caracterul incalcarii securitatii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile si numarul aproximativ de persoane vizate in cauza, precum si categoriile si numarul aproximativ de inregistrari de date cu caracter personal in cauza;
(b)
sa comunice numele si datele de contact ale responsabilului cu protectia datelor sau un alt punct de contact de unde se pot obtine mai multe informatii;
(c)
sa descrie consecintele probabile ale incalcarii securitatii datelor cu caracter personal;
(d)
sa descrie masurile luate sau propuse de operator pentru a remedia incalcarea securitatii datelor cu caracter personal, inclusiv, daca este cazul, masuri pentru a atenua eventualele efecte adverse ale acesteia.
(4) In cazul in care si in masura in care furnizarea informatiilor in acelasi timp nu este posibila, informatiile pot fi furnizate treptat, fara intarzieri nejustificate.
(5) Statele membre garanteaza ca operatorul pastreaza documente referitoare la toate cazurile de incalcare a securitatii datelor cu caracter personal, mentionate la alineatul (1), care cuprind o descriere a situatiei in care a avut loc incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si a masurilor de remediere intreprinse. Aceasta documentatie trebuie sa permita autoritatii de supraveghere sa verifice respectarea prezentului articol.
(6) Statele membre garanteaza ca, in cazul in care incalcarea securitatii datelor implica date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau catre un astfel de operator, informatiile prevazute la alineatul (3) se comunica operatorului din respectivul stat membru fara intarzieri nejustificate.
Articolul 31
Informarea persoanei vizate cu privire la incalcarea securitatii datelor cu caracter personal
(1) Statele membre garanteaza ca, in cazul in care incalcarea securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor fizice, operatorul informeaza persoana vizata, fara intarzieri nejustificate, cu privire la incalcarea securitatii datelor cu caracter personal.
(2) In informarea transmisa persoanei vizate, prevazuta la alineatul (1) din prezentul articol, se include o descriere intr-un limbaj simplu si clar a caracterului incalcarii securitatii datelor cu caracter personal, precum si cel putin informatiile si masurile mentionate la articolul 30 alineatul (3) literele (b), (c) si (d).
(3) Informarea persoanei vizate, mentionata la alineatul (1), nu este necesara in cazul in care este indeplinita oricare dintre urmatoarele conditii:
(a)
operatorul a pus in aplicare masuri tehnologice si organizatorice adecvate de protectie, iar aceste masuri au fost aplicate in cazul datelor cu caracter personal afectate de incalcarea securitatii datelor cu caracter personal, in special masuri prin care se asigura ca datele cu caracter personal devin neinteligibile oricarei persoane care nu este autorizata sa le acceseze, cum ar fi criptarea;
(b)
operatorul a luat masuri ulterioare prin care se asigura ca riscul ridicat la adresa drepturilor si libertatilor persoanelor vizate mentionat la alineatul (1) nu mai este susceptibil sa se materializeze;
(c)
aceasta ar necesita un efort disproportionat. In acest caz, informarea se inlocuieste printr-o informare publica sau o masura similara prin care persoanele vizate sunt informate intr-un mod la fel de eficace.
(4) In cazul in care operatorul nu a informat deja persoana vizata cu privire la incalcarea securitatii datelor cu caracter personal, autoritatea de supraveghere, luand in considerare probabilitatea ca incalcarea securitatii datelor cu caracter personal sa genereze un risc ridicat, poate sa ii solicite sa faca acest lucru sau poate decide ca oricare dintre conditiile mentionate la alineatul (3) sunt indeplinite.
(5) Informarea persoanei vizate mentionata la alineatul (1) din prezentul articol poate fi amanata, restrictionata sau omisa, sub rezerva conditiilor si a motivelor mentionate la articolul 13 alineatul (3).
Sectiunea 3
Responsabilul cu protectia datelor
Articolul 32
Desemnarea responsabilului cu protectia datelor
(1) Statele membre garanteaza ca operatorul desemneaza un responsabil cu protectia datelor. Statele membre pot scuti de aceasta obligatie instantele si alte autoritati judiciare independente atunci cand actioneaza in exercitiul functiei lor judiciare.
(2) Responsabilul cu protectia datelor este desemnat pe baza calitatilor sale profesionale si, in special, a cunostintelor de specialitate in domeniul legislatiei si practicilor privind protectia datelor, precum si pe baza capacitatii de a indeplini sarcinile prevazute la articolul 34.
(3) Un unic responsabil cu protectia datelor poate fi desemnat pentru mai multe autoritati competente, luand in considerare structura organizatorica si dimensiunea acestora.
(4) Statele membre garanteaza ca operatorul publica datele de contact ale responsabilului cu protectia datelor si le transmite autoritatii de supraveghere.
Articolul 33
Functia responsabilului cu protectia datelor
(1) Statele membre impun operatorului sa se asigure ca responsabilul cu protectia datelor este consultat in mod corespunzator si in timp util in toate aspectele legate de protectia datelor cu caracter personal.
(2) Operatorul sprijina responsabilul cu protectia datelor in indeplinirea sarcinilor mentionate la articolul 34, asigurandu-i resursele necesare pentru executarea acestor sarcini, precum si accesul la datele cu caracter personal si la operatiunile de prelucrare, si sa isi mentina cunostintele de specialitate.
Articolul 34
Sarcinile responsabilului cu protectia datelor
Statele membre garanteaza ca operatorul incredinteaza responsabilului cu protectia datelor cel putin urmatoarele sarcini:
(a)
informarea si consilierea operatorului si a angajatilor care efectueaza prelucrarea cu privire la obligatiile care le revin in temeiul prezentei directive si al altor dispozitii de drept al Uniunii sau de drept intern privind protectia datelor;
(b)
monitorizarea respectarii prezentei directive, a altor dispozitii de drept al Uniunii sau de drept intern privind protectia datelor si a politicilor operatorului in ceea ce priveste protectia datelor cu caracter personal, inclusiv alocarea responsabilitatilor si actiunile de sensibilizare si de formare a personalului implicat in operatiunile de prelucrare, precum si auditurile aferente;
(c)
furnizarea de consiliere la cerere in ceea ce priveste evaluarea impactului asupra protectiei datelor si monitorizarea functionarii acesteia, in conformitate cu articolul 27;
(d)
cooperarea cu autoritatea de supraveghere;
(e)
asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabila mentionata la articolul 28, precum si, daca este cazul, acordarea consultantei cu privire la orice alta chestiune.
CAPITOLUL V
Transferurile de date cu caracter personal catre tari terte sau organizatii internationale
Articolul 35
Principii generale pentru transferurile de date cu caracter personal
(1) Statele membre garanteaza ca orice transfer de date cu caracter personal de catre autoritatile competente, care sunt in curs de prelucrare sau care sunt destinate prelucrarii dupa transferul catre o tara terta sau catre o organizatie internationala, inclusiv transferurilor ulterioare catre o alta tara terta sau organizatie internationala, poate avea loc numai sub rezerva respectarii altor dispozitii ale prezentei directive, in cazul in care sunt indeplinite conditiile prevazute in prezentul capitol, si anume:
(a)
transferul este necesar in scopurile stabilite la articolul 1 alineatul (1);
(b)
datele cu caracter personal sunt transferate unui operator intr-o tara terta sau unei organizatii internationale care este o autoritate competenta in sensul articolului 1 alineatul (1);
(c)
in cazul in care datele cu caracter personal sunt transmise sau puse la dispozitie din alt stat membru, acel stat membru a autorizat in prealabil efectuarea transferului, in conformitate cu dreptul sau intern;
(d)
Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protectie, in temeiul articolului 36, sau, in absenta unei astfel de decizii, exista sau se ofera garantii adecvate in temeiul articolului 37 sau, in absenta unei decizii privind caracterul adecvat al nivelului de protectie in conformitate cu articolul 36 sau a unor garantii adecvate in conformitate cu articolul 37, se aplica derogari pentru situatii speciale in conformitate cu articolul 38; si
(e)
in cazul unui transfer ulterior catre o alta tara terta sau organizatie internationala, autoritatea competenta care a realizat transferul initial sau o alta autoritate competenta din acelasi stat membru autorizeaza transferul ulterior, tinand seama in mod corespunzator de toti factorii relevanti, inclusiv de gravitatea infractiunii, de scopul in care datele cu caracter personal au fost transferate initial si de nivelul de protectie a datelor cu caracter personal din tara terta sau din organizatia internationala catre care sunt transferate ulterior datele cu caracter personal.
(2) Statele membre garanteaza ca transferurile fara autorizarea prealabila de catre un alt stat membru, in conformitate cu litera (c) de la alineatul (1), sunt permise numai daca transferul de date cu caracter personal este necesar pentru prevenirea unei amenintari imediate si grave la adresa securitatii publice a unui stat membru sau a unei tari terte sau a intereselor fundamentale ale unui stat membru, iar autorizarea prealabila nu poate fi obtinuta in timp util. Autoritatea responsabila pentru acordarea unei autorizari prealabile este informata fara intarziere.
(3) Toate dispozitiile din prezentul capitol se aplica pentru a se asigura ca nivelul de protectie a persoanelor fizice garantat prin prezenta directiva nu este subminat.
Articolul 36
Transferuri in baza unei decizii privind caracterul adecvat al nivelului de protectie
(1) Statele membre garanteaza ca transferul de date cu caracter personal catre o tara terta sau o organizatie internationala se poate realiza atunci cand Comisia a decis ca tara terta, un teritoriu ori unul sau mai multe sectoare determinate din acea tara terta sau organizatia internationala in cauza asigura un nivel de protectie adecvat. Transferurile realizate in aceste conditii nu necesita autorizari speciale.
(2) Atunci cand evalueaza caracterul adecvat al nivelului de protectie, Comisia tine seama, in special, de urmatoarele elemente:
(a)
statul de drept, respectarea drepturilor omului si a libertatilor fundamentale, legislatia relevanta, atat generala, cat si sectoriala, inclusiv privind securitatea publica, apararea, securitatea nationala si dreptul penal si accesul autoritatilor publice la datele cu caracter personal, precum si punerea in aplicare a acestei legislatii, a normelor de protectie a datelor, a normelor profesionale si a masurilor de securitate, inclusiv a normelor privind transferul ulterior de date cu caracter personal catre o alta tara terta sau organizatie internationala, care sunt respectate in tara respectiva sau de organizatia internationala respectiva, jurisprudenta, precum si drepturile efective si opozabile ale persoanelor vizate si reparatii efective pe cale administrativa si judiciara pentru persoanele vizate ale caror date cu caracter personal sunt transferate;
(b)
existenta si functionarea efectiva a uneia sau a mai multor autoritati de supraveghere independente in tara terta sau sub incidenta carora intra o organizatie internationala, cu responsabilitate pentru asigurarea si impunerea respectarii normelor de protectie a datelor, incluzand competente adecvate de sanctionare, pentru acordarea de asistenta si consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora si pentru cooperarea cu autoritatile de supraveghere din statele membre; si
(c)
angajamentele internationale la care a aderat tara terta sau organizatia internationala in cauza sau alte obligatii care decurg din conventii sau instrumente cu caracter juridic obligatoriu, precum si participarea acesteia la sisteme multilaterale sau regionale, mai ales in domeniul protectiei datelor cu caracter personal.
(3) Comisia, dupa ce evalueaza caracterul adecvat al nivelului de protectie, poate decide, prin intermediul unui act de punere in aplicare, ca o tara terta, un teritoriu sau unul sau mai multe sectoare determinate dintr-o tara terta sau o organizatie internationala asigura un nivel de protectie adecvat in sensul alineatului (2) din prezentul articol. Actul de punere in aplicare prevede un mecanism de revizuire periodica, cel putin o data la patru ani, care ia in considerare toate evolutiile relevante din tara terta sau organizatia internationala. Actul de punere in aplicare mentioneaza aplicarea sa teritoriala si sectoriala si, dupa caz, identifica autoritatea sau autoritatile de supraveghere mentionate la alineatul (2) litera (b) din prezentul articol. Actul de punere in aplicare se adopta in conformitate cu procedura de examinare mentionata la articolul 58 alineatul (2).
(4) Comisia monitorizeaza in permanenta evolutiile din tarile terte si organizatiile internationale care ar putea afecta functionarea deciziilor adoptate in conformitate cu alineatul (3).
(5) In cazul in care din informatiile disponibile, in special in urma revizuirii mentionate la alineatul (3) din prezentul articol, reiese ca o tara terta, un teritoriu sau un sector determinat dintr-o tara terta sau o organizatie internationala nu mai asigura un nivel de protectie adecvat in sensul alineatului (2) din prezentul articol, Comisia, in masura in care este necesar, abroga, modifica sau suspenda, prin intermediul unor acte de punere in aplicare, decizia mentionata la alineatul (3) din prezentul articol fara efect retroactiv. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare mentionata la articolul 58 alineatul (2).
Din motive imperioase de urgenta justificate corespunzator, Comisia adopta acte de punere in aplicare imediat aplicabile in conformitate cu procedura mentionata la articolul 58 alineatul (3).
(6) Comisia initiaza consultari cu tara terta sau organizatia internationala in vederea remedierii situatiei care a stat la baza deciziei luate in conformitate cu alineatul (5).
(7) Statele membre garanteaza ca o decizie luata in temeiul alineatului (5) nu aduce atingere transferurilor de date cu caracter personal catre tara terta, catre teritoriul sau catre unul sau mai multe sectoare determinate din acea tara terta sau catre organizatia internationala in cauza in conformitate cu articolele 37 si 38.
(8) Comisia publica in Jurnalul Oficial al Uniunii Europene si pe site-ul sau web o lista a tarilor terte, a teritoriilor si sectoarelor determinate din tarile terte si a organizatiilor internationale in cazul carora a decis ca nivelul de protectie adecvat este asigurat sau nu mai este asigurat.
Articolul 37
Transferuri sub rezerva unor garantii adecvate
(1) In absenta unei decizii luate in conformitate cu articolul 36 alineatul (3), statele membre garanteaza ca transferul de date cu caracter personal catre o tara terta sau catre o organizatie internationala poate avea loc atunci cand:
(a)
s-au prezentat garantii adecvate in ceea ce priveste protectia datelor cu caracter personal printr-un act cu caracter juridic obligatoriu; sau
(b)
operatorul a evaluat toate circumstantele aferente transferului de date cu caracter personal si a concluzionat ca exista garantii adecvate in ceea ce priveste protectia datelor cu caracter personal.
(2) Operatorul informeaza autoritatea de supraveghere cu privire la categoriile de transferuri in temeiul alineatului (1) litera (b).
(3) Atunci cand un transfer se intemeiaza pe alineatul (1) litera (b), un astfel de transfer se documenteaza, iar documentatia se pune la dispozitia autoritatii de supraveghere la cerere, incluzand data si ora transferului, informatii cu privire la autoritatea competenta destinatara, justificarea transferului si datele cu caracter personal transferate.
Articolul 38
Derogari pentru situatii specifice
(1) In absenta unei decizii privind caracterul adecvat al nivelului de protectie in conformitate cu articolul 37 sau a unor garantii adecvate in conformitate cu articolul 36, statele membre garanteaza ca un transfer sau o categorie de transferuri de date cu caracter personal catre o tara terta sau catre o organizatie internationala poate avea loc numai in conditiile in care transferul este necesar:
(a)
pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane;
(b)
pentru protejarea intereselor legitime ale persoanei vizate, in cazul in care dreptul statului membru care transfera datele cu caracter personal prevede acest lucru;
(c)
pentru prevenirea unei amenintari imediate si grave la adresa securitatii publice a unui stat membru sau a unei tari terte;
(d)
in cazuri individuale in scopurile stabilite la articolul 1 alineatul (1); sau
(e)
intr-un caz individual pentru constatarea, exercitarea sau apararea unui drept in instanta privind scopurile stabilite la articolul 1 alineatul (1).
(2) Datele cu caracter personal nu sunt transferate daca autoritatea competenta care transfera datele stabileste ca drepturile si libertatile fundamentale ale persoanei vizate in cauza prevaleaza asupra interesului public in cazul transferului prevazut la alineatul (1) literele (d) si (e).
(3) Atunci cand un transfer se intemeiaza pe alineatul (1), un astfel de transfer trebuie sa fie documentat, iar documentatia trebuie pusa la dispozitia autoritatii de supraveghere la cerere, incluzand data si ora transferului, informatii cu privire la autoritatea competenta destinatara, justificarea transferului si datele cu caracter personal transferate.
Articolul 39
Transferurile de date cu caracter personal catre destinatari stabiliti in tari terte
(1) Prin derogare de la articolul 35 alineatul (1) litera (b) si fara a aduce atingere niciunui acord international mentionat la alineatul (2) din prezentul articol, dreptul Uniunii sau dreptul intern poate sa prevada ca autoritatile competente mentionate la articolul 3 punctul 7 litera (a) pot, in cazuri individuale si specifice, transfera date cu caracter personal direct destinatarilor stabiliti in tari terte, dar numai in cazul in care celelalte dispozitii ale prezentei directive sunt respectate si daca sunt indeplinite urmatoarele conditii:
(a)
transferul este strict necesar pentru executarea unei sarcini de catre autoritatea competenta care transfera datele, astfel cum este prevazut de dreptul Uniunii sau de dreptul intern in scopurile prevazute la articolul 1 alineatul (1);
(b)
autoritatea competenta care transfera datele stabileste ca niciunul dintre drepturile si libertatile fundamentale ale persoanei vizate in cauza nu prevaleaza in fata interesului public care necesita transferul in cazul respectiv;
(c)
autoritatea competenta care transfera datele considera ca transferul catre o autoritate din tara terta, care este competenta in scopurile mentionate la articolul 1 alineatul (1), este ineficient sau necorespunzator, in special din cauza ca transferul nu poate fi realizat in timp util;
(d)
autoritatea din tara terta, care este competenta in scopurile mentionate la articolul 1 alineatul (1), este informata fara intarzieri nejustificate, cu exceptia cazului in care aceasta masura este ineficienta sau necorespunzatoare; si
(e)
autoritatea competenta care transfera datele informeaza destinatarul cu privire la scopul sau scopurile determinate exclusive in care aceasta din urma poate sa prelucreze datele cu caracter personal, cu conditia ca o astfel de prelucrare sa fie necesara.
(2) Un acord international mentionat la alineatul (1) este orice acord international bilateral sau multilateral in vigoare intre statele membre si tari terte in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti.
(3) Autoritatea competenta care transfera datele informeaza autoritatea de supraveghere cu privire la transferurile efectuate in temeiul prezentului articol.
(4) Atunci cand un transfer se intemeiaza pe alineatul (1), un astfel de transfer trebuie sa fie documentat.
Articolul 40
Cooperarea internationala in domeniul protectiei datelor cu caracter personal
In ceea ce priveste tarile terte si organizatiile internationale, Comisia si statele membre iau masurile corespunzatoare pentru:
(a)
elaborarea de mecanisme de cooperare internationala pentru a facilita asigurarea efectiva a respectarii legislatiei privind protectia datelor cu caracter personal;
(b)
acordarea de asistenta internationala reciproca in asigurarea respectarii legislatiei din domeniul protectiei datelor cu caracter personal, inclusiv prin notificari, transferul reclamatiilor, asistenta in anchete si schimb de informatii, sub rezerva unor garantii adecvate pentru protectia datelor cu caracter personal si a altor drepturi si libertati fundamentale;
(c)
implicarea partilor interesate relevante in discutiile si activitatile care au ca scop consolidarea cooperarii internationale in vederea asigurarii respectarii legislatiei din domeniul protectiei datelor cu caracter personal;
(d)
promovarea schimburilor de legislatie si practici in materie de protectie a datelor cu caracter personal si a documentarii cu privire la acestea, inclusiv cu privire la conflictele de jurisdictie cu tarile terte.
CAPITOLUL VI
Autoritati de supraveghere independente
Sectiunea 1
Statut independent
Articolul 41
Autoritatea de supraveghere
(1) Fiecare stat membru garanteaza ca una sau mai multe autoritati publice independente sunt responsabile de monitorizarea aplicarii prezentei directive, in vederea protejarii drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste prelucrarea si in vederea facilitarii liberei circulatii a datelor cu caracter personal in cadrul Uniunii („autoritatea de supraveghere”).
(2) Fiecare autoritate de supraveghere contribuie la aplicarea consecventa a prezentei directive in intreaga Uniune. In acest scop, autoritatile de supraveghere coopereaza atat intre ele, cat si cu Comisia, in conformitate cu capitolul VII.
(3) Statele membre pot sa prevada ca o autoritate de supraveghere instituita in conformitate cu Regulamentul (UE) 2016/679 constituie autoritatea de supraveghere mentionata in prezenta directiva si isi asuma responsabilitatea pentru sarcinile autoritatii de supraveghere care urmeaza sa fie instituita in conformitate cu alineatul (1) din prezentul articol.
(4) In cazul in care un stat membru instituie mai multe autoritati de supraveghere, statul membru respectiv desemneaza autoritatea de supraveghere care reprezinta autoritatile respective in cadrul comitetului mentionat la articolul 51.
Articolul 42
Independenta
(1) Fiecare stat membru garanteaza ca autoritatea sa de supraveghere beneficiaza de independenta deplina in indeplinirea sarcinilor si exercitarea competentelor care le revin in conformitate cu prezenta directiva.
(2) Statele membre garanteaza ca membrii autoritatilor lor de supraveghere, in indeplinirea sarcinilor si in exercitarea competentelor care le revin in conformitate cu prezenta directiva, raman independenti de orice influenta externa directa sau indirecta si nici nu solicita, nici nu accepta instructiuni de la nimeni.
(3) Membrii autoritatilor de supraveghere din statele membre nu intreprind actiuni incompatibile cu indatoririle lor, iar, pe durata mandatului, nu desfasoara activitati incompatibile, remunerate sau nu.
(4) Fiecare stat membru garanteaza ca autoritatea sa de supraveghere beneficiaza de resurse umane, tehnice si financiare, de un sediu si de infrastructura necesara pentru indeplinirea sarcinilor si exercitarea competentelor in mod eficace, inclusiv a celor care urmeaza sa fie realizate in contextul asistentei reciproce, al cooperarii si al participarii in cadrul comitetului.
(5) Fiecare stat membru garanteaza ca autoritatea sa de supraveghere selecteaza si dispune de personal propriu, care se afla sub conducerea exclusiva a membrului sau membrilor autoritatii de supraveghere vizate.
(6) Fiecare stat membru garanteaza ca autoritatea sa de supraveghere face obiectul unui control financiar care nu aduce atingere independentei sale si ca dispune de bugete publice anuale distincte, care pot face parte din bugetul general de stat sau national.
Articolul 43
Conditii generale aplicabile membrilor autoritatii de supraveghere
(1) Statele membre garanteaza ca fiecare membru al autoritatilor lor de supraveghere este numit prin intermediul unei proceduri transparente:
— de catre parlament;
— de catre guvern;
— de catre seful statului membru in cauza; sau
— de catre un organism independent imputernicit prin dreptul intern sa faca numirea.
(2) Fiecare membru dispune de calificarile, experienta si competentele, in special in domeniul protectiei datelor cu caracter personal, necesare pentru indeplinirea atributiilor si exercitarea competentelor sale.
(3) Atributiile unui membru inceteaza in cazul expirarii mandatului, in cazul demisiei sau destituirii in conformitate cu dreptul statului membru in cauza.
(4) Un membru poate fi demis doar in cazuri de abateri grave sau in cazul in care membrul respectiv nu mai intruneste conditiile necesare pentru indeplinirea atributiilor sale.
Articolul 44
Norme privind instituirea autoritatii de supraveghere
(1) Fiecare stat membru prevede in dreptul sau urmatoarele:
(a)
instituirea autoritatii sale de supraveghere;
(b)
calificarile si conditiile de eligibilitate necesare pentru a fi numit membru al autoritatii sale de supraveghere;
(c)
normele si procedurile pentru numirea membrului sau a membrilor autoritatii sale de supraveghere;
(d)
durata mandatului membrului sau al membrilor autoritatii sale de supraveghere, care nu poate fi mai mica de patru ani, cu exceptia primului mandat dupa 6 mai 2016, care poate fi mai scurt in cazul in care acest lucru este necesar pentru a proteja independenta autoritatii de supraveghere printr-o procedura de numiri esalonate;
(e)
daca si de cate ori este eligibil pentru reinnoire mandatul membrului sau membrilor autoritatii sale de supraveghere; si
(f)
conditiile care reglementeaza obligatiile membrului sau membrilor si ale personalului autoritatii sale de supraveghere, interdictiile privind actiunile, ocupatiile si beneficiile incompatibile cu acestea in cursul mandatului si dupa incetarea acestuia, precum si normele care reglementeaza incetarea activitatii profesionale.
(2) Membrul sau membrii si personalul fiecarei autoritati de supraveghere au obligatia, in conformitate cu dreptul Uniunii sau cu dreptul intern, de a pastra atat pe parcursul mandatului, cat si dupa incetarea acestuia, secretul profesional in ceea ce priveste toate informatiile confidentiale de care au luat cunostinta in cursul indeplinirii atributiilor sau al exercitarii competentelor lor. Pe durata mandatului lor, aceasta obligatie de pastrare a secretului profesional se aplica, in special, in ceea ce priveste denuntarea de catre persoane fizice a cazurilor de incalcare a prezentei directive.
Sectiunea 2
Abilitari, sarcini si competente
Articolul 45
Abilitari
(1) Fiecare stat membru garanteaza ca autoritatea sa de supraveghere este abilitata sa indeplineasca sarcinile si sa exercite competentele care ii revin in conformitate cu prezenta directiva pe teritoriul respectivului stat membru.
(2) Fiecare stat membru garanteaza ca autoritatii sale de supraveghere ii revine competenta sa supravegheze operatiunile de prelucrare ale instantelor atunci cand acestea actioneaza in exercitiul functiei lor judiciare. Statele membre pot sa stabileasca dispozitii potrivit carora autoritatilor sale de supraveghere nu le revine competenta sa supravegheze operatiunile de prelucrare ale altor autoritati judiciare independente atunci cand acestea actioneaza in exercitiul functiei lor judiciare.
Articolul 46
Sarcini
(1) Fiecare stat membru garanteaza, pe teritoriul sau, ca autoritatea sa de supraveghere:
(a)
monitorizeaza si asigura respectarea prezentei directive si a masurilor de punere in aplicare aferente acesteia;
(b)
promoveaza actiuni de sensibilizare si de intelegere in randul publicului a riscurilor, normelor, garantiilor si drepturilor in materie de prelucrare;
(c)
ofera consiliere, in conformitate cu dreptul intern, parlamentului national, guvernului si altor institutii si organisme cu privire la masurile legislative si administrative referitoare la protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea;
(d)
promoveaza actiuni de sensibilizare a operatorilor si a persoanelor imputernicite de acestia cu privire la obligatiile care le revin in temeiul prezentei directive;
(e)
furnizeaza informatii, la cerere, oricarei persoane vizate in legatura cu exercitarea drepturilor sale in temeiul prezentei directive si, daca este cazul, coopereaza cu autoritatile de supraveghere din alte state membre in acest scop;
(f)
trateaza plangerile depuse de o persoana vizata sau de un organism, o organizatie sau o asociatie, in conformitate cu articolul 55, investigheaza intr-o masura adecvata obiectul plangerii si informeaza persoana care a depus plangerea cu privire la evolutia si rezultatul investigatiei, intr-un termen rezonabil, in special daca este necesara efectuarea unei investigatii mai amanuntite sau coordonarea cu o alta autoritate de supraveghere;
(g)
verifica legalitatea prelucrarii in conformitate cu articolul 17 si informeaza persoana vizata, intr-un termen rezonabil, cu privire la rezultatul verificarii in temeiul alineatului (3) al articolului respectiv sau la motivele pentru care nu a avut loc verificarea;
(h)
coopereaza, inclusiv prin schimb de informatii, cu alte autoritati de supraveghere si isi ofera reciproc asistenta pentru a asigura consecventa aplicarii si respectarii prezentei directive;
(i)
desfasoara investigatii privind aplicarea prezentei directive, inclusiv pe baza unor informatii primite de la o alta autoritate de supraveghere sau autoritate publica;
(j)
monitorizeaza evolutiile relevante, in masura in care acestea au impact asupra protectiei datelor cu caracter personal, in special evolutia tehnologiilor informatiilor si comunicatiilor;
(k)
ofera consiliere cu privire la operatiunile de prelucrare mentionate la articolul 28; si
(l)
contribuie la activitatile comitetului.
(2) Fiecare autoritate de supraveghere faciliteaza depunerea plangerilor mentionate la alineatul (1) litera (f) prin masuri precum punerea la dispozitie a unui formular de depunere a plangerii, care sa poata fi completat inclusiv in format electronic, fara a exclude alte mijloace de comunicare.
(3) Indeplinirea sarcinilor fiecarei autoritati de supraveghere este gratuita pentru persoana vizata si pentru responsabilul cu protectia datelor.
(4) In cazul in care o cerere este in mod vadit nefondata sau excesiva, in special cand este repetitiva, autoritatea de supraveghere poate percepe o taxa rezonabila pe baza costurilor sale administrative sau poate refuza sa ii dea curs. Obligatia de a demonstra caracterul evident nefondat sau excesiv al cererii respective revine autoritatii de supraveghere.
Articolul 47
Competente
(1) Fiecare stat membru garanteaza prin lege ca autoritatii sale de supraveghere ii revin competente de investigare efective. Respectivele competente includ, cel putin, competenta de a obtine, din partea operatorului si a persoanei imputernicite de operator, accesul la toate datele cu caracter personal care sunt prelucrate si la toate informatiile necesare pentru indeplinirea sarcinilor sale.
(2) Fiecare stat membru garanteaza prin lege ca autoritatii sale de supraveghere ii revin competente corective efective, cum ar fi, de exemplu:
(a)
de a emite avertizari in atentia unui operator sau a unei persoane imputernicite de operator cu privire la probabilitatea ca operatiunile de prelucrare preconizate sa incalce dispozitiile adoptate in temeiul prezentei directive;
(b)
de a da dispozitii operatorului sau persoanei imputernicite de operator sa asigure conformitatea operatiunilor de prelucrare cu dispozitiile adoptate in temeiul prezentei directive, specificand, dupa caz, modalitatea si termenul-limita pentru aceasta; in special dispunand rectificarea sau stergerea datelor cu caracter personal, sau restrictionarea prelucrarii, in conformitate cu articolul 16;
(c)
de a impune o limitare temporara sau definitiva, inclusiv o interdictie, in ce priveste prelucrarea.
(3) Fiecare stat membru garanteaza prin lege ca autoritatii sale de supraveghere ii revin competente de consiliere efective pentru a oferi consiliere operatorului in conformitate cu procedura de consultare prealabila mentionata la articolul 28 si de a emite avize, din proprie initiativa sau la cerere, parlamentului national, guvernului sau, in conformitate cu dreptul sau intern, altor institutii si organisme, precum si publicului, cu privire la orice aspect legat de protectia datelor cu caracter personal.
(4) Exercitarea competentelor conferite autoritatii de supraveghere in temeiul prezentului articol face obiectul unor garantii adecvate, inclusiv cai de atac judiciare eficiente si procese echitabile, prevazute de dreptul Uniunii si de dreptul intern in conformitate cu Carta.
(5) Fiecare stat membru garanteaza prin lege ca autoritatii sale de supraveghere ii revine competenta de a aduce in atentia autoritatilor judiciare cazurile de incalcare a dispozitiilor adoptate in temeiul prezentei directive si, dupa caz, de a initia sau de a se implica intr-un alt mod in proceduri judiciare, in scopul de a asigura respectarea dispozitiilor adoptate in temeiul prezentei directive.
Articolul 48
Denuntarea cazurilor de incalcare
Statele membre garanteaza ca autoritatile competente instituie mecanisme eficiente de incurajare a denuntarii confidentiale a cazurilor de incalcare a prezentei directive.
Articolul 49
Rapoarte de activitate
Fiecare autoritate de supraveghere intocmeste un raport anual cu privire la activitatile sale, care poate include o lista a cazurilor de incalcare notificate si natura sanctiunilor aplicate. Rapoartele se transmit parlamentului national, guvernului si altor autoritati desemnate de dreptul intern. Rapoartele se pune la dispozitia publicului, a Comisiei si a comitetului.
CAPITOLUL VII
Cooperarea
Articolul 50
Asistenta reciproca
(1) Fiecare stat membru garanteaza ca autoritatile sale de supraveghere isi furnizeaza reciproc informatiile relevante si asistenta pentru a pune in aplicare si a aplica prezenta directiva in mod consecvent si instituie masuri de cooperare eficace intre ele. Asistenta reciproca se refera, in special, la cereri de informatii si masuri de supraveghere, cum ar fi cereri in vederea efectuarii de consultari, inspectii si investigatii.
(2) Fiecare stat membru garanteaza luarea de catre fiecare autoritate de supraveghere a tuturor masurilor corespunzatoare necesare pentru a raspunde cererii unei alte autoritati de supraveghere, fara intarziere si in cel mult o luna de la data primirii cererii. Astfel de masuri pot include, in special, transmiterea informatiilor relevante privind desfasurarea unei investigatii.
(3) Cererile de asistenta cuprind toate informatiile necesare, inclusiv scopul si motivele care stau la baza acesteia. Informatiile care fac obiectul schimbului se utilizeaza numai in scopul in care au fost solicitate.
(4) O autoritate de supraveghere careia i se adreseaza o cerere de asistenta nu poate refuza sa ii dea curs, cu exceptia cazului in care:
(a)
nu are competenta cu privire la obiectul cererii sau la masurile pe care este solicitata sa le execute; sau
(b)
a da curs cererii ar incalca prezenta directiva sau dreptul Uniunii sau dreptul intern sub incidenta caruia intra autoritatea de supraveghere care a primit cererea.
(5) Autoritatea de supraveghere careia i s-a adresat cererea informeaza autoritatea de supraveghere care a transmis cererea cu privire la rezultate sau, dupa caz, la progresele inregistrate ori masurile intreprinse pentru a raspunde cererii. In cazul unui refuz in temeiul alineatului (4), autoritatea de supraveghere careia i s-a adresat cererea explica motivele de refuz.
(6) Autoritatile de supraveghere carora li s-a adresat o cerere furnizeaza, de regula, informatiile solicitate de alte autoritati de supraveghere prin mijloace electronice, utilizand un formular-standard.
(7) Pentru actiunile intreprinse in urma unei cereri de asistenta reciproca autoritatile de supraveghere carora li s-a adresat o cerere nu percep taxa. Autoritatile de supraveghere pot conveni asupra unor compensatii reciproce in cazul unor cheltuieli specifice rezultate in urma acordarii de asistenta reciproca in situatii exceptionale.
(8) Comisia poate preciza, prin intermediul unor acte de punere in aplicare, forma si procedurile pentru asistenta reciproca mentionata in prezentul articol, precum si modalitatile de schimb de informatii prin mijloace electronice intre autoritatile de supraveghere si intre autoritatile de supraveghere si comitet. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare mentionata la articolul 58 alineatul (2).
Articolul 51
Sarcinile comitetului
(1) Comitetul instituit prin Regulamentul (UE) 2016/679 indeplineste, in ceea ce priveste prelucrarea care intra sub incidenta prezentei directive, toate sarcinile urmatoare:
(a)
ofera Comisiei consiliere cu privire la orice aspect legat de protectia datelor cu caracter personal in cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentei directive;
(b)
examineaza, din proprie initiativa, la cererea unuia dintre membrii sai sau la cererea Comisiei, orice chestiune referitoare la aplicarea prezentei directive si emite orientari, recomandari si bune practici pentru a incuraja aplicarea consecventa a prezentei directive;
(c)
elaboreaza orientari destinate autoritatilor de supraveghere, referitoare la aplicarea masurilor mentionate la articolul 47 alineatele (1) si (3);
(d)
emite orientari, recomandari si bune practici, in conformitate cu litera (b) de la prezentul alineat, pentru stabilirea cazurilor de incalcare a securitatii datelor cu caracter personal si pentru determinarea intarzierilor nejustificate mentionate la articolul 30 alineatele (1) si (2), precum si pentru circumstantele speciale in care un operator sau o persoana imputernicita de catre operator are obligatia de a notifica incalcarea securitatii datelor cu caracter personal;
(e)
emite orientari, recomandari si bune practici, in conformitate cu litera (b) de la prezentul alineat, in ceea ce priveste circumstantele in care o incalcare a securitatii datelor cu caracter personal este susceptibila sa genereze un risc ridicat la adresa drepturilor si libertatilor persoanelor mentionate la articolul 31 alineatul (1);
(f)
revizuieste aplicarea practica a orientarilor, a recomandarilor si a bunelor practici mentionate la literele (b) si (c);
(g)
prezinta Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protectie dintr-o tara terta, un teritoriu sau unul sau mai multe sectoare determinate dintr-o tara terta, sau o organizatie internationala, inclusiv pentru a evalua daca o tara terta, un teritoriu, un sector determinat sau o organizatie internationala nu mai asigura un nivel de protectie adecvat.
(h)
promoveaza cooperarea si schimbul eficient bilateral si multilateral de informatii si cele mai bune practici intre autoritatile de supraveghere;
(i)
promoveaza programe comune de formare si faciliteaza schimburile de personal intre autoritatile de supraveghere si, dupa caz, cu autoritatile de supraveghere ale tarilor terte sau cu organizatiile internationale;
(j)
promoveaza schimbul de cunostinte si de documente privind dreptul si practicile in materie de protectie a datelor cu autoritatile de supraveghere a protectiei datelor la nivel mondial.
In ceea ce priveste litera (g) de la primul paragraf, Comisia pune la dispozitia comitetului toata documentatia necesara, inclusiv corespondenta purtata cu guvernul tarii terte, al teritoriului respectiv sau cu sectorul specific din respectiva tara terta, sau cu organizatia internationala.
(2) In cazul in care Comisia solicita consiliere din partea comitetului, aceasta poate indica un termen limita, tinand seama de caracterul urgent al chestiunii.
(3) Comitetul isi transmite avizele, orientarile, recomandarile si bunele practici Comisiei si comitetului mentionat la articolul 58 alineatul (1) si le publica.
(4) Comisia informeaza comitetul cu privire la masurile pe care le-a luat in urma avizelor, orientarilor, recomandarilor si bunelor practici emise de comitet.
CAPITOLUL VIII
Cai de atac, raspundere si sanctiuni
Articolul 52
Dreptul de a depune o plangere la o autoritate de supraveghere
(1) Fara a aduce atingere oricaror alte cai de atac administrative sau judiciare, statele membre garanteaza oricarei persoane vizate dreptul de a depune o plangere la o singura autoritate de supraveghere, in cazul in care persoana vizata considera ca prelucrarea datelor cu caracter personal care o vizeaza incalca dispozitiile adoptate in temeiul prezentei directive.
(2) Statele membre garanteaza ca, in cazul in care plangerea nu este depusa la autoritatea de supraveghere competenta in temeiul articolului 45 alineatul (1), autoritatea de supraveghere la care a fost depusa plangerea o transmite autoritatii de supraveghere competente, fara intarzieri nejustificate. Persoana vizata este informata cu privire la transmitere.
(3) Statele membre garanteaza ca autoritatea de supraveghere la care s-a depus plangerea ofera, la cerere, asistenta suplimentara persoanei vizate.
(4) Persoana vizata este informata de catre autoritatea de supraveghere competenta cu privire la evolutia si rezultatul plangerii, inclusiv cu privire la posibilitatea de a exercita o cale de atac judiciara in conformitate cu articolul 53.
Articolul 53
Dreptul la o cale de atac judiciara eficienta impotriva unei autoritati de supraveghere
(1) Fara a aduce atingere oricaror alte cai de atac administrative sau extrajudiciare, statele membre dispun ca o persoana fizica sau juridica are dreptul de a exercita o cale de atac judiciara eficienta impotriva unei decizii obligatorii din punct de vedere juridic a unei autoritati de supraveghere care o vizeaza.
(2) Fara a aduce atingere oricaror alte cai de atac administrative sau extrajudiciare, fiecare persoana vizata are dreptul de a exercita o cale de atac judiciara eficienta in cazul in care autoritatea de supraveghere competenta in conformitate cu articolul 45 alineatul (1) nu trateaza o plangere sau nu informeaza persoana vizata in termen de trei luni cu privire la progresele sau la solutionarea plangerii depuse in conformitate cu articolul 52.
(3) Statele membre garanteaza ca actiunile impotriva unei autoritati de supraveghere sunt introduse in fata instantelor din statul membru in care este stabilita autoritatea de supraveghere.
Articolul 54
Dreptul la o cale de atac judiciara eficienta impotriva unui operator sau a unei persoane imputernicite de catre operator
Fara a aduce atingere vreunei cai de atac administrative sau extrajudiciare disponibile, inclusiv dreptului de a depune o plangere la o autoritate de supraveghere in conformitate cu articolul 52, statele membre garanteaza persoanei vizate dreptul la exercitarea unei cai de atac judiciare eficiente in cazul in care aceasta considera ca, prin prelucrarea datelor sale cu caracter personal cu nerespectarea dispozitiilor adoptate in temeiul prezentei directive, au fost incalcate drepturile care ii revin in conformitate cu dispozitiile respective.
Articolul 55
Reprezentarea persoanelor vizate
In conformitate cu dreptul intern procedural, statele membre garanteaza oricarei persoane vizate dreptul de a mandata un organism, o organizatie sau o asociatie, care nu are scop lucrativ si care a fost constituita in mod corespunzator in conformitate cu dreptul intern, ale carei obiective statutare sunt de interes public si care este activa in domeniul protectiei drepturilor si libertatilor persoanelor vizate in ceea ce priveste protectia datelor lor cu caracter personal, sa depuna plangerea in numele sau si sa exercite in numele sau drepturile mentionate la articolele 52, 53 si 54.
Articolul 56
Dreptul la despagubiri
Statele membre garanteaza oricarei persoane care a suferit prejudicii materiale sau morale ca urmare a unei operatiuni de prelucrare ilegale sau a oricarei actiuni care incalca dispozitiile adoptate in temeiul prezentei directive dreptul de a obtine despagubiri, in temeiul dreptului intern, pentru prejudiciul cauzat de operator sau de o alta autoritate competenta.
Articolul 57
Sanctiuni
Statele membre definesc normele privind sanctiunile aplicabile in cazurile de incalcare a dispozitiilor adoptate in temeiul prezentei directive si iau toate masurile necesare pentru a se asigura ca acestea sunt puse in aplicare. Sanctiunile prevazute trebuie sa fie eficace, proportionale si disuasive.
CAPITOLUL IX
Acte de punere in aplicare
Articolul 58
Procedura comitetului
(1) Comisia este asistata de comitetul infiintat prin articolul 93 din Regulamentul (UE) 2016/679. Acesta reprezinta un comitet in sensul Regulamentului (UE) nr. 182/2011.
(2) Atunci cand se face trimitere la prezentul alineat, se aplica articolul 5 din Regulamentul (UE) nr. 182/2011.
(3) Atunci cand se face trimitere la prezentul alineat, se aplica articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din acelasi regulament.
CAPITOLUL X
Dispozitii finale
Articolul 59
Abrogarea Deciziei-cadru 2008/977/JAI
(1) Decizia-cadru 2008/977/JAI se abroga incepand cu 6 mai 2018.
(2) Trimiterile la decizia abrogata mentionata la alineatul (1) se interpreteaza ca trimiteri la prezenta directiva.
Articolul 60
Actele Uniunii aflate deja in vigoare
Dispozitiile specifice referitoare la protectia datelor cu caracter personal din actele juridice ale Uniunii care au intrat in vigoare pana la 6 mai 2016 in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti, care reglementeaza prelucrarea intre statele membre si accesul autoritatilor desemnate ale statelor membre la sistemele de informatii instituite in temeiul tratatelor si care intra sub incidenta prezentei directive nu sunt afectate.
Articolul 61
Relatia cu acordurile internationale incheiate anterior in domeniul cooperarii judiciare in materie penala si al cooperarii politienesti
Acordurile internationale care implica transferul de date cu caracter personal catre tari terte sau organizatii internationale, care au fost incheiate de statele membre inainte de 6 mai 2016 si sunt aplicabile inainte de 6 mai 2016 si care sunt in conformitate cu dreptul Uniunii, raman in vigoare pana la modificarea, inlocuirea sau revocarea lor.
Articolul 62
Rapoartele Comisiei
(1) Pana la 6 mai 2022 si, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European si Consiliului, un raport privind evaluarea si revizuirea prezentei directive. Rapoartele sunt facute publice.
(2) In contextul evaluarilor si revizuirilor mentionate la alineatul (1), Comisia examineaza, in special, aplicarea si functionarea capitolului V privind transferul datelor cu caracter personal catre tari terte sau organizatii internationale, acordand o atentie deosebita deciziilor adoptate in temeiul articolului 36 alineatul (3) si al articolului 39.
(3) In scopul alineatelor (1) si (2), Comisia poate solicita informatii de la statele membre si de la autoritatile de supraveghere.
(4) La efectuarea evaluarilor si revizuirilor mentionate la alineatele (1) si (2), Comisia ia in considerare pozitiile si concluziile Parlamentului European, ale Consiliului si ale altor organisme si surse relevante.
(5) Comisia transmite, daca este necesar, propuneri corespunzatoare in vederea modificarii prezentei directive, in special tinand seama de evolutiile din domeniul tehnologiei informatiei si avand in vedere progresele societatii informationale.
(6) Pana la 6 mai 2019, Comisia revizuieste celelalte acte adoptate de Uniune care reglementeaza prelucrarea de catre autoritatile competente in scopurile prevazute la articolul 1 alineatul (1), inclusiv actele mentionate la articolul 60, pentru a evalua necesitatea de a le alinia la prezenta directiva si prezinta, dupa caz, propunerile necesare de modificare a actelor respective pentru a asigura o abordare uniforma privind protectia datelor cu caracter personal care intra in domeniul de aplicare al prezentei directive.
Articolul 63
Transpunerea
(1) Statele membre adopta si publica, pana la 6 mai 2018, actele cu putere de lege si actele administrative necesare pentru a se conforma prezentei directive. Statele membre notifica de indata Comisiei textele acestor dispozitii. Statele membre aplica aceste dispozitii incepand cu 6 mai 2018.
Atunci cand statele membre adopta dispozitiile respective, acestea contin o trimitere la prezenta directiva sau sunt insotite de o astfel de trimitere la data publicarii lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.
(2) Prin derogare de la alineatul (1), un stat membru poate prevedea ca, in mod exceptional, in cazul in care acest lucru implica eforturi disproportionate, sistemele de prelucrare automata instituite inainte de 6 mai 2016 sunt aduse in conformitate cu articolul 25 alineatul (1) pana la 6 mai 2023.
(3) Prin derogare de la alineatele (1) si (2) din prezentul articol, un stat membru poate aduce, in circumstante exceptionale, in conformitate cu articolul 25 alineatul (1), un sistem de prelucrare automata, in conformitate cu alineatul (2) din prezentul articol, intr-un termen determinat, dupa incheierea perioadei mentionate la alineatul (2) din prezentul articol, daca, in caz contrar, s-ar provoca dificultati majore pentru functionarea respectivului sistem de prelucrare automata. Statul membru respectiv notifica Comisiei motivele respectivelor dificultati majore si motivele pe care se intemeiaza termenul determinat in care statul membru aduce in conformitate cu articolul 25 alineatul (1) respectivul sistem de prelucrare automata. Termenul determinat nu depaseste in niciun caz 6 mai 2026.
(4) Statele membre comunica Comisiei textul principalelor dispozitii de drept intern pe care le adopta in domeniul reglementat de prezenta directiva.
Articolul 64
Intrarea in vigoare
Prezenta directiva intra in vigoare in ziua urmatoare datei publicarii in Jurnalul Oficial al Uniunii Europene.
Articolul 65
Destinatari
Prezenta directiva se adreseaza statelor membre.
Adoptata la Bruxelles, 27 aprilie 2016.
Pentru Parlamentul European
Presedintele
M. SCHULZ
Pentru Consiliu
Presedintele
J.A. HENNIS-PLASSCHAERT
(1) JO C 391, 18.12.2012, p. 127.
(2) Pozitia Parlamentului European din 12 martie 2014 (nepublicata inca in Jurnalul Oficial) si Pozitia in prima lectura a Consiliului din 8 aprilie 2016 (nepublicata inca in Jurnalul Oficial). Pozitia Parlamentului European din 14 aprilie 2016.
(3) Directiva 95/46/CE a Parlamentului European si a Consiliului din 24 octombrie 1995 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (JO L 281, 23.11.1995, p. 31).
(4) Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protectia datelor cu caracter personal prelucrate in cadrul cooperarii politienesti si judiciare in materie penala (JO L 350, 30.12.2008, p. 60).
(5) Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor) (a se vedea pagina 1 din prezentul Jurnal Oficial).
(6) Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului din 18 decembrie 2000 privind protectia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de catre institutiile si organele comunitare si privind libera circulatie a acestor date (JO L 8, 12.1.2001, p. 1).
(7) Directiva 2011/24/UE a Parlamentului European si a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacientilor in cadrul asistentei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).
(8) Pozitia comuna 2005/69/JAI a Consiliului din 24 ianuarie 2005 privind schimbul de anumite date cu Interpol (JO L 27, 29.1.2005, p. 61).
(9) Decizia 2007/533/JAI a Consiliului din 12 iunie 2007 privind infiintarea, functionarea si utilizarea Sistemului de informatii Schengen de a doua generatie (SIS II) (JO L 205, 7.8.2007, p. 63).
(10) Directiva 77/249/CEE a Consiliului din 22 martie 1977 de facilitare a exercitarii efective a libertatii de a presta servicii de catre avocati (JO L 78, 26.3.1977, p. 17).
(11) Regulamentul (UE) nr. 182/2011 al Parlamentului European si al Consiliului din 16 februarie 2011 de stabilire a normelor si principiilor generale privind mecanismele de control de catre statele membre al exercitarii competentelor de executare de catre Comisie (JO L 55, 28.2.2011, p. 13).
(12) Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperarii transfrontaliere, in special in domeniul combaterii terorismului si a criminalitatii transfrontaliere (JO L 210, 6.8.2008, p. 1).
(13) Actul Consiliului din 29 mai 2000 de elaborare, in temeiul articolului 34 din Tratatul privind Uniunea Europeana, a Conventiei privind asistenta judiciara reciproca in materie penala intre statele membre ale Uniunii Europene (JO C 197, 12.7.2000, p. 1).
(14) Directiva 2011/93/UE a Parlamentului European si a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatarii sexuale a copiilor si a pornografiei infantile si de inlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1).
(15) JO L 176, 10.7.1999, p. 36.
(16) JO L 53, 27.2.2008, p. 52.
(17) JO L 160, 18.6.2011, p. 21.
(18) JO C 192, 30.6.2012, p. 7.
Redactia E-Juridic are un colectiv de 4 autori specializati din domeniul juridic cu toate ramificatiile sale. Zilnic aducem in atentia dvs. tot ce este nou legat de proiecte de legi, acte adoptate si noutati legislative. Va explicam in mod detaliat modificarile aparute si oferim solutii practice pentru orice dilema generata de noutatile cotidiene.
Sfaturi de la Experti - Intrebari si Raspunsuri