Directiva (UE) 2016/680 din 27 aprilie 2016

privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului

EMITENT:      Parlamentul European şi Consiliul

PUBLICATĂ ÎN: Jurnalul Oficial nr. L 119 din 4 mai 2016, p. 89 – 131

Descriptor CELEX:       32016L0680

Descriptor natural:     Directivă 680 2016

Descriptor serial:      Directivă 2016 680

 

PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,

 

având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 16 alineatul (2),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naţionale,

având în vedere avizul Comitetului Regiunilor*1),

hotărând în conformitate cu procedura legislativă ordinară*2),

————

*1) JO C 391, 18.12.2012, p. 127.

*2) Poziţia Parlamentului European din 12 martie 2014 (nepublicată încă în Jurnalul Oficial) şi Poziţia în primă lectură a Consiliului din 8 aprilie 2016 (nepublicată încă în Jurnalul Oficial). Poziţia Parlamentului European din 14 aprilie 2016.

 

întrucât:

 

(1) Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal reprezintă un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (Carta) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc.

(2) Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la protecţia datelor cu caracter personal. Prezenta directivă urmăreşte să contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie.

(3) Evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia datelor cu caracter personal. Amploarea colectării şi a schimbului de date cu caracter personal a crescut în mod semnificativ. Tehnologia permite prelucrarea datelor cu caracter personal la un nivel fără precedent în cadrul activităţilor precum prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor ori executarea pedepselor.

(4) Libera circulaţie a datelor cu caracter personal între autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora în cadrul Uniunii, şi transferul de astfel de date cu caracter personal către ţări terţe şi organizaţii internaţionale, ar trebui facilitate asigurând, totodată, un nivel ridicat de protecţie a datelor cu caracter personal. Aceste evoluţii impun realizarea unui cadru solid şi mai coerent în materie de protecţie a datelor cu caracter personal în Uniune, însoţit de o aplicare riguroasă a normelor.

(5) Directiva 95/46/CE a Parlamentului European şi a Consiliului*3) se aplică oricărei prelucrări de date cu caracter personal în statele membre, atât în sectorul public, cât şi în cel privat. Cu toate acestea, directiva menţionată nu se aplică prelucrării datelor cu caracter personal în cursul exercitării unei activităţii care nu se înscrie în domeniul de aplicare a dreptului comunitar, cum sunt activităţile în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti.

————

*3) Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (JO L 281, 23.11.1995, p. 31).

 

(6) Decizia-cadru 2008/977/JAI a Consiliului*1) se aplică în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti. Domeniul de aplicare a deciziei-cadru menţionate este limitat la prelucrarea datelor cu caracter personal transmise sau puse la dispoziţie între statele membre.

————

*1) Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală (JO L 350, 30.12.2008, p. 60).

 

(7) Asigurarea unui nivel omogen şi ridicat de protecţie a datelor cu caracter personal ale persoanelor fizice şi facilitarea schimbului de date cu caracter personal între autorităţile competente ale statelor membre sunt esenţiale pentru a se garanta eficacitatea cooperării judiciare în materie penală şi a cooperării poliţieneşti. În acest scop, nivelul de protecţie a drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, ar trebui să fie echivalent în toate statele membre. Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea drepturilor persoanelor vizate şi a obligaţiilor celor care prelucrează date cu caracter personal, ci şi competenţe echivalente pentru monitorizarea şi asigurarea conformităţii cu normele în materie de protecţie a datelor cu caracter personal în statele membre.

(8) Articolul 16 alineatul (2) din TFUE mandatează Parlamentul European şi Consiliul să stabilească normele privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum şi normele privind libera circulaţie a acestor date.

(9) Pe această bază, Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului*2) stabileşte normele generale pentru protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi garantarea liberei circulaţii a acestor date în cadrul Uniunii.

————

*2) Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (a se vedea pagina 1 din prezentul Jurnal Oficial).

 

(10) În Declaraţia nr. 21 cu privire la protecţia datelor cu caracter personal în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti, anexată la actul final al Conferinţei interguvernamentale care a adoptat Tratatul de la Lisabona, conferinţa a recunoscut că s-ar putea dovedi necesare norme specifice privind protecţia datelor cu caracter personal şi libera circulaţie a datelor cu caracter personal în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti în temeiul articolului 16 din TFUE, având în vedere natura specifică a acestor domenii.

(11) Prin urmare, domeniile menţionate ar trebui să fie reglementate printr-o directivă care să stabilească norme specifice privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, cu respectarea naturii speciale a activităţilor în cauză. Pot reprezenta astfel de autorităţi competente nu numai autorităţile publice, precum autorităţile judiciare, poliţia sau alte autorităţi de aplicare a legii, ci şi orice alt organism sau altă entitate însărcinată prin dreptul intern să exercite autoritatea publică şi competenţe publice în sensul prezentei directive. În cazul în care un astfel de organism sau de entitate prelucrează date cu caracter personal în alte scopuri decât cele urmărite de prezenta directivă, se aplică Regulamentul (UE) 2016/679. Regulamentul (UE) 2016/679 se aplică, prin urmare, în cazurile în care un organism sau o entitate colectează date cu caracter personal în alte scopuri şi ulterior prelucrează datele cu caracter personal respective în vederea respectării unei obligaţii legale care îi revine. De exemplu, în scopul depistării, investigării sau urmăririi infracţiunilor, instituţiile financiare păstrează anumite date cu caracter personal care sunt prelucrate de către acestea şi furnizează datele cu caracter personal respective numai autorităţilor naţionale competente în cazuri specifice şi în conformitate cu dreptul intern. Unui organism sau entităţi care prelucrează date cu caracter personal în numele acestor autorităţi, în cadrul domeniului de aplicare al prezentei directive, ar trebui să îi revină obligaţii în temeiul unui contract sau al altui act juridic şi al dispoziţiilor aplicabile persoanelor împuternicite de către operatori în conformitate cu prezenta directivă, fără ca prin aceasta să se aducă atingere aplicării Regulamentului (UE) 2016/679 în ceea ce priveşte prelucrarea datelor cu caracter personal de către persoana împuternicită de către operator, atunci când această prelucrare nu intră sub incidenţa prezentei directive.

(12) Activităţile desfăşurate de poliţie sau de alte autorităţi de aplicare a legii, inclusiv activităţile poliţieneşti desfăşurate fără a cunoaşte dinainte dacă un incident constituie o infracţiune, se concentrează în principal asupra prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor. Activităţile respective pot include, de asemenea, exercitarea autorităţii prin aplicarea unor măsuri coercitive, precum activităţile poliţieneşti desfăşurate cu ocazia unor manifestaţii, evenimente sportive majore şi revolte. De asemenea, activităţile menţionate includ menţinerea legii şi ordinii ca atribuţii ale poliţiei sau ale altor autorităţi de aplicare a legii atunci când aceasta se impune pentru a se asigura protecţia împotriva ameninţărilor la adresa securităţii publice şi la adresa intereselor fundamentale ale societăţii protejate prin lege şi pentru prevenirea acestor ameninţări, care pot conduce la o infracţiune. Statele membre pot încredinţa autorităţilor competente alte sarcini care nu sunt neapărat îndeplinite în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, astfel încât prelucrarea datelor cu caracter personal în aceste alte scopuri, în măsura în care se circumscriu domeniului de aplicare al dreptului Uniunii, intră sub incidenţa Regulamentului (UE) 2016/679.

(13) Noţiunea de infracţiune, în sensul prezentei directive, ar trebui să constituie o noţiune autonomă de drept al Uniunii astfel cum este interpretat de Curtea de Justiţie a Uniunii Europene (“Curtea de Justiţie”).

(14) Având în vedere că prezenta directivă nu ar trebui să se aplice prelucrării datelor cu caracter personal în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii, activităţile privind securitatea naţională, activităţile agenţiilor sau ale unităţilor specializate pe probleme de securitate naţională şi prelucrarea datelor cu caracter personal de către statele membre atunci când acestea desfăşoară activităţi circumscrise domeniului de aplicare al titlului V capitolul 2 din Tratatul privind Uniunea Europeană (TUE) nu ar trebui să fie considerate activităţi care se încadrează în domeniul de aplicare al prezentei directive.

(15) În vederea asigurării aceluiaşi nivel de protecţie pentru persoanele fizice prin drepturi garantate din punct de vedere juridic în întreaga Uniune şi a preîntâmpinării discrepanţelor care împiedică schimbul de date cu caracter personal între autorităţile competente, prezenta directivă ar trebui să prevadă norme armonizate pentru protecţia şi libera circulaţie a datelor cu caracter personal prelucrate în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora. Armonizarea drepturilor statelor membre nu ar trebui să aibă ca rezultat diminuarea nivelului de protecţie a datelor cu caracter personal pe care îl oferă statele respective, ci ar trebui, dimpotrivă, să urmărească să asigure un înalt nivel de protecţie în cadrul Uniunii. Statele membre nu ar trebui să fie împiedicate să prevadă garanţii mai mari decât cele stabilite în prezenta directivă pentru protecţia drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente.

(16) Prezenta directivă nu aduce atingere principiului accesului publicului la documente oficiale. În temeiul Regulamentului (UE) 2016/679, datele cu caracter personal din documentele oficiale deţinute de o autoritate publică sau de un organism public sau privat pentru îndeplinirea unei atribuţii de interes public pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul intern sub incidenţa căruia intră autoritatea sau organismul, pentru a stabili un echilibru între accesul public la documente oficiale şi dreptul la protecţia datelor cu caracter personal.

(17) Protecţia conferită de prezenta directivă ar trebui să vizeze persoanele fizice, indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea datelor cu caracter personal ale acestora.

(18) Pentru a preîntâmpina un risc serios de eludare, protecţia persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic şi nu ar trebui să depindă de tehnicile utilizate. Protecţia persoanelor fizice ar trebui să se aplice în ceea ce priveşte prelucrarea datelor cu caracter personal prin mijloace automate, precum şi prelucrarea manuală, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidenţă. Dosarele sau seturile de dosare, precum şi copertele acestora, care nu sunt structurate în conformitate cu criterii specifice, nu ar trebui să intre sub incidenţa prezentei directive.

(19) Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului*1) se aplică prelucrării datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii. Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu caracter personal ar trebui adaptate la principiile şi normele stabilite prin Regulamentul (UE) 2016/679.

————

*1) Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (JO L 8, 12.1.2001, p. 1).

 

(20) Prezenta directivă nu împiedică statele membre să precizeze operaţiunile şi procedurile de prelucrare în normele naţionale privind procedurile penale în ceea ce priveşte prelucrarea datelor cu caracter personal de către instanţe şi alte autorităţi judiciare, în special în ceea ce priveşte datele cu caracter personal conţinute într-o hotărâre judecătorească sau în înregistrările legate de proceduri penale.

(21) Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o persoană fizică identificată sau identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace în scopul identificării persoanei fizice, ar trebui luaţi în considerare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru identificare, ţinându-se seama de tehnologia disponibilă la momentul prelucrării şi de dezvoltarea tehnologică. Principiile protecţiei datelor ar trebui, prin urmare, să nu se aplice informaţiilor anonime, adică informaţiilor care nu sunt legate de o persoană fizică identificată sau identificabilă, sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu mai este identificabilă.

(22) Autorităţile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligaţie legală pentru exercitarea misiunii lor oficiale, cum ar fi autorităţile fiscale şi vamale, unităţile de investigare financiară, autorităţile administrative independente sau autorităţile pieţelor financiare, responsabile de reglementarea şi de supravegherea pieţelor valorilor mobiliare, nu ar trebui să fie considerate drept destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentru desfăşurarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cu dreptul intern. Cererile de divulgare transmise de autorităţile publice ar trebui să se facă întotdeauna în scris, să fie motivate şi ocazionale şi nu ar trebui să se refere la totalitatea unui sistem de evidenţă sau să conducă la interconectarea sistemelor de evidenţă. Prelucrarea datelor cu caracter personal de către respectivele autorităţi publice ar trebui să respecte normele aplicabile privind protecţia datelor, în conformitate cu scopurile prelucrării.

(23) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice despre fiziologia sau starea de sănătate a persoanei respective, şi care rezultă în urma unei analize a unei mostre de material biologic al persoanei fizice în cauză, în special a analizei cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau în urma analizei oricărui alt element care permite obţinerea unor informaţii echivalente. Având în vedere complexitatea şi sensibilitatea informaţiilor genetice, există un risc ridicat de utilizare abuzivă şi de reutilizare în diverse scopuri neautorizate de către operator. Orice discriminare bazată pe caracteristici genetice ar trebui să fie, în principiu, interzisă.

(24) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate, care să dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informaţii privind persoana fizică colectate în cursul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menţionate în Directiva 2011/24/UE a Parlamentului European şi a Consiliului*1); un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

————

*1) Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

 

(25) Toate statele membre sunt afiliate la Organizaţia Internaţională de Poliţie Criminală (Interpol). Pentru a-şi îndeplini misiunea, Interpol primeşte, stochează şi difuzează date cu caracter personal pentru a ajuta autorităţile competente să prevină şi să combată criminalitatea internaţională. Prin urmare, este adecvat să se consolideze cooperarea dintre Uniune şi Interpol prin promovarea unui schimb eficient de date cu caracter personal, asigurând, în acelaşi timp, respectarea drepturilor şi libertăţilor fundamentale în ceea ce priveşte prelucrarea automată a datelor cu caracter personal. Atunci când se transferă date cu caracter personal din Uniune către Interpol şi către ţările care au membri delegaţi la Interpol, ar trebui să se aplice prezenta directivă, în special dispoziţiile privind transferurile internaţionale. Prezenta directivă nu ar trebui să aducă atingere normelor specifice stabilite în Poziţia comună 2005/69/JAI a Consiliului*2) şi în Decizia 2007/533/JAI a Consiliului*3).

————

*2) Poziţia comună 2005/69/JAI a Consiliului din 24 ianuarie 2005 privind schimbul de anumite date cu Interpol (JO L 27, 29.1.2005, p. 61).

*3) Decizia 2007/533/JAI a Consiliului din 12 iunie 2007 privind înfiinţarea, funcţionarea şi utilizarea Sistemului de informaţii Schengen de a doua generaţie (SIS II) (JO L 205, 7.8.2007, p. 63).

 

(26) Orice prelucrare a datelor cu caracter personal trebuie să fie legală, echitabilă şi transparentă faţă de persoanele fizice în cauză, iar prelucrarea trebuie să fie făcută numai pentru scopuri specifice prevăzute de lege. Acest lucru nu împiedică, în sine, autorităţile de aplicare a legii să desfăşoare activităţi precum investigaţiile sub acoperire sau supravegherea video. Aceste activităţi pot fi întreprinse în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, inclusiv al protecţiei împotriva fraudei şi al prevenirii ameninţărilor la adresa securităţii publice, în măsura în care sunt prevăzute de lege şi constituie o măsură necesară şi proporţională într-o societate democratică, ţinându-se seama în mod corespunzător de interesele legitime ale respectivei persoane fizice. Principiul prelucrării echitabile a datelor din domeniul protecţiei datelor cu caracter personal este o noţiune distinctă de dreptul la un proces echitabil, astfel cum este definit la articolul 47 din Cartă şi la articolul 6 din Convenţia europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale (CEDO). Persoanele fizice ar trebui să fie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor acestora cu caracter personal şi cu privire la modul în care să îşi exercite drepturile respective. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelor. Datele cu caracter personal ar trebui să fie adecvate şi relevante pentru scopurile în care sunt prelucrate. În special, ar trebui să se asigure faptul că datele cu caracter personal colectate nu sunt excesive şi că nu sunt stocate mai mult timp decât este necesar pentru îndeplinirea scopului în care sunt prelucrate. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu poate fi îndeplinit, în mod rezonabil, prin alte mijloace. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ştergere sau revizuire periodică. Statele membre ar trebui să stabilească garanţii adecvate pentru datele cu caracter personal care sunt stocate pe o perioadă mai lungă, în scopuri de arhivare în interes public sau în scopuri ştiinţifice, statistice sau istorice.

(27) Pentru prevenirea, investigarea şi urmărirea penală a infracţiunilor, autorităţile competente trebuie să prelucreze datele cu caracter personal colectate în contextul prevenirii, depistării, investigării sau urmăririi penale a anumitor infracţiuni dincolo de acest context pentru a înţelege mai bine activităţile infracţionale şi pentru a face legături între diferitele infracţiuni detectate.

(28) În vederea menţinerii securităţii în ceea ce priveşte prelucrarea şi a prevenirii prelucrărilor care nu respectă prezenta directivă, datele cu caracter personal ar trebui prelucrate într-un mod care să asigure un nivel corespunzător de securitate şi confidenţialitate, inclusiv prin prevenirea accesului neautorizat la acestea sau a utilizării neautorizate a datelor şi a echipamentului utilizat pentru prelucrare şi luând în considerare stadiul actual al tehnologiei disponibile, costurile punerii acesteia în aplicare în raport cu riscurile şi natura datelor cu caracter personal a căror protecţie trebuie asigurată.

(29) Colectarea datelor cu caracter personal ar trebui să fie efectuată în scopuri determinate, explicite şi legitime în cadrul domeniului de aplicare al prezentei directive, iar prelucrarea acestora nu ar trebui să se facă în scopuri care sunt incompatibile cu obiectivele prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau ale executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora. În cazul în care datele cu caracter personal sunt prelucrate de către acelaşi sau de către un alt operator într-un scop care se încadrează în domeniul de aplicare al prezentei directive, dar este diferit de scopul în care au fost colectate, o astfel de prelucrare ar trebui să fie permisă cu condiţia ca o astfel de prelucrare să fie autorizată în conformitate cu dispoziţiile legale aplicabile şi este necesară şi proporţională în raport cu acest alt scop.

(30) Principiul exactităţii datelor ar trebui aplicat luând în considerare natura şi scopul prelucrării în cauză. În special în cadrul procedurilor judiciare, declaraţiile care conţin date cu caracter personal se bazează pe o percepţie subiectivă a persoanelor fizice şi nu sunt întotdeauna verificabile. În consecinţă, acest principiu nu ar trebui să se aplice exactităţii unei declaraţii, ci doar faptului că o anumită declaraţie a fost făcută.

(31) Prelucrarea datelor cu caracter personal în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti presupune prelucrarea datelor cu caracter personal referitoare la diferite categorii de persoane. Prin urmare, ar trebui să se facă o distincţie clară, după caz şi în măsura posibilului, între datele cu caracter personal ale diferitelor categorii de persoane vizate, cum ar fi suspecţii, persoanele condamnate pentru comiterea unei infracţiuni, victimele şi alte părţi, cum ar fi martorii, persoanele care deţin informaţii sau contacte relevante şi complicii suspecţilor şi ai infractorilor condamnaţi. Acest lucru nu ar trebui să împiedice aplicarea dreptului la prezumţia de nevinovăţie, astfel cum este garantat de Cartă şi de CEDO, după cum a fost interpretat de jurisprudenţa Curţii de Justiţie şi, respectiv, a Curţii Europene a Drepturilor Omului.

(32) Autorităţile competente ar trebui să se asigure că nu se transmit sau nu se pun la dispoziţie date cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale. Pentru a asigura protecţia persoanelor fizice şi exactitatea, caracterul integral sau gradul de actualitate şi fiabilitatea datelor cu caracter personal transmise sau puse la dispoziţie, autorităţile competente ar trebui, pe cât posibil, să adauge informaţiile necesare în toate transmiterile de date cu caracter personal.

(33) Atunci când prezenta directivă face trimitere la dreptul intern, la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerinţelor care decurg din ordinea constituţională a statului membru în cauză. Cu toate acestea, dreptul intern, temeiul juridic sau măsura legislativă în cauză ar trebui să fie clare şi precise, iar aplicarea să fie previzibilă destinatarilor, în conformitate cu jurisprudenţa Curţii de Justiţie şi a Curţii Europene a Drepturilor Omului. Dreptul intern care reglementează prelucrarea datelor cu caracter personal din domeniul de aplicare al prezentei directive ar trebui să precizeze cel puţin obiectivele, datele cu caracter personal care urmează a fi prelucrate, scopurile prelucrării şi procedurile de păstrare a integrităţii şi a confidenţialităţii datelor cu caracter personal şi procedurile de distrugere a acestora, oferind astfel garanţii suficiente împotriva riscurilor de abuzuri şi de arbitrar.

(34) Prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, ar trebui să acopere orice operaţiune sau serie de operaţiuni care se efectuează asupra datelor cu caracter personal sau seturilor de date cu caracter personal în aceste scopuri efectuată prin mijloace automate sau în alt mod, precum colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, alinierea sau combinarea, restricţionarea prelucrării, ştergerea sau distrugerea. În special, normele din prezenta directivă ar trebui să se aplice transmiterii datelor cu caracter personal în sensul prezentei directive către un destinatar care nu face obiectul prezentei directive. Un astfel de destinatar ar trebui să includă o persoană fizică sau juridică, o autoritate publică, o agenţie sau orice alt organ căruia îi sunt divulgate în mod legal datele cu caracter personal de către autorităţile competente. În cazul în care datele cu caracter personal au fost iniţial colectate de către o autoritate competentă în unul dintre scopurile prezentei directive, Regulamentul (UE) 2016/679 ar trebui să se aplice prelucrării acestor date în alte scopuri decât cele ale prezentei directive atunci când o astfel de prelucrare este autorizată de dreptul Uniunii sau de dreptul intern. În special, normele din Regulamentul (UE) 2016/679 ar trebui să se aplice la transmiterea de date cu caracter personal în scopuri care nu intră sub incidenţa prezentei directive. Prelucrarea datelor cu caracter personal de către un destinatar care nu este sau nu acţionează în calitate de autoritate competentă în sensul prezentei directive şi căruia îi sunt divulgate în mod legal date cu caracter personal de către o autoritate competentă, ar trebui să intre sub incidenţa Regulamentului (UE) 2016/679. La punerea în aplicare a prezentei directive, statele membre ar trebui, de asemenea, să poată aduce precizări suplimentare cu privire la aplicarea normelor din Regulamentul (UE) 2016/679, sub rezerva condiţiilor prevăzute în regulamentul respectiv.

(35) Pentru a fi legală, prelucrarea datelor cu caracter personal în temeiul prezentei directive ar trebui să fie necesară pentru îndeplinirea unei atribuţii de interes public de către o autoritate competentă în temeiul dreptului Uniunii sau al dreptului intern, în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora. Aceste activităţi ar trebui să acopere protejarea intereselor vitale ale persoanei vizate. Îndeplinirea sarcinilor de prevenire, depistare, investigare sau urmărire penală a infracţiunilor, conferită în mod instituţional prin lege autorităţilor competente, le permite acestora să solicite sau să impună persoanelor fizice să respecte cerinţele formulate. În acest caz, consimţământul persoanei vizate, astfel cum este definit în Regulamentul (UE) 2016/679, nu ar trebui să constituie un temei juridic pentru prelucrarea datelor cu caracter personal de către autorităţile competente. În cazul în care i se solicită persoanei vizate să respecte o obligaţie legală, persoana vizată nu dispune cu adevărat de libertatea de alegere, astfel încât reacţia persoanei vizate nu poate fi considerată ca o manifestare liberă a voinţei sale. Acest lucru nu ar trebui să împiedice statele membre să prevadă prin lege că persoana vizată poate accepta prelucrarea datelor sale cu caracter personal în scopurile prezentei directive, cum ar fi testele ADN în anchetele penale sau monitorizarea localizării persoanei vizate prin dispozitive electronice pentru executarea pedepselor.

(36) Statele membre ar trebui să prevadă că, în cazul în care dreptul Uniunii sau dreptul intern aplicabil autorităţii competente care a transmis datele prevede condiţii specifice aplicabile în situaţii specifice prelucrării datelor cu caracter personal, cum ar fi folosirea unor coduri de utilizare, autoritatea competentă care a transmis datele ar trebui să informeze destinatarul respectivelor date cu caracter personal cu privire la astfel de condiţii şi obligaţia de a le respecta. Astfel de condiţii ar putea include, de exemplu, interdicţia de a transmite datele cu caracter personal altor destinatari sau de a le utiliza în alte scopuri decât cele pentru care au fost transmise destinatarului, sau de a informa persoana vizată în cazul unei limitări a dreptului la informare fără aprobarea prealabilă a autorităţii competente care a transmis datele. Obligaţiile menţionate ar trebui să se aplice, de asemenea, transferurilor realizate de autoritatea competentă care a transmis datele către destinatari din ţări terţe sau către organizaţii internaţionale. Statele membre ar trebui să garanteze neaplicarea de către autoritatea competentă care a transmis datele nu aplică în cazul destinatarilor din alte state membre sau în cazul agenţiilor, oficiilor şi organelor instituite în conformitate cu titlul V capitolele 4 şi 5 din TFUE, alte condiţii decât cele aplicabile transmiterii similare de date în statul membru al autorităţii competente respective.

(37) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce priveşte drepturile şi libertăţile fundamentale necesită o protecţie specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor şi libertăţilor fundamentale. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului “origine rasială” în prezenta directivă neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească existenţa unor rase umane separate. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepţia cazului în care prelucrarea face obiectul unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate prevăzute de lege şi este autorizată în cazuri prevăzute de lege; dacă nu este deja autorizată de o astfel de lege, prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane; sau prelucrarea se referă la date care sunt făcute publice în mod manifest de către persoana vizată. Garanţiile adecvate pentru drepturile şi libertăţile persoanei vizate ar putea include posibilitatea de a colecta aceste date numai în legătură cu alte date referitoare la persoana fizică respectivă, posibilitatea de a garanta în mod adecvat datele colectate, reguli mai stricte privind accesul la date al personalului autorităţii competente şi interzicerea transmiterii datelor respective. Prelucrarea unor astfel de date ar trebui, de asemenea, să fie permisă de lege, atunci când persoana vizată a fost de acord în mod explicit, în cazurile în care prelucrarea este deosebit de intruzivă pentru aceasta. Cu toate acestea, consimţământul persoanei vizate nu ar trebui să constituie, în sine, un temei juridic pentru prelucrarea unor astfel de date sensibile cu caracter personal de către autorităţile competente.

(38) Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii care evaluează aspecte cu caracter personal referitoare la propria persoană, care se bazează exclusiv pe prelucrarea automată şi care produce efecte juridice negative care privesc propria persoană sau o afectează în mod semnificativ. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanţii corespunzătoare, inclusiv o informare specifică a persoanei vizate şi dreptul acesteia de a obţine intervenţie umană, în special de a-şi exprima punctul de vedere, de a primi o explicaţie privind decizia luată în urma unei astfel de evaluări sau de a contesta decizia. Crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza datelor cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce priveşte drepturile şi libertăţile fundamentale este interzisă în condiţiile prevăzute la articolele 21 şi 52 din Cartă.

(39) Pentru ca persoana vizată să îşi poată exercita drepturile, toate informaţiile adresate persoanei vizate ar trebui să fie uşor accesibile, inclusiv pe site-ul internet al operatorului, şi uşor de înţeles, fiind necesar ca limbajul folosit să fie simplu şi clar. Respectivele informaţii ar trebui să fie adaptate la nevoile persoanelor vulnerabile, cum ar fi copiii.

(40) Ar trebui să fie prevăzute modalităţi de facilitare a exercitării de către persoana vizată a drepturilor care îi sunt conferite prin dispoziţiile adoptate în temeiul prezentei directive, inclusiv mecanismele prin care aceasta poate solicita şi, după caz obţine, în mod gratuit, în special, acces la datele cu caracter personal, precum şi rectificarea sau ştergerea acestora şi restricţionarea prelucrării. Operatorul ar trebui să aibă obligaţia de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate, cu excepţia cazului în care operatorul aplică limitări ale drepturilor persoanelor vizate în conformitate cu prezenta directivă. În plus, în cazul în care cererile sunt în mod vădit nefondate sau excesive, de exemplu atunci când persoana vizată solicită informaţii în mod nejustificat şi repetat sau atunci când persoana vizată abuzează de dreptul său de a primi informaţii, de exemplu prin furnizarea de informaţii false sau înşelătoare în momentul efectuării cererii, operatorul ar trebui să poată percepe o taxă rezonabilă sau să refuze să dea curs cererii.

(41) Atunci când operatorul solicită furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate, respectivele informaţii ar trebui să fie prelucrate numai în acest scop specific şi nu ar trebui să fie stocate pentru o perioadă mai lungă decât cea necesară în acest scop specific.

(42) Cel puţin următoarele informaţii ar trebui să fie puse la dispoziţia persoanei vizate: identitatea operatorului, existenţa operaţiunii de prelucrare, scopurile prelucrării, dreptul de a înainta o plângere şi existenţa dreptului de a solicita operatorului accesul la prelucrare, precum şi rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării. Acest lucru ar putea să se realizeze pe site-ul internet al autorităţii competente. În plus, în cazuri specifice şi pentru a-i permite persoanei vizate să îşi exercite drepturile, persoana vizată ar trebui să fie informată cu privire la temeiul juridic al prelucrării şi cu privire la cât timp vor fi stocate datele, în măsura în care astfel de informaţii suplimentare sunt necesare, având în vedere circumstanţele specifice în care sunt prelucrate datele, pentru a garanta o prelucrare echitabilă în ceea ce priveşte persoana vizată.

(43) O persoană fizică ar trebui să aibă drept de acces la datele colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaşte şi de a i se comunica în ce scopuri sunt prelucrate datele, pentru ce perioadă sunt acestea prelucrate şi care este identitatea destinatarilor datelor, inclusiv din ţările terţe. Când respectiva comunicare include informaţii cu privire la originea datelor cu caracter personal, astfel de informaţii nu ar trebui să dezvăluie identitatea persoanelor fizice, în special a surselor confidenţiale. Pentru ca acest drept să fie respectat, este suficient ca persoana vizată să deţină o sinteză completă a respectivelor date într-o formă inteligibilă, adică o formă care să permită persoanei vizate să ia cunoştinţă de aceste date şi să verifice că acestea sunt exacte şi prelucrate în conformitate cu prezenta directivă, astfel încât persoana vizată să poată să îşi exercite drepturile care îi sunt conferite prin prezenta directivă. O astfel de sinteză ar putea fi furnizată sub forma unei copii a datelor cu caracter personal care sunt în curs de prelucrare.

(44) Statele membre ar trebui să aibă posibilitatea de a adopta măsuri legislative în vederea amânării, a restricţionării sau a omiterii informării persoanelor vizate sau în vederea restricţionării, integrale sau parţiale, a accesului la datele lor cu caracter personal, în măsura în care şi atât timp cât o astfel de măsură constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice în cauză, pentru a se evita obstrucţionarea cercetărilor, a anchetelor sau a procedurilor oficiale sau judiciare, pentru a nu se afecta prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor sau executarea pedepselor, pentru a se apăra securitatea publică sau securitatea naţională ori pentru a se apăra drepturile şi libertăţile altor persoane. Operatorul ar trebui să evalueze, prin intermediul unei examinări concrete şi individuale a fiecărui caz în parte, dacă dreptul de acces ar trebui să fie limitat parţial sau complet.

(45) Orice refuz sau limitare a accesului ar trebui, în principiu, să fie prezentată în scris persoanei vizate şi ar trebui să includă motivele de fapt şi de drept pe care se bazează decizia.

(46) Orice limitare a drepturilor persoanei vizate trebuie să fie în conformitate cu Carta şi cu CEDO, după cum a fost interpretată de jurisprudenţa Curţii de Justiţie şi, respectiv, a Curţii Europene a Drepturilor Omului şi, îndeosebi, trebuie să respecte esenţa drepturilor şi libertăţilor respective.

(47) O persoană fizică ar trebui să aibă dreptul de a obţine rectificarea datelor cu caracter personal inexacte care o privesc, mai ales când acestea se referă la fapte, precum şi dreptul la ştergerea datelor în cazul în care prelucrarea datelor respective nu respectă prezenta directivă. Cu toate acestea, dreptul la rectificare nu ar trebui să afecteze, de exemplu, conţinutul depoziţiilor martorilor. O persoană fizică ar trebui să aibă, de asemenea, dreptul la restricţionarea prelucrării atunci când această persoană contestă exactitatea datelor cu caracter personal şi nu se poate stabili exactitatea sau inexactitatea lor sau în cazul în care datele cu caracter personal trebuie să fie păstrate ca mijloace de probă. În special, în loc ca datele cu caracter personal să fie şterse, prelucrarea ar trebui să fie restricţionată dacă într-un caz specific există motive întemeiate să se considere că ştergerea lor ar putea afecta interesele legitime ale persoanei vizate. În acest caz, datele restricţionate ar trebui să fie prelucrate doar în scopul care a împiedicat ştergerea lor. Metodele de restricţionare a prelucrării ar putea include, printre altele, transferul datelor selectate în alt sistem de prelucrare, de exemplu în scopuri de arhivare, sau anularea accesului utilizatorilor la datele selectate. În ceea ce priveşte sistemele automatizate de evidenţă a datelor, restricţionarea prelucrării de date cu caracter personal ar trebui, în principiu, asigurată prin mijloace tehnice; faptul că prelucrarea datelor cu caracter personal este restricţionată ar trebui indicat în sistem în aşa fel încât să se înţeleagă clar că această restricţionare are loc. O astfel de rectificare sau ştergere a datelor cu caracter personal sau restricţionare a prelucrării ar trebui să fie comunicată destinatarilor cărora le-au fost divulgate datele şi autorităţilor competente de la care provin datele inexacte. Operatorii ar trebui, de asemenea, să nu comunice mai departe astfel de date.

(48) În cazul în care operatorul refuză unei persoane vizate drepturile acesteia la informare, acces ori la rectificarea sau ştergerea datelor cu caracter personal sau la restricţionarea prelucrării, persoana vizată ar trebui să aibă dreptul de a solicita ca autoritatea naţională de supraveghere să verifice legalitatea prelucrării. Persoana vizată ar trebui să fie informată cu privire la acest drept. Atunci când autoritatea de supraveghere acţionează în numele persoanei vizate, persoana vizată ar trebui să fie informată de către autoritatea de supraveghere cel puţin cu privire la faptul că toate verificările sau revizuirile necesare au fost efectuate de către autoritatea de supraveghere. Autoritatea de supraveghere ar trebui, de asemenea, să informeze persoana vizată în legătură cu dreptul de a introduce o cale de atac.

(49) În cazul în care datele cu caracter personal sunt prelucrate în cadrul unei anchete penale şi al unor acţiuni în instanţă în materie penală, statele membre ar trebui să poată garanta exercitarea drepturilor la informare, acces şi de rectificare sau ştergere a datelor cu caracter personal şi de restricţionare a prelucrării în conformitate cu normele naţionale privind procedurile judiciare.

(50) Ar trebui să se stabilească responsabilitatea şi răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să pună în aplicare măsuri adecvate şi eficace şi să fie în măsură să demonstreze că activităţile de prelucrare respectă prezenta directivă. Măsurile respective ar trebui să ţină seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscul la adresa drepturilor şi libertăţilor persoanelor fizice. Măsurile luate de operator ar trebui să includă elaborarea şi punerea în aplicare a unor garanţii specifice cu privire la tratamentul datelor cu caracter personal ale persoanelor vulnerabile, în special ale copiilor.

(51) Riscurile la adresa drepturilor şi libertăţilor persoanelor fizice, prezentând grade diferite de probabilitate şi gravitate, pot fi rezultatul unei prelucrări a datelor care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate genera discriminare, furtul sau uzurparea identităţii, prejudiciu financiar, compromiterea reputaţiei, pierderea confidenţialităţii datelor protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt prejudiciu semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile şi libertăţile lor sau de capacitatea de a-şi exercita controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, ori apartenenţa sindicală; sunt prelucrate date genetice sau date biometrice pentru identificarea singulară a unei persoane sau date privind sănătatea sau date privind viaţa sexuală şi orientarea sexuală sau condamnările penale şi infracţiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, de exemplu analizarea şi previzionarea unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau comportamentul, localizarea sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale copiilor; sau prelucrarea implică un volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.

(52) Probabilitatea şi gravitatea riscului ar trebui să fie determinate în raport de natura, domeniul de aplicare, contextul şi scopurile prelucrării. Riscul ar trebui să facă obiectul unei evaluări obiective, prin care să se stabilească dacă operaţiunile de prelucrare a datelor prezintă un risc ridicat. Un risc ridicat este un risc deosebit de prejudiciere a drepturilor şi libertăţilor persoanelor vizate.

(53) Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezenta directivă. Punerea în aplicare a unor astfel de măsuri nu ar trebui să se întemeieze doar pe considerente economice. Pentru a fi în măsură să demonstreze respectarea prezentei directive, operatorul ar trebui să adopte politici interne şi să pună în aplicare măsuri care să adere, în special, la principiul protecţiei datelor începând cu momentul conceperii şi al protecţiei implicite a datelor. În cazul în care operatorul a realizat o evaluare a impactului asupra protecţiei datelor în temeiul prezentei directive, ar trebui să se ţină cont de rezultatele acesteia la elaborarea măsurilor şi procedurilor respective. Măsurile ar putea consta, printre altele, în utilizarea pseudonimizării, cât mai curând posibil. Utilizarea pseudonimizării în sensul prezentei directive poate servi ca instrument care ar putea facilita, în special, libera circulaţie a datelor cu caracter personal în cadrul spaţiului de libertate, securitate şi justiţie.

(54) Protecţia drepturilor şi libertăţilor persoanelor vizate, precum şi responsabilitatea şi răspunderea operatorilor şi a persoanelor împuternicite de către operator, inclusiv în ceea ce priveşte monitorizarea de către autorităţile de supraveghere şi măsurile adoptate de acestea, necesită o atribuire clară a responsabilităţilor stabilite prin prezenta directivă, inclusiv în cazul în care un operator stabileşte scopurile şi mijloacele prelucrării împreună cu alţi operatori sau în cazul în care o operaţiune de prelucrare este efectuată în numele unui operator.

(55) Efectuarea prelucrării de către o persoană împuternicită de către un operator ar trebui să fie reglementată printr-un act juridic care să includă un contract care creează obligaţii pentru persoana împuternicită de către operator în raport cu operatorul şi care să stipuleze, în special, că persoana împuternicită de către operator ar trebui să acţioneze numai la instrucţiunile operatorului. Persoana împuternicită de către operator ar trebui să ţină cont de principiul protecţiei datelor începând cu momentul conceperii şi al protecţiei implicite a datelor.

(56) În vederea demonstrării conformităţii cu prezenta directivă, operatorul sau persoana împuternicită de către operator ar trebui să păstreze evidenţe ale tuturor categoriilor de activităţi de prelucrare aflate în responsabilitatea sa. Fiecare operator şi fiecare persoană împuternicită de către operator ar trebui să aibă obligaţia de a coopera cu autoritatea de supraveghere şi de a pune la dispoziţia acesteia, la cerere, aceste evidenţe, pentru a putea fi utilizate în scopul monitorizării respectivelor operaţiuni de prelucrare. Operatorul sau persoana împuternicită de către operator care prelucrează date cu caracter personal în sisteme de prelucrare neautomată ar trebui să dispună de metode eficiente pentru a demonstra legalitatea prelucrării, a permite monitorizarea proprie şi a garanta integritatea şi securitatea datelor, precum înregistrări sau alte forme de evidenţe.

(57) Înregistrările ar trebui păstrate cel puţin pentru operaţiunile din cadrul sistemelor de prelucrare automată, precum colectarea, modificarea, consultarea, divulgarea, inclusiv transferurile, combinarea sau ştergerea. Identificarea persoanei care a consultat sau divulgat date cu caracter personal ar trebui să fie înregistrată şi, plecând de la identificarea respectivă, ar putea fi posibil să se stabilească justificarea operaţiunilor de prelucrare. Înregistrările ar trebui să fie utilizate numai pentru verificarea legalităţii prelucrării, monitorizarea proprie, asigurarea integrităţii şi securităţii datelor şi pentru proceduri penale. Monitorizarea proprie include, de asemenea, proceduri disciplinare interne ale autorităţilor competente.

(58) Operatorul ar trebui să realizeze o evaluare a impactului asupra protecţiei datelor în cazurile în care operaţiunile de prelucrare pot avea drept rezultat, prin natura, domeniul de aplicare sau scopurile lor, un risc ridicat la adresa drepturilor şi libertăţilor persoanelor vizate, evaluare care ar trebui să includă în special măsurile, garanţiile şi mecanismele preconizate în vederea asigurării protecţiei datelor cu caracter personal şi a atestării conformităţii cu prezenta directivă. Evaluările impactului ar trebui să acopere sistemele şi procesele relevante aferente operaţiunilor de prelucrare, şi nu cazuri individuale.

(59) Pentru a garanta protecţia eficientă a drepturilor şi libertăţilor persoanelor vizate, operatorul sau persoana împuternicită de către operator ar trebui să se consulte cu autoritatea de supraveghere în anumite cazuri, înainte de prelucrare.

(60) În vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă prezenta directivă, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării şi să pună în aplicare măsuri pentru atenuarea acestor riscuri, precum criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv de confidenţialitate, luând în considerare stadiul actual al tehnologiei, costurile punerii lor în aplicare în raport cu riscurile şi natura datelor cu caracter personal a căror protecţie trebuie asigurată. La evaluarea riscurilor la adresa securităţii datelor, ar trebui să se acorde atenţie riscurilor pe care le prezintă prelucrarea datelor, cum ar fi distrugerea, pierderea sau modificarea accidentală sau ilegală, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, care pot duce în special la prejudicii fizice, materiale sau morale. Operatorul şi persoana împuternicită de către operator ar trebui să se asigure că prelucrarea datelor cu caracter personal nu se realizează de către persoane neautorizate.

(61) Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate genera prejudicii fizice, materiale sau morale persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau uzurpare de identitate, prejudiciu financiar, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt prejudiciu important de natură economică sau socială cauzat acelei persoane fizice. Prin urmare, de îndată ce a luat cunoştinţă de producerea unei încălcări a securităţii datelor cu caracter personal, operatorul ar trebui să notifice încălcarea securităţii datelor cu caracter personal autorităţii de supraveghere fără întârziere nejustificată şi, dacă este posibil, în cel mult 72 de ore după ce a luat cunoştinţă de existenţa acesteia, cu excepţia cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilităţii, că încălcarea securităţii datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. Atunci când notificarea nu se poate realiza în termen de 72 de ore, aceasta ar trebui să cuprindă motivele întârzierii, iar informaţiile pot fi furnizate treptat, fără altă întârziere.

(62) Persoanele fizice ar trebui să fie notificate fără întârziere în cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, pentru a le permite acestora să ia măsurile de precauţie necesare. Notificarea ar trebui să descrie natura încălcării securităţii datelor cu caracter personal şi să formuleze recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Notificarea persoanelor vizate ar trebui să fie efectuate în cel mai scurt timp posibil în mod rezonabil şi în strânsă cooperare cu autoritatea de supraveghere şi în conformitate cu orientările furnizate de aceasta sau de alte autorităţi relevante. De exemplu, necesitatea de a atenua un risc imediat de producere a unor prejudicii ar presupune notificarea cu promptitudine a persoanelor vizate, în timp ce necesitatea de a pune în aplicare măsuri corespunzătoare împotriva încălcării în continuare a securităţii datelor sau împotriva unor încălcări similare ale securităţii datelor ar putea justifica un termen mai îndelungat. În cazul în care evitarea obstrucţionării cercetărilor, a anchetelor sau a procedurilor oficiale sau judiciare, evitarea aducerii de prejudicii la adresa prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau a executării pedepselor, a protejării securităţii publice, a protejării securităţii naţionale sau a apărării drepturilor şi libertăţilor altora nu pot fi obţinute prin amânarea sau restricţionarea comunicării unei încălcări a securităţii datelor cu caracter personal către persoana fizică în cauză, o astfel de comunicare ar putea fi omisă în circumstanţe excepţionale.

(63) Operatorul ar trebui să desemneze o persoană care să îi acorde asistenţă pentru a monitoriza respectarea, la nivel intern, a dispoziţiilor adoptate în temeiul prezentei directive, cu excepţia cazului în care un stat membru decide să exonereze instanţele şi alte autorităţi judiciare independente atunci când acţionează în exerciţiul funcţiei lor judiciare. Persoana respectivă ar putea fi un membru al personalului existent al operatorului care a beneficiat de o formare specială în materie de legislaţie şi practici privind protecţia datelor pentru a dobândi cunoştinţe de specialitate în domeniul respectiv. Nivelul necesar al cunoştinţelor de specialitate ar trebui să se stabilească în special în funcţie de prelucrarea efectuată asupra datelor şi de gradul de protecţie impus pentru datele cu caracter personal prelucrate de către operator. Îndeplinirea sarcinilor sale poate fi efectuată cu normă întreagă sau cu fracţiune de normă. Un responsabil cu protecţia datelor poate fi numit în comun de mai mulţi operatori, ţinând seama de structura organizatorică şi de dimensiunea acestora, de exemplu în caz de resurse comune în unităţile centrale. Persoana respectivă poate fi, de asemenea, numită în posturi diferite în cadrul structurii operatorilor relevanţi. Persoana respectivă ar trebui să îl ajute pe operator şi pe angajaţii care prelucrează date cu caracter personal, prin informarea şi consilierea acestora cu privire la respectarea obligaţiilor relevante ale acestora în materie de protecţie a datelor. Astfel de responsabili cu protecţia datelor ar trebui să fie în măsură să îşi îndeplinească îndatoririle şi sarcinile în mod independent, în conformitate cu dreptul intern.

(64) Statele membre ar trebui să asigure că transferul către o ţară terţă sau către o organizaţie internaţională are loc numai în cazul în care acest transfer este necesar pentru prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau pentru executarea pedepselor, inclusiv pentru protejarea împotriva ameninţărilor la adresa securităţii publice şi prevenirea acestora, iar operatorul din ţara terţă sau din organizaţia internaţională este o autoritate competentă în sensul prezentei directive. Un transfer ar trebui să poată fi efectuat numai de către autorităţile competente, acţionând în calitate de operatori, cu excepţia cazului în care persoanele împuternicite de către operatori primesc instrucţiuni în mod expres să transfere în numele operatorilor. Un astfel de transfer poate avea loc în cazul în care Comisia decide că ţara terţă sau organizaţia internaţională în cauză asigură un nivel adecvat de protecţie, atunci când se asigură garanţii corespunzătoare ori când se aplică derogări pentru situaţii speciale. În cazul în care se transferă date cu caracter personal din Uniune către operatori, persoane împuternicite de către operatori sau alţi destinatari din ţări terţe sau organizaţii internaţionale, nivelul de protecţie a persoanelor fizice garantat în Uniune prin prezenta directivă nu ar trebui să fie diminuat, inclusiv în cazurile de transferuri ulterioare de date cu caracter personal dinspre ţara terţă sau organizaţia internaţională către operatori sau persoane împuternicite de către operatori din aceeaşi sau dintr-o altă ţară terţă sau organizaţie internaţională.

(65) În cazul transferului de date cu caracter personal de la un stat membru către ţări terţe sau către organizaţii internaţionale, un astfel de transfer ar trebui să aibă loc, în principiu, numai după ce statul membru de la care au fost obţinute datele a acordat o autorizaţie în ceea ce priveşte transferul. Interesele unei cooperări eficiente în domeniul aplicării legii impun ca, în cazul în care natura unei ameninţări la adresa securităţii publice a unui stat membru sau a unei ţări terţe sau la adresa intereselor fundamentale ale unui stat membru este atât de urgentă încât să facă imposibilă obţinerea unei autorizaţii prealabile în timp util, autoritatea competentă ar trebui să poată transfera datele cu caracter personal relevante către ţara terţă sau organizaţia internaţională în cauză fără o astfel de autorizaţie prealabilă. Statele membre ar trebui să prevadă că orice condiţii specifice pentru transfer ar trebui să fie comunicate ţărilor terţe sau organizaţiilor internaţionale. Transferurile ulterioare de date cu caracter personal ar trebui să facă obiectul autorizării prealabile de către autoritatea competentă care a realizat transferul iniţial. Atunci când decide cu privire la o cerere de autorizare a unui transfer ulterior, autoritatea competentă care a realizat transferul iniţial ar trebui să ţină seama în mod corespunzător de toţi factorii relevanţi, inclusiv de gravitatea infracţiunii, de condiţiile specifice transferului şi de scopul pentru care datele au fost transferate iniţial, de natura şi condiţiile executării pedepsei, precum şi de nivelul de protecţie a datelor cu caracter personal din ţara terţă sau dintr-o organizaţie internaţională către care datele cu caracter personal sunt transferate ulterior. Autoritatea competentă care a realizat transferul iniţial ar trebui, de asemenea, să poată aplica transferului ulterior condiţii specifice. Astfel de condiţii specifice pot fi descrise, de exemplu, în coduri de utilizare.

(66) Comisia ar trebui să poată decide, cu efect în întreaga Uniune, că anumite ţări terţe, un teritoriu ori unul sau mai multe sectoare determinate dintr-o ţară terţă sau o organizaţie internaţională oferă un nivel adecvat de protecţie a datelor, furnizând astfel securitate juridică şi uniformitate în întreaga Uniune în ceea ce priveşte ţările terţe sau organizaţiile internaţionale care sunt considerate a furniza un astfel de nivel de protecţie. În astfel de cazuri, transferurile de date cu caracter personal către ţările respective ar trebui să se poată realiza fără a fi necesară obţinerea unei autorizaţii speciale, cu excepţia cazului în care un alt stat membru de la care au fost obţinute datele trebuie să îşi dea autorizaţia pentru transfer.

(67) În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special apărarea drepturilor omului, Comisia ar trebui, în evaluarea sa referitoare la ţara terţă sau la un teritoriu sau la un sector determinat dintr-o ţară terţă, să ia în considerare modul în care o anumită ţară terţă respectă statul de drept, accesul la justiţie, precum şi normele şi standardele internaţionale în materie de drepturi ale omului şi legislaţia sa generală şi sectorială, inclusiv legislaţia privind securitatea publică, apărarea şi securitatea naţională, precum şi ordinea publică şi dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protecţie în ceea ce priveşte un teritoriu sau un sector determinat dintr-o ţară terţă ar trebui să ţină seama de criterii clare şi obiective, cum ar fi activităţile specifice de prelucrare şi domeniul de aplicare al standardelor juridice aplicabile şi legislaţia în vigoare în ţara terţă respectivă. Ţara terţă ar trebui să garanteze un nivel adecvat de protecţie, echivalent în esenţă celui asigurat în cadrul Uniunii, în special atunci când datele sunt prelucrate în unul sau mai multe sectoare specifice. În special, ţara terţă ar trebui să asigure o supraveghere efectivă independentă în materie de protecţie a datelor şi să prevadă mecanisme de cooperare cu autorităţile de protecţie a datelor din statele membre, iar persoanele vizate ar trebui să beneficieze de drepturi efective şi opozabile şi de reparaţii efective pe cale administrativă şi judiciară.

(68) Pe lângă angajamentele internaţionale asumate de ţara terţă sau de organizaţia internaţională, Comisia ar trebui să ţină seama şi de obligaţiile care decurg din participarea ţării terţe sau a organizaţiei internaţionale la sistemele multilaterale sau regionale, în special în ceea ce priveşte protecţia datelor cu caracter personal, precum şi de punerea în aplicare a unor astfel de obligaţii. În special, ar trebui să fie luată în considerare aderarea ţării terţe la Convenţia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor faţă de prelucrarea automatizată a datelor cu caracter personal şi la protocolul adiţional la aceasta. Comisia ar trebui să consulte Comitetul european pentru protecţia datelor instituit prin Regulamentul (UE) 2016/679 (“comitetul”) atunci când evaluează nivelul de protecţie din ţările terţe sau din organizaţiile internaţionale. De asemenea, Comisia ar trebui să ţină seama de orice decizie relevantă a Comisiei privind caracterul adecvat al nivelului de protecţie, adoptată în conformitate cu articolul 45 din Regulamentul (UE) 2016/679.

(69) Comisia ar trebui să monitorizeze funcţionarea deciziilor privind nivelul de protecţie dintr-o ţară terţă, un teritoriu sau un sector determinat dintr-o ţară terţă sau dintr-o organizaţie internaţională. În ceea ce priveşte deciziile sale privind caracterul adecvat al nivelului de protecţie, Comisia ar trebui să prevadă un mecanism de revizuire periodică a funcţionării acestora. Această revizuire periodică ar trebui să se realizeze în consultare cu ţara terţă sau cu organizaţia internaţională în cauză şi ar trebui să ia în considerare toate evoluţiile relevante din ţara terţă sau organizaţia internaţională.

(70) Comisia ar trebui, de asemenea, să fie în măsură să constate faptul că o ţară terţă, un teritoriu sau un sector determinat dintr-o ţară terţă ori o organizaţie internaţională nu mai asigură un nivel corespunzător de protecţie a datelor. În consecinţă, transferul de date cu caracter personal către ţara terţă sau organizaţia internaţională respectivă ar trebui să fie interzis, cu excepţia cazului când sunt îndeplinite cerinţele prevăzute în prezenta directivă referitoare la transferul de date sub rezerva unor garanţii adecvate şi a unor derogări în situaţii specifice. Ar trebui să se prevadă proceduri de consultare între Comisie şi astfel de ţări terţe sau organizaţii internaţionale. Comisia ar trebui ca, în timp util, să informeze ţara terţă sau organizaţia internaţională cu privire la aceste motive şi să iniţieze consultări cu aceasta pentru remedierea situaţiei.

(71) Transferurile care nu se întemeiază pe o astfel de decizie privind caracterul adecvat al nivelului de protecţie ar trebui să fie permise numai în cazul în care au fost prezentate garanţii corespunzătoare într-un instrument cu caracter juridic obligatoriu, care să asigure protecţia datelor cu caracter personal, sau în cazul în care operatorul a evaluat toate circumstanţele legate de datele transferate şi, pe baza acestei evaluări, consideră că există garanţii adecvate în ceea ce priveşte protecţia datelor cu caracter personal. Astfel de instrumente cu caracter juridic obligatoriu ar putea fi, de exemplu, acorduri bilaterale cu caracter juridic obligatoriu care au fost încheiate de statele membre şi puse în aplicare în ordinea juridică a acestora şi a căror respectare poate fi impusă de către persoanele vizate din respectivele state membre, asigurând respectarea cerinţelor în materie de protecţie a datelor şi drepturile persoanelor vizate, inclusiv dreptul de a obţine reparaţii efective pe cale administrativă sau judiciară. Operatorul ar trebui să ia în considerare acordurile de cooperare încheiate între Europol sau Eurojust şi ţări terţe care permit schimbul de date cu caracter personal atunci când se efectuează evaluarea tuturor circumstanţelor legate de transferul de date. Operatorul ar trebui, de asemenea, să poată lua în considerare faptul că transferul de date cu caracter personal va fi supus obligaţiilor de confidenţialitate şi principiului specificităţii, asigurându-se că datele nu vor fi prelucrate în alte scopuri decât cel al transferului. În plus, operatorul ar trebui să ia în considerare faptul că datele cu caracter personal nu vor fi folosite pentru a solicita, a pronunţa sau a executa pedeapsa cu moartea sau orice altă formă de tratament crud şi inuman. Chiar dacă aceste condiţii ar putea fi considerate garanţii adecvate care să permită transferul de date, operatorul ar trebui să poată solicita garanţii suplimentare.

(72) În cazul în care nu există nicio decizie privind caracterul adecvat al nivelului de protecţie sau nicio garanţie adecvată, un transfer sau o categorie de transferuri poate avea loc numai în situaţii specifice, dacă este necesar în scopul protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane sau al protejării intereselor legitime ale persoanei vizate, în cazul în care se prevede astfel în dreptul statului membru care transferă datele cu caracter personal; pentru prevenirea unei ameninţări imediate şi grave la adresa securităţii publice a unui stat membru sau a unei ţări terţe; într-un caz specific, în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv în scopul protejării împotriva ameninţărilor la adresa securităţii publice; sau, într-un caz specific, pentru constatarea, exercitarea sau apărarea unui drept în instanţă. Aceste derogări ar trebui interpretate restrictiv şi nu ar trebui să permită transferuri frecvente, masive şi structurale de date cu caracter personal sau transferuri la scară largă de date, ci ar trebui să se limiteze la datele strict necesare. Astfel de transferuri ar trebui să fie documentate şi să fie puse la dispoziţia autorităţii de supraveghere la cerere, în scopul monitorizării legalităţii transferului.

(73) Autorităţile competente ale statelor membre aplică acordurile internaţionale bilaterale sau multilaterale în vigoare, încheiate cu ţări terţe în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti, în schimbul obţinerii de informaţii relevante care să le permită să îşi îndeplinească sarcinile atribuite în mod legal. În principiu, acest lucru are loc prin intermediul sau cel puţin cu cooperarea autorităţilor competente din ţările terţe implicate în scopul prezentei directive, uneori chiar în absenţa unui acord internaţional bilateral sau multilateral. Cu toate acestea, în anumite cazuri individuale, procedurile obişnuite care necesită contactarea autorităţii din ţara terţă pot fi ineficiente sau inadecvate, în special din cauza faptului că transferul nu poate fi efectuat în timp util sau din cauza faptului că autoritatea din ţara terţă nu respectă statul de drept sau normele şi standardele internaţionale în materie de drepturi ale omului, astfel încât autorităţile competente ale statelor membre ar putea decide să transfere datele cu caracter personal direct beneficiarilor stabiliţi în ţări terţe. Acesta ar putea fi cazul atunci când există o nevoie urgentă de a transfera date cu caracter personal pentru a salva viaţa unei persoane care se află în pericol de a deveni victimă a unei infracţiuni sau în interesul prevenirii săvârşirii iminente a unei infracţiuni, inclusiv a terorismului. Chiar dacă acest transfer între autorităţile competente şi destinatarii stabiliţi în ţări terţe ar trebui să aibă loc numai în anumite cazuri individuale, prezenta directivă ar trebui să prevadă condiţiile pentru reglementarea unor astfel de cazuri. Aceste dispoziţii nu ar trebui să fie considerate derogări de la niciun acord internaţional bilateral sau multilateral existent în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti. Aceste norme ar trebui să se aplice în completarea altor norme din directivă, în special cele cu privire la legalitatea prelucrării şi cele din capitolul V.

(74) Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit capacitatea persoanelor fizice de a-şi exercita drepturile în materie de protecţie a datelor pentru a se proteja împotriva utilizării sau a divulgării ilegale a acestor date. În acelaşi timp, autorităţile de supraveghere pot constata că se află în imposibilitatea de a da curs unor plângeri sau de a efectua investigaţii referitoare la activităţile desfăşurate în afara frontierelor lor. Eforturile lor de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficienţa competenţelor de prevenire sau remediere şi de caracterul eterogen al regimurilor juridice. Prin urmare, este necesar să se promoveze o cooperare mai strânsă între autorităţile de supraveghere a protecţiei datelor pentru a le ajuta să facă schimb de informaţii cu omologii lor străini.

(75) Instituirea în statele membre a unor autorităţi de supraveghere capabile să îşi exercite atribuţiile în deplină independenţă reprezintă un element esenţial al protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. Autorităţile de supraveghere ar trebui să monitorizeze aplicarea dispoziţiilor adoptate în temeiul prezentei directive şi ar trebui să contribuie la aplicarea ei consecventă în întreaga Uniune, în scopul asigurării protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. În acest scop, autorităţile de supraveghere ar trebui să coopereze între ele şi cu Comisia.

(76) Statele membre pot încredinţa unei autorităţi de supraveghere deja înfiinţate în temeiul Regulamentului (UE) 2016/679 responsabilitatea pentru sarcinile care urmează să fie îndeplinite de către autorităţile naţionale de supraveghere care urmează a fi înfiinţate în temeiul prezentei directive.

(77) Statele membre ar trebui să aibă posibilitatea de a institui mai multe autorităţi de supraveghere, pentru a reflecta structura lor constituţională, organizatorică şi administrativă. Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare şi umane, de localuri şi de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistenţa reciprocă şi cooperarea cu alte autorităţi de supraveghere în întreaga Uniune. Fiecare autoritate de supraveghere ar trebui să aibă un buget public anual distinct, care poate face parte din bugetul general de stat sau naţional.

(78) Autorităţile de supraveghere ar trebui să facă obiectul unui control independent sau al unor mecanisme de monitorizare în ceea ce priveşte cheltuielile lor financiare, cu condiţia ca acest control financiar să nu le afecteze independenţa.

(79) Condiţiile generale pentru membrul sau membrii autorităţii de supraveghere ar trebui stabilite prin dreptul intern şi ar trebui, în special, să prevadă că respectivii membri ar trebui să fie numiţi de parlamentul şi/sau de guvernul ori de şeful de stat al statului membru în cauză, pe baza unei propuneri din partea guvernului sau a unui membru al guvernului ori din partea parlamentului sau camerei acestuia, ori de către un organism independent împuternicit prin dreptul intern să facă numirea prin intermediul unei proceduri transparente. În vederea asigurării independenţei autorităţii de supraveghere, membrul sau membrii acesteia ar trebui să dea dovadă de integritate, nu ar trebui să întreprindă acţiuni incompatibile cu îndatoririle lor, iar, pe durata mandatului, nu ar trebui să desfăşoare activităţi incompatibile, remunerate sau nu. În vederea asigurării independenţei autorităţii de supraveghere, personalul ar trebui să fie ales de autoritatea de supraveghere, ceea ce poate include o intervenţie din partea unui organism independent împuternicit în acest sens prin dreptul intern.

(80) Cu toate că prezenta directivă se aplică, de asemenea, activităţilor instanţelor naţionale şi ale altor autorităţi judiciare, prelucrarea datelor cu caracter personal nu ar trebui să fie de competenţa autorităţilor de supraveghere atunci când instanţele acţionează în exerciţiul funcţiei lor judiciare, în scopul asigurării independenţei judecătorilor în îndeplinirea sarcinilor lor judiciare. Această derogare ar trebui să se limiteze la activităţi judiciare în cadrul acţiunilor în instanţă şi să nu se aplice altor activităţi în care judecătorii ar putea fi implicaţi, în conformitate cu dreptul intern. Statele membre ar trebui, de asemenea, să poată să prevadă faptul că nu este de competenţa autorităţii de supraveghere prelucrarea datelor cu caracter personal ale altor autorităţi judiciare independente care acţionează în exerciţiul funcţiei lor judiciare, de exemplu ministerul public. În orice caz, respectarea normelor prezentei directive de către instanţe şi alte autorităţi judiciare independente face întotdeauna obiectul unei supravegheri independente în conformitate cu articolul 8 alineatul (3) din Cartă.

(81) Fiecare autoritate de supraveghere ar trebui să trateze plângerile depuse de orice persoană vizată şi ar trebui să investigheze cazul sau să-l transmită autorităţii de supraveghere competente. Investigaţia în urma unei plângeri ar trebui să fie efectuată, sub rezerva controlului jurisdicţional, în măsura necesară fiecărui caz. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluţia şi soluţionarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informaţii intermediare persoanei vizate.

(82) Pentru a se asigura eficacitatea, fiabilitatea şi consecvenţa monitorizării respectării şi a aplicării prezentei directive în întreaga Uniune, în conformitate cu TFUE, astfel cum a fost interpretat de Curtea de Justiţie, autorităţilor de supraveghere din fiecare stat membru ar trebui să le revină aceleaşi sarcini şi competenţe efective, inclusiv competenţe de investigare, corective şi de consiliere, care constituie mijloace necesare pentru îndeplinirea sarcinilor lor. Cu toate acestea, competenţele acestora nu ar trebui să afecteze normele speciale de procedură penală, inclusiv cele referitoare la investigarea şi urmărirea penală a infracţiunilor, sau independenţa justiţiei. Fără a aduce atingere competenţelor autorităţilor de urmărire penală în temeiul dreptului intern, autorităţile de supraveghere ar trebui să aibă, de asemenea, competenţa de a aduce în atenţia autorităţilor judiciare cazurile de încălcare a prezentei directive sau de a desfăşura proceduri judiciare. Competenţele autorităţilor de supraveghere ar trebui să fie exercitate în conformitate cu garanţiile procedurale adecvate prevăzute în dreptul Uniunii şi în dreptul intern, în mod imparţial, echitabil şi într-un termen rezonabil. În special, fiecare măsură ar trebui să fie adecvată, necesară şi proporţională în scopul de a asigura conformitatea cu prezenta directivă, luând în considerare circumstanţele fiecărui caz în parte, să respecte dreptul oricărei persoane de a fi ascultată înainte de a fi luată orice măsură individuală care ar putea să îi aducă atingere şi să evite costurile inutile şi inconvenientele excesive pentru persoanele în cauză. Competenţele de investigare în ceea ce priveşte accesul în incinte ar trebui exercitate în conformitate cu cerinţele specifice din dreptul intern, cum ar fi obligaţia de a obţine în prealabil o autorizare judiciară. Adoptarea unei decizii obligatorii din punct de vedere juridic ar trebui să facă obiectul controlului jurisdicţional în statul membru al autorităţii de supraveghere care a adoptat decizia.

(83) Autorităţile de supraveghere ar trebui să se sprijine reciproc în îndeplinirea sarcinilor care le revin şi ar trebui să îşi acorde asistenţă reciprocă, pentru a se asigura aplicarea consecventă a dispoziţiilor adoptate în temeiul prezentei directive.

(84) Comitetul, ar trebui să contribuie la aplicarea coerentă a prezentei directive în întreaga Uniune, inclusiv prin consilierea Comisiei şi prin promovarea cooperării autorităţilor de supraveghere în întreaga Uniune.

(85) Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o singură autoritate de supraveghere şi la o cale de atac eficientă în conformitate cu articolul 47 din Cartă, în cazul în care persoana vizată consideră că sunt încălcate drepturile care îi revin în conformitate cu dispoziţiile adoptate în temeiul prezentei directive sau în cazul în care autoritatea de supraveghere nu dă curs unei plângeri, respinge sau refuză parţial sau total o plângere sau nu acţionează atunci când o astfel de acţiune este necesară pentru asigurarea protecţiei drepturilor persoanei vizate. Investigaţia în urma unei plângeri ar trebui să fie efectuată, făcând obiectul controlului jurisdicţional, în măsura în care este necesar, în funcţie de caz. Autoritatea de supraveghere competentă ar trebui să informeze persoana vizată cu privire la evoluţia şi soluţionarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informaţii intermediare persoanei vizate. În vederea facilitării depunerii plângerilor, fiecare autoritate de supraveghere ar trebui să ia măsuri precum punerea la dispoziţie a unui formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.

(86) Orice persoană fizică sau juridică ar trebui să aibă dreptul la o cale de atac eficientă în faţa instanţei naţionale competente, împotriva unei decizii a unei autorităţi de supraveghere care produce efecte juridice privind persoana respectivă. O astfel de decizie se referă în special la exercitarea competenţelor de investigare, corective şi de autorizare de către autoritatea de supraveghere sau la refuzul sau respingerea plângerilor. Cu toate acestea, dreptul respectiv nu priveşte alte măsuri ale autorităţilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consultanţa furnizată de aceasta. Acţiunile iniţiate împotriva unei autorităţi de supraveghere ar trebui să fie aduse în faţa instanţelor statului membru în care este stabilită autoritatea de supraveghere şi ar trebui să se desfăşoare în conformitate cu dreptul intern al statului membru respectiv. Respectivele instanţe ar trebui să îşi exercite competenţa deplină, care ar trebui să includă competenţa de a examina toate aspectele de fapt sau de drept care au relevanţă pentru litigiul cu care acestea sunt sesizate.

(87) În cazul în care persoana vizată consideră că drepturile sale în temeiul prezentei directive sunt încălcate, aceasta ar trebui să aibă dreptul să mandateze un organism care are drept obiectiv asigurarea protecţiei drepturilor şi a intereselor persoanelor vizate în ceea ce priveşte protecţia datelor acestora cu caracter personal şi este constituit în conformitate cu dreptul intern, să depună o plângere în numele persoanei vizate la o autoritate de supraveghere sau să exercite dreptul la o cale de atac. Dreptul de reprezentare a persoanelor vizate ar trebui să nu aducă atingere dreptului procedural intern care poate impune reprezentarea în mod obligatoriu a persoanelor vizate de un avocat, astfel cum este definit în Directiva 77/249/CEE a Consiliului*1), în faţa instanţelor naţionale.

————

*1) Directiva 77/249/CEE a Consiliului din 22 martie 1977 de facilitare a exercitării efective a libertăţii de a presta servicii de către avocaţi (JO L 78, 26.3.1977, p. 17).

 

(88) Orice daună pe care o persoană o poate suferi ca urmare a unei prelucrări care încalcă dispoziţiile adoptate în temeiul prezentei directive ar trebui să fie despăgubită de operator sau de orice altă autoritate competentă în conformitate cu dreptul intern respectiv. Conceptul de “prejudiciu” ar trebui interpretat, în sens larg, din perspectiva jurisprudenţei Curţii de Justiţie, într-un mod care să reflecte pe deplin obiectivele prezentei directive. Prezenta dispoziţie nu aduce atingere niciunei acţiuni în despăgubire care rezultă din încălcarea altor norme din dreptul Uniunii sau din dreptul intern. Atunci când se face trimitere la o prelucrare care este ilegală sau care încalcă dispoziţiile adoptate în temeiul prezentei directive, trimiterea vizează şi prelucrarea care nu respectă actele de punere în aplicare adoptate în temeiul prezentei directive. Persoanele vizate ar trebui să primească despăgubiri integrale şi efective pentru prejudiciile suferite.

(89) Ar trebui să se aplice sancţiuni oricărei persoane fizice sau juridice, de drept privat sau public, care încalcă prezenta directivă. Statele membre ar trebui să se asigure că sancţiunile sunt eficace, proporţionale şi disuasive şi ar trebui să adopte toate măsurile pentru aplicarea sancţiunilor.

(90) În vederea asigurării unor condiţii uniforme de punere în aplicare a prezentei directive, Comisiei ar trebui să i confere competenţe de executare referitor la nivelul adecvat de protecţie oferit de o ţară terţă, de un teritoriu sau de un sector determinat din ţara terţă respectivă sau de o organizaţie internaţională, formatul şi procedurile pentru asistenţă reciprocă şi modalităţile de schimb de informaţii prin mijloace electronice între autorităţile de supraveghere, precum şi între autorităţile de supraveghere şi comitet. Competenţele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului*2).

————

*2) Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de către statele membre al exercitării competenţelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

 

(91) Procedura de examinare ar trebui să fie utilizată pentru adoptarea actelor de punere în aplicare privind nivelul adecvat de protecţie oferit de o ţară terţă, de un teritoriu sau de un sector determinat din ţara terţă respectivă sau de o organizaţie internaţională, precum şi privind formatul şi procedurile pentru asistenţă reciprocă şi modalităţile de schimb de informaţii prin mijloace electronice între autorităţile de supraveghere şi între autorităţile de supraveghere şi comitet, ţinând seama de faptul că actele respective au un caracter general.

(92) Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgenţă, în cazuri justificate în mod corespunzător referitoare la o ţară terţă, la un teritoriu sau la un sector determinat din ţara terţă respectivă sau la o organizaţie internaţională care nu mai asigură un nivel de protecţie adecvat.

(93) Întrucât obiectivele prezentei directive, şi anume protejarea drepturilor şi a libertăţilor fundamentale ale persoanelor fizice, în special dreptul acestora la protecţia datelor cu caracter personal şi asigurarea liberului schimb de date cu caracter personal de către autorităţile competente în cadrul Uniunii, nu pot fi realizate în mod satisfăcător de către statele membre ci, datorită amplorii sau a efectelor acţiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este definit la articolul 5 din TUE. În conformitate cu principiul proporţionalităţii, astfel cum este definit la articolul respectiv, prezenta directivă nu depăşeşte ceea ce este necesar pentru realizarea obiectivelor menţionate.

(94) Dispoziţiile speciale din actele Uniunii adoptate în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti, care au fost adoptate înainte de data adoptării prezentei directive, care reglementează prelucrarea datelor cu caracter personal între statele membre sau accesul autorităţilor desemnate ale statelor membre la sistemele de informaţii stabilite în conformitate cu tratatele, ar trebui să rămână neatinse, cum ar fi, de exemplu, dispoziţiile speciale referitoare la protecţia datelor cu caracter personal aplicate în conformitate cu Decizia 2008/615/JAI a Consiliului*1), sau articolul 23 din Convenţia privind asistenţa judiciară reciprocă în materie penală între statele membre ale Uniunii Europene*2). Întrucât articolul 8 din Cartă şi articolul 16 din TFUE prevăd că dreptul fundamental la protecţia datelor cu caracter personal trebuie să fie asigurat în mod consecvent în întreaga Uniune, Comisia ar trebui să evalueze situaţia în ceea ce priveşte relaţia dintre prezenta directivă şi actele adoptate înainte de data adoptării prezentei directive care reglementează prelucrarea datelor cu caracter personal între statele membre şi accesul autorităţilor desemnate de statele membre la sistemele de informaţii instituite în conformitate cu tratatele, pentru a evalua necesitatea alinierii acestor dispoziţii specifice cu prezenta directivă. Dacă este cazul, Comisia ar trebui să prezinte propuneri cu scopul de a asigura norme juridice coerente privind prelucrarea datelor cu caracter personal.

————

*1) Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperării transfrontaliere, în special în domeniul combaterii terorismului şi a criminalităţii transfrontaliere (JO L 210, 6.8.2008, p. 1).

*2) Actul Consiliului din 29 mai 2000 de elaborare, în temeiul articolului 34 din Tratatul privind Uniunea Europeană, a Convenţiei privind asistenţa judiciară reciprocă în materie penală între statele membre ale Uniunii Europene (JO C 197, 12.7.2000, p. 1).

 

(95) În vederea asigurării unei protecţii globale şi consecvente a datelor cu caracter personal în cadrul Uniunii, acordurile internaţionale care au fost încheiate de către statele membre înainte de data intrării în vigoare a prezentei directive şi care respectă dispoziţiile relevante din dreptul Uniunii aplicabil înainte de data respectivă ar trebui să rămână în vigoare până la data la care sunt modificate, înlocuite sau revocate.

(96) Statelor membre ar trebui să le fie acordat un termen de cel mult doi ani de la data intrării în vigoare a prezentei directive în vederea transpunerii sale. Prelucrările în derulare la data menţionată ar trebui să fie aduse în conformitate cu prezenta directivă în termen de doi ani de la data intrării în vigoare a prezentei directive. Cu toate acestea, în cazul în care o astfel de prelucrare respectă dreptul Uniunii aplicabil înainte de data intrării în vigoare a prezentei directive, cerinţele din prezenta directivă cu privire la consultarea prealabilă a autorităţii de supraveghere nu ar trebui să se aplice operaţiunilor de prelucrare aflate deja în derulare la data menţionată, având în vedere că respectivele cerinţe, prin însăşi natura lor, trebuie să fie îndeplinite înainte de prelucrare. În cazul în care statele membre aplică termenul mai lung pentru punerea în aplicare, care expiră după şapte ani de la data intrării în vigoare a prezentei directive, pentru îndeplinirea obligaţiilor de înregistrare pentru sistemele de prelucrare automată instituite înainte de data respectivă, operatorul sau persoana împuternicită de către operator ar trebui să dispună de metode eficiente pentru a demonstra legalitatea prelucrării datelor, a permite monitorizarea proprie şi a garanta integritatea şi securitatea datelor, precum înregistrări sau alte forme de evidenţe.

(97) Prezenta directivă se aplică fără a aduce atingere normelor privind combaterea abuzului sexual, a exploatării sexuale a copiilor şi a pornografiei infantile, astfel cum se prevede în Directiva 2011/93/UE a Parlamentului European şi a Consiliului*3).

————

*3) Directiva 2011/93/UE a Parlamentului European şi a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor şi a pornografiei infantile şi de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului (JO L 335, 17.12.2011, p. 1).

 

(98) Decizia-cadru 2008/977/JAI a Consiliului ar trebui, prin urmare, să fie abrogată.

(99) În conformitate cu articolul 6a din Protocolul nr. 21 privind poziţia Regatului Unit şi a Irlandei în ceea ce priveşte spaţiul de libertate, securitate şi justiţie, anexat la TUE şi la TFUE, Regatului Unit şi Irlandei nu le revin obligaţii în temeiul normelor stabilite în prezenta directivă referitoare la prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităţilor care intră în domeniul de aplicare al părţii a treia titlul V capitolul 4 sau 5 din TFUE, atât timp cât Regatului Unit sau Irlandei nu le revin obligaţii în temeiul normelor Uniunii privind formele de cooperare judiciară în materie penală sau de cooperare poliţienească care necesită respectarea dispoziţiilor stabilite în temeiul articolului 16 din TFUE.

(100) În conformitate cu articolele 2 şi 2a din Protocolul nr. 22 privind poziţia Danemarcei, astfel cum a fost anexat la TUE şi la TFUE, Danemarcei nu îi revin obligaţii în temeiul normelor stabilite în prezenta directivă şi acestea nu i se aplică în ceea ce priveşte prelucrarea datelor cu caracter personal de către statele membre în exercitarea activităţilor care intră sub incidenţa părţii a treia titlul V capitolul 4 sau 5 din TFUE. Având în vedere faptul că prezenta directivă constituie o dezvoltare a acquis-ului Schengen, în temeiul părţii a treia titlul V din TFUE, Danemarca decide, în conformitate cu articolul 4 din protocolul respectiv, în termen de şase luni de la adoptarea prezentei directive, dacă o va pune în aplicare în dreptul său intern.

(101) În ceea ce priveşte Islanda şi Norvegia, prezenta directivă constituie o dezvoltare a dispoziţiilor acquis-ului Schengen, în conformitate cu Acordul încheiat între Consiliul Uniunii Europene şi de Republica Islanda şi Regatul Norvegiei în ceea ce priveşte asocierea acestor două state la implementarea, aplicarea şi dezvoltarea acquis-ului Schengen*4).

————

*4) JO L 176, 10.7.1999, p. 36.

 

(102) În ceea ce priveşte Elveţia, prezenta directivă constituie o dezvoltare a dispoziţiilor acquis-ului Schengen, în conformitate cu Acordul dintre Uniunea Europeană, Comunitatea Europeană şi Confederaţia Elveţiană privind asocierea Confederaţiei Elveţiene la punerea în aplicare, respectarea şi dezvoltarea acquis-ului Schengen*1).

————

*1) JO L 53, 27.2.2008, p. 52.

 

(103) În ceea ce priveşte Liechtenstein, prezenta directivă reprezintă o dezvoltare a dispoziţiilor acquis-ului Schengen, astfel cum se prevede în Protocolul dintre Uniunea Europeană, Comunitatea Europeană, Confederaţia Elveţiană şi Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea Europeană şi Confederaţia Elveţiană privind asocierea Confederaţiei Elveţiene la punerea în aplicare, respectarea şi dezvoltarea acquis-ului Schengen*2).

————

*2) JO L 160, 18.6.2011, p. 21.

 

(104) Prezenta directivă respectă drepturile fundamentale şi principiile recunoscute de cartă, astfel cum sunt consacrate în TFUE, în special dreptul la respectarea vieţii private şi de familie, dreptul la protecţia datelor cu caracter personal, dreptul la o cale de atac eficientă şi la un proces echitabil. Limitările aduse acestor drepturi sunt în conformitate cu articolul 52 alineatul (1) din Cartă întrucât sunt necesare pentru atingerea obiectivelor de interes general recunoscute de Uniune sau pentru a proteja drepturile şi libertăţile celorlalţi.

(105) În conformitate cu Declaraţia politică comună a statelor membre şi a Comisiei din 28 septembrie 2011 privind documentele explicative, statele membre s-au angajat să însoţească, în cazurile justificate, notificarea măsurilor de transpunere cu unul sau mai multe documente care să explice relaţia dintre componentele unei directive şi părţile corespunzătoare din măsurile naţionale de transpunere. În ceea ce priveşte prezenta directivă, legiuitorul consideră că este justificată transmiterea unor astfel de documente.

(106) Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 şi a emis un aviz la data de 7 martie 2012*3).

————

*3) JO C 192, 30.6.2012, p. 7.

 

(107) Prezenta directivă nu ar trebui să împiedice statele membre să pună în aplicare exercitarea, în cadrul procedurilor penale, a drepturilor persoanelor vizate cu privire la informare, acces şi rectificarea sau ştergerea datelor cu caracter personal şi restricţionare a prelucrării, precum şi eventualele limitări ale acestor drepturi în normele procedurale penale de drept intern,

 

ADOPTĂ PREZENTA DIRECTIVĂ:

 

CAPITOLUL I

Dispoziţii generale

 

ART. 1

Obiect şi obiective

(1) Prezenta directivă stabileşte normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora.

(2) În conformitate cu prezenta directivă, statele membre:

(a) protejează drepturile şi libertăţile fundamentale ale persoanelor fizice, în special dreptul acestora la protecţia datelor cu caracter personal; şi

(b) se asigură că schimbul de date cu caracter personal de către autorităţile competente în cadrul Uniunii, în cazul în care schimbul respectiv de informaţii este impus de dreptul Uniunii sau de dreptul intern, nu este limitat sau interzis din motive legate de protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal.

(3) Prezenta directivă nu împiedică statele membre să prevadă garanţii sporite faţă de cele stabilite în prezenta directivă pentru protecţia drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte prelucrarea datelor cu caracter personal de către autorităţile competente.

ART. 2

Domeniul de aplicare

(1) Prezenta directivă se aplică prelucrării datelor cu caracter personal de către autorităţile competente în scopurile prevăzute la articolul 1 alineatul (1).

(2) Prezenta directivă se aplică prelucrării datelor cu caracter personal realizate integral sau parţial prin mijloace automatizate, precum şi prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenţă a datelor sau care urmează să facă parte dintr-un sistem de evidenţă a datelor.

(3) Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

(a) în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii;

(b) de către instituţiile, organele, oficiile şi agenţiile Uniunii.

ART. 3

Definiţii

În sensul prezentei directive:

  1. “date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
  2. “prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;
  3. “restricţionarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;
  4. “creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau a preconiza aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, localizarea sau deplasările respectivei persoane fizice;
  5. “pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, în măsura în care aceste informaţii suplimentare sunt stocate separat şi fac obiectul unor măsuri de natură tehnică şi organizatorică destinate să garanteze neatribuirea unei persoane fizice identificate sau identificabile;
  6. “sistem de evidenţă a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;
  7. “autoritate competentă” înseamnă:

(a) orice autoritate publică competentă în materie de prevenire, depistare, investigare sau urmărire penală a infracţiunilor sau de executare a pedepselor, inclusiv în materie de protejare împotriva ameninţărilor la adresa securităţii publice şi de prevenire a acestora; sau

(b) orice alt organism sau entitate împuternicit(ă) de dreptul intern să exercite autoritate publică şi competenţe publice în scopul în prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora;

  1. “operator” înseamnă autoritatea competentă care, singură sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele de prelucrare sunt stabilite prin dreptul Uniunii sau prin dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin dreptul intern;
  2. “persoană împuternicită de către operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
  3. “destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau un alt organism căruia îi sunt transmise datele cu caracter personal, fie că aceasta este sau nu o parte terţă; sunt exceptate, cu toate acestea, autorităţile publice care pot primi date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul intern, iar prelucrarea datelor cu caracter personal respective de către acestea respectă normele aplicabile în materie de protecţie a datelor în conformitate cu scopurile prelucrării;
  4. “încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii, care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod;
  5. “date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice care oferă informaţii unice privind fiziologia sau sănătatea respectivei persoane fizice, astfel cum rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la acea persoană fizică;
  6. “date biometrice” înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice, referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirmă identificarea unică a respectivei persoane fizice, cum ar fi imaginile faciale sau datele dactiloscopice;
  7. “date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv acordarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;
  8. “autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 41;
  9. “organizaţie internaţională” înseamnă o organizaţie şi organismele sale subordonate reglementate de dreptul internaţional public sau orice alt organism care este instituit printr-un acord încheiat între două sau mai multe ţări sau în temeiul unui astfel de acord.

 

CAPITOLUL II

Principii

 

ART. 4

Principii referitoare la prelucrarea datelor cu caracter personal

(1) Statele membre garantează că datele cu caracter personal:

(a) sunt prelucrate în mod legal şi echitabil;

(b) sunt colectate în scopuri determinate, explicite şi legitime şi nu sunt prelucrate într-un mod incompatibil cu aceste scopuri;

(c) sunt adecvate, relevante şi neexcesive în ceea ce priveşte scopurile în care sunt prelucrate;

(d) sunt exacte şi, dacă este necesar, sunt actualizate; trebuie să se ia toate măsurile rezonabile pentru a asigura faptul că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, să fie şterse sau rectificate fără întârziere;

(e) sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele respective;

(f) sunt prelucrate într-un mod care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

(2) Prelucrarea de către acelaşi operator sau de către un altul, în oricare dintre scopurile stabilite la articolul 1 alineatul (1), altele decât cele pentru care datele cu caracter personal au fost colectate, este permisă în măsura în care:

(a) operatorul este autorizat să prelucreze astfel de date cu caracter personal în scopul respectiv, în conformitate cu dreptul Uniunii sau cu dreptul intern; şi

(b) prelucrarea este necesară şi proporţională în raport cu respectivul alt scop, în conformitate cu dreptul Uniunii sau cu dreptul intern.

(3) Prelucrarea de către acelaşi operator sau de către un altul poate include arhivarea în interes public sau în scopuri ştiinţifice, statistice sau istorice pentru scopurile stabilite la articolul 1 alineatul (1), cu condiţia unor garanţii adecvate pentru drepturile şi libertăţile persoanelor vizate.

(4) Operatorul este responsabil de respectarea alineatelor (1), (2) şi (3) şi poate demonstra acest lucru.

ART. 5

Termene pentru stocare şi revizuire

Statele membre garantează stabilirea unor termene corespunzătoare pentru ştergerea datelor cu caracter personal sau pentru o revizuire periodică a necesităţii de stocare a datelor cu caracter personal. Respectarea acestor termene este asigurată prin măsuri procedurale.

ART. 6

Distincţia între diferitele categorii de persoane vizate

Statele membre garantează că, după caz şi în măsura posibilului, operatorul face distincţie clară între datele cu caracter personal ale diferitelor categorii de persoane vizate, precum:

(a) persoane în privinţa cărora există motive serioase să se creadă că au săvârşit sau că urmează să săvârşească o infracţiune;

(b) persoane condamnate pentru săvârşirea unei infracţiuni;

(c) victime ale unei infracţiuni sau persoane în privinţa cărora, în baza anumitor fapte, există motive să se creadă că persoanele respective ar putea fi victimele unei infracţiuni; şi

(d) alte părţi care au legătură cu infracţiunea, ca de exemplu persoane care ar putea fi chemate să depună mărturie în cadrul anchetelor legate de infracţiuni sau în cadrul procedurilor penale ulterioare sau persoane care pot oferi informaţii cu privire la infracţiuni sau persoane care sunt în legătură sau asociate cu persoanele menţionate la literele (a) şi (b).

ART. 7

Distincţia între datele cu caracter personal şi verificarea calităţii datelor cu caracter personal

(1) Statele membre garantează că se face distincţie, pe cât posibil, între datele cu caracter personal bazate pe fapte şi datele cu caracter personal bazate pe evaluări personale.

(2) Statele membre garantează că autorităţile competente iau toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale nu sunt transmise sau puse la dispoziţie. În acest scop, fiecare autoritate competentă verifică, în măsura în care este posibil, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziţie. În măsura în care acest lucru este posibil, în cadrul tuturor transmiterilor de date cu caracter personal, se adaugă informaţii necesare care permit autorităţii competente destinatare să evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate şi de actualitate al datelor cu caracter personal.

(3) În cazul în care se constată transmiterea unor date cu caracter personal incorecte sau transmiterea unor date cu caracter personal în mod ilegal, acest lucru se comunică de îndată destinatarului. Într-un astfel de caz, datele cu caracter personal sunt rectificate sau şterse sau prelucrarea este restricţionată în conformitate cu articolul 16.

ART. 8

Legalitatea prelucrării

(1) Statele membre garantează legalitatea prelucrării numai dacă şi în măsura în care aceasta este necesară pentru îndeplinirea unei sarcini de către o autoritate competentă în scopurile stabilite la articolul 1 alineatul (1) şi că aceasta se întemeiază pe dreptul Uniunii sau pe dreptul intern.

(2) Dreptul intern care reglementează prelucrarea care intră sub incidenţa prezentei directive precizează cel puţin obiectivele prelucrării, datele cu caracter personal care urmează să fie prelucrate şi scopurile prelucrării.

ART. 9

Condiţii specifice de prelucrare

(1) Datele cu caracter personal colectate de autorităţile competente în scopurile stabilite la articolul 1 alineatul (1) nu se prelucrează în alte scopuri decât cele stabilite la articolul 1 alineatul (1), cu excepţia cazurilor în care o astfel de prelucrare este autorizată în temeiul dreptului Uniunii sau al dreptului intern. În cazurile în care datele cu caracter personal sunt prelucrate în alte scopuri, prelucrării respective i se aplică Regulamentul (UE) 2016/679, cu excepţia cazului în care prelucrarea este efectuată în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii.

(2) În cazul în care autorităţile competente sunt împuternicite prin dreptul intern să îndeplinească alte atribuţii decât cele aferente scopurilor stabilite la articolul 1 alineatul (1), pentru prelucrarea în astfel de scopuri se aplică Regulamentul (UE) 2016/679, inclusiv în ce priveşte prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, cu excepţia cazului în care prelucrarea este efectuată în cadrul unei activităţi care nu intră sub incidenţa dreptului Uniunii.

(3) Statele membre garantează că, în cazul în care dreptul Uniunii sau dreptul intern aplicabil autorităţii competente care a transmis datele prevede condiţii specifice de prelucrare, autoritatea competentă care a transmis datele informează destinatarul respectivelor date cu caracter personal cu privire la aceste condiţii şi la obligaţia de a le respecta.

(4) Statele membre garantează că autoritatea competentă care a transmis datele nu aplică condiţiile prevăzute la alineatul (3) destinatarilor din alte state membre sau agenţiilor, oficiilor şi organismelor instituite în conformitate cu titlul V capitolele 4 şi 5 din TFUE, altele decât cele aplicabile transmiterii similare de date în statul membru al autorităţii competente care a transmis datele.

ART. 10

Prelucrarea de categorii speciale de date cu caracter personal

Prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, afilierea sindicală, prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unică a unei persoane fizice sau prelucrarea datelor privind sănătatea sau a datelor privind viaţa sexuală şi orientarea sexuală a unei persoane fizice este autorizată numai atunci când este strict necesară şi sub rezerva unor garanţii adecvate pentru drepturile şi libertăţile persoanei vizate şi numai atunci când:

(a) este autorizată de dreptul Uniunii sau de dreptul intern;

(b) este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice; sau

(c) prelucrarea respectivă se referă la date care sunt făcute publice în mod manifest de persoana vizată.

ART. 11

Procesul decizional individual automatizat

(1) Statele membre garantează că o decizie întemeiată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce un efect juridic negativ pentru persoana vizată sau care o afectează în mod semnificativ, este interzisă, cu excepţia cazului în care este autorizată de dreptul Uniunii sau de dreptul intern care se aplică operatorului şi care prevede garanţii adecvate pentru drepturile şi libertăţile persoanei vizate, cel puţin dreptul de a obţine intervenţia umană din partea operatorului.

(2) Deciziile menţionate la alineatul (1) din prezentul articol nu se întemeiază pe categoriile speciale de date cu caracter personal menţionate la articolul 10, cu excepţia cazului în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăţilor şi a intereselor legitime ale persoanei vizate.

(3) În conformitate cu dreptul Uniunii, este interzisă crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza categoriilor speciale de date cu caracter personal menţionate la articolul 10.

 

CAPITOLUL III

Drepturile persoanei vizate

 

ART. 12

Comunicare şi modalităţi de exercitare a drepturilor persoanei vizate

(1) Statele membre garantează faptul că operatorul ia măsuri rezonabile pentru a transmite persoanei vizate orice informaţii menţionate la articolul 13 şi transmite acesteia orice comunicare în legătură cu articolele 11, 14 – 18 şi 31 referitoare la prelucrare, într-o formă concisă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Informaţiile se transmit prin orice mijloace adecvate, inclusiv prin mijloace electronice. Ca regulă generală, operatorul transmite informaţiile în acelaşi format în care a fost primită cererea.

(2) Statele membre garantează faptul că operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 11 şi 14 – 18.

(3) Statele membre garantează faptul că operatorul informează în scris persoana vizată cu privire la modul în care a dat curs cererii acesteia, fără întârzieri nejustificate.

(4) Statele membre garantează faptul că transmiterea informaţiilor în conformitate cu articolul 13 şi orice comunicare transmisă şi măsură luată în temeiul articolelor 11, 14 – 18 şi 31 este gratuită. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

(a) să perceapă o taxă rezonabilă care să ţină cont de costurile administrative pentru transmiterea informaţiilor sau a comunicărilor sau pentru luarea măsurilor solicitate; sau

(b) poate refuza să dea curs cererii.

Operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

(5) În cazul în care operatorul are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menţionată la articolul 14 sau 16, acesta poate solicita furnizarea de informaţii suplimentare necesare pentru a confirma identitatea persoanei vizate.

ART. 13

Informaţii care se pun la dispoziţia persoanei vizate sau se comunică acesteia

(1) Statele membre garantează că operatorul pune la dispoziţia persoanelor vizate cel puţin următoarele informaţii:

(a) identitatea şi datele de contact ale operatorului;

(b) datele de contact ale responsabilului cu protecţia datelor, după caz;

(c) scopurile în care sunt prelucrate datele cu caracter personal;

(d) dreptul de a depune o plângere în faţa autorităţii de supraveghere şi datele de contact ale autorităţii de supraveghere;

(e) existenţa dreptului de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizată ori rectificarea sau ştergerea acestor date sau restricţionarea prelucrării lor.

(2) În plus faţă de informaţiile menţionate la alineatul (1), statele membre garantează prin lege că operatorul comunică persoanei vizate, în anumite cazuri, următoarele informaţii suplimentare, pentru a permite acesteia exercitarea drepturilor sale:

(a) temeiul juridic al prelucrării;

(b) perioada pentru care vor fi stocate datele cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili respectiva perioadă;

(c) dacă este cazul, categoriile de destinatari ai datelor cu caracter personal, inclusiv în ţări terţe sau organizaţii internaţionale;

(d) în cazul în care este necesar, informaţii suplimentare, în special atunci când datele cu caracter personal sunt colectate fără ştirea persoanei vizate.

(3) Statele membre pot adopta măsuri legislative de amânare, restricţionare sau omitere a furnizării de informaţii persoanei vizate în conformitate cu alineatul (2) în măsura în care şi atât timp cât o astfel de măsură constituie o măsură necesară şi proporţională într-o societate democratică, ţinând seama de drepturile fundamentale şi de interesele legitime ale persoanei fizice, pentru:

(a) evitarea obstrucţionării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor;

(c) protejarea securităţii publice;

(d) protejarea securităţii naţionale;

(e) protejarea drepturilor şi libertăţilor celorlalţi.

(4) Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau parţial, sub incidenţa oricăreia dintre literele de la alineatul (3).

ART. 14

Dreptul de acces al persoanei vizate

Sub rezerva articolului 15, statele membre garantează dreptul persoanei vizate de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la următoarele informaţii:

(a) scopurile şi temeiul juridic al prelucrării;

(b) categoriile de date cu caracter personal vizate;

(c) destinatarii sau categoriile de destinatari cărora le-au fost divulgate datele cu caracter personal, în special destinatarii din ţări terţe sau organizaţii internaţionale;

(d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

(e) existenţa dreptului de a solicita de la operator rectificarea sau ştergerea datelor cu caracter personal, sau restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

(f) dreptul de a depune o plângere în faţa autorităţii de supraveghere şi datele de contact ale autorităţii de supraveghere;

(g) comunicarea datelor cu caracter personal care sunt în curs de prelucrare şi a oricărei informaţii disponibile cu privire la originea datelor.

ART. 15

Limitarea dreptului de acces

(1) Statele membre pot adopta măsuri legislative care limitează, integral sau parţial, dreptul de acces al persoanei vizate în măsura şi atât timp o astfel de limitare, parţială sau totală, constituie o măsură necesară şi proporţională într-o societate democratică, ţinându-se seama de drepturile fundamentale şi de interesele legitime ale respectivei persoane fizice, pentru:

(a) evitarea obstrucţionării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor;

(c) protejarea securităţii publice;

(d) protejarea securităţii naţionale;

(e) protejarea drepturilor şi libertăţilor celorlalţi.

(2) Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care se pot intra, integral sau parţial, sub incidenţa literelor (a) – (e) de la alineatul (1).

(3) În cazurile prevăzute la alineatele (1) şi (2), statele membre garantează că operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la refuzarea sau limitarea accesului şi la motivele refuzului sau ale limitării. Astfel de informaţii pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac judiciară.

(4) Statele membre garantează că operatorul justifică motivele de fapt şi de drept pe care se întemeiază decizia. Aceste informaţii se pun la dispoziţia autorităţilor de supraveghere.

ART. 16

Dreptul la rectificarea sau la ştergerea datelor cu caracter personal şi la restricţionarea prelucrării

(1) Statele membre garantează persoanei vizate dreptul de a obţine de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ţinându-se seama de scopurile prelucrării, statele membre garantează persoanei vizate dreptul de a obţine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaraţii suplimentare.

(2) Statele membre impun operatorului obligaţia de a şterge datele cu caracter personal fără întârzieri nejustificate şi garantează persoanei vizate dreptul de a obţine de la operator ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, în cazul în care prelucrarea încalcă dispoziţiile adoptate în temeiul articolului 4, 8 sau 10, sau în cazul în care datele cu caracter personal trebuie şterse pentru îndeplinirea unei obligaţii legale care îi revine operatorului.

(3) În loc de ştergere, operatorul restricţionează prelucrarea datelor cu caracter personal în cazul în care:

(a) exactitatea datelor cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu poate fi stabilită cu certitudine; sau

(b) datele cu caracter personal trebuie să fie păstrate ca mijloace de probă.

În cazul în care prelucrarea este restricţionată în conformitate cu litera (a) de la primul paragraf, operatorul informează în acest sens persoana vizată înainte de ridicarea restricţiilor de prelucrare.

(4) Statele garantează că operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ştergere a datelor cu caracter personal sau de restricţionare a prelucrării şi cu privire la motivele refuzului. Statele membre pot adopta măsuri legislative care restricţionează, integral sau parţial, obligaţia de a furniza astfel de informaţii în măsura în care o astfel de restricţionare a prelucrării constituie o măsură necesară şi proporţională într-o societate democratică, ţinându-se seama în mod corespunzător de drepturile fundamentale şi de interesele legitime ale persoanei fizice vizate pentru:

(a) a evita obstrucţionarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor;

(c) a proteja securitatea publică;

(d) a proteja securitatea naţională;

(e) a proteja drepturile şi libertăţile celorlalţi.

Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac judiciară.

(5) Statele membre garantează comunicarea de către operator a rectificării datelor cu caracter personal inexacte autorităţii competente de la care provin datele cu caracter personal inexacte.

(6) Statele membre garantează faptul că operatorul informează destinatarii cu privire la rectificarea sau ştergerea datelor cu caracter personal sau cu privire la restricţionarea prelucrării, în temeiul alineatelor (1), (2) şi (3), precum şi faptul că destinatarii rectifică sau şterg datele cu caracter personal sau restricţionează prelucrarea datelor cu caracter personal atunci când le revine responsabilitatea pentru acestea.

ART. 17

Exercitarea drepturilor de către persoana vizată şi verificarea de către autoritatea de supraveghere

(1) În cazurile menţionate la articolul 13 alineatul (3), la articolul 15 alineatul (3) şi la articolul 16 alineatul (4), statele membre adoptă măsuri prin care se prevede că drepturile persoanei vizate pot fi, de asemenea, exercitate prin intermediul autorităţii de supraveghere competente.

(2) Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a-şi exercita drepturile prin intermediul autorităţii de supraveghere în temeiul alineatului (1).

(3) Atunci când este exercitat dreptul menţionat la alineatul (1), autoritatea de supraveghere informează persoana vizată cel puţin că au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere. Autoritatea de supraveghere informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac.

ART. 18

Drepturile persoanei vizate în cadrul investigaţiilor şi procedurilor penale

Statele membre garantează că drepturile menţionate la articolele 13, 14 şi 16 se exercită în conformitate cu dreptul intern în cazul în care datele cu caracter personal sunt conţinute într-o hotărâre judecătorească sau într-un cazier sau dosar prelucrat pe parcursul investigaţiilor şi procedurilor penale.

 

CAPITOLUL IV

Operatorul şi persoana împuternicită de către operator

 

Secţiunea 1

Obligaţii generale

 

ART. 19

Obligaţiile operatorului

(1) Statele membre garantează că, ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezenta directivă. Respectivele măsuri se revizuiesc şi se actualizează dacă este necesar.

(2) Atunci când sunt proporţionale în raport cu operaţiunile de prelucrare, măsurile menţionate la alineatul (1) includ punerea în aplicare de către operator a unor politici corespunzătoare de protecţie a datelor.

ART. 20

Asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit

(1) Statele membre garantează că, având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare, precum şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât şi la cel al prelucrării în sine, pune în aplicare măsuri tehnice şi organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecţie a datelor, precum reducerea la minim a datelor şi să integreze garanţiile necesare în cadrul prelucrării, pentru a îndeplini cerinţele prezentei directive şi a proteja drepturile persoanelor vizate.

(2) Statele membre garantează că operatorul pune în aplicare măsuri tehnice şi organizatorice adecvate prin care să se asigure că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Obligaţia respectivă se aplică volumului de date cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de stocare şi accesibilităţii lor. În special, măsurile respective trebuie să asigure că, în mod implicit, datele cu caracter personal nu sunt accesibile, fără intervenţia persoanei fizice, unui număr nedefinit de persoane fizice.

ART. 21

Operatori asociaţi

(1) Statele membre garantează faptul că, atunci când doi sau mai mulţi operatori stabilesc în comun scopurile şi mijloacele de prelucrare, aceştia sunt operatori asociaţi. Aceştia stabilesc într-un mod transparent responsabilităţile care revin fiecăruia în vederea respectării prezentei directive, în special în ceea ce priveşte exercitarea drepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a informaţiilor prevăzute la articolul 13, prin intermediul unui acord între ei, cu excepţia cazului şi în măsura în care responsabilităţile operatorilor sunt stabilite de dreptul Uniunii sau de dreptul intern care li se aplică. Acordul desemnează punctul de contact pentru persoanele vizate. Statele membre pot desemna care dintre operatorii asociaţi poate acţiona ca punct unic de contact pentru exercitarea de către persoanele vizate a drepturilor lor.

(2) Indiferent de termenii acordului menţionat la alineatul (1), statele membre pot să prevadă dispoziţii potrivit cărora persoana vizată îşi exercită drepturile cu privire la şi în raport cu fiecare dintre operatori în conformitate cu dispoziţiile adoptate în temeiul prezentei directive.

ART. 22

Persoana împuternicită de către operator

(1) Statele membre garantează că, atunci când o prelucrare urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care să ofere garanţii suficiente pentru punerea în aplicare a măsurilor tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentei directive şi să asigure protecţia drepturilor persoanei vizate.

(2) Statele membre garantează că persoana împuternicită de către operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii scrise generale, persoana împuternicită de către operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de către operator, oferind astfel operatorului posibilitatea de a formula obiecţii faţă de aceste modificări.

(3) Statele membre garantează că prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de către operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate, precum şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede, în special, că persoana împuternicită de operator:

(a) acţionează numai la instrucţiunile operatorului;

(b) garantează faptul că persoanele autorizate să prelucreze date cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie legală de confidenţialitate corespunzătoare;

(c) asistă operatorul prin orice mijloace adecvate pentru a asigura respectarea dispoziţiilor privind drepturile persoanei vizate;

(d) la alegerea operatorului, şterge sau returnează toate datele cu caracter personal operatorului după încetarea furnizării serviciilor de prelucrare a datelor şi elimină copiile existente, cu excepţia cazului în care dreptului Uniunii sau dreptul intern prevede stocarea datelor cu caracter personal;

(e) pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea prezentului articol;

(f) respectă condiţiile menţionate la alineatele (2) şi (3) pentru recrutarea unei alte persoane împuternicite de către operator.

(4) Contractul sau un alt act juridic menţionat la alineatul (3) se întocmeşte în scris şi poate fi pus la dispoziţie în format electronic.

(5) În cazul în care o persoană împuternicită de către operator stabileşte, cu încălcarea prezentei directive, scopurile şi mijloacele de prelucrare, persoana împuternicită este considerată ca fiind operator în ceea ce priveşte prelucrarea respectivă.

ART. 23

Desfăşurarea activităţii de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de către operator

Statele membre garantează că persoana împuternicită de către operator şi orice persoană care acţionează sub autoritatea operatorului sau a persoanei împuternicite de către operator care are acces la datele cu caracter personal prelucrează datele respective numai la cererea operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impun aceasta.

ART. 24

Evidenţe ale activităţilor de prelucrare

(1) Statele membre garantează că operatorul menţine o evidenţă a tuturor categoriilor de activităţi de prelucrare aflate în responsabilitatea sa. Respectiva evidenţă cuprinde toate informaţiile următoare:

(a) numele şi datele de contact ale operatorului şi, după caz, ale operatorului asociat şi ale responsabilului cu protecţia datelor;

(b) scopurile prelucrării;

(c) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;

(d) o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal;

(e) acolo unde este cazul, utilizarea creării de profiluri;

(f) acolo unde este cazul, categoriile de transferuri de date cu caracter personal către o ţară terţă sau o organizaţie internaţională;

(g) indicarea temeiului juridic al operaţiunii de prelucrare, inclusiv transferurile, pentru care sunt destinate datele cu caracter personal;

(h) acolo unde este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date cu caracter personal;

(i) acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 29 alineatul (1).

(2) Statele membre garantează că fiecare persoană împuternicită de către operator păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare desfăşurate în numele operatorului, evidenţă care cuprinde:

(a) numele şi datele de contact ale persoanei sau persoanelor împuternicite de către operator, ale fiecărui operator în numele căruia acţionează această persoană şi, după caz, cele ale responsabilului cu protecţia datelor;

(b) categoriile de activităţi de prelucrare desfăşurate în numele fiecărui operator;

(c) acolo unde este cazul, transferurile de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională, inclusiv, identificarea ţării terţe sau a organizaţiei internaţionale respective, atunci când au primit instrucţiuni explicite în acest sens de la operator;

(d) acolo unde este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate menţionate la articolul 29 alineatul (1).

(3) Evidenţele menţionate la alineatele (1) şi (2) se păstrează în scris, inclusiv în format electronic.

Operatorul şi persoana împuternicită de acesta pun evidenţele la dispoziţia autorităţii de supraveghere, la cererea acesteia.

ART. 25

Înregistrarea

(1) Statele membre se asigură că se înregistrează cel puţin următoarele operaţiuni de prelucrare din cadrul sistemelor de prelucrare automată: colectarea, modificarea, consultarea, divulgarea inclusiv transferurile, combinarea şi ştergerea. Înregistrările consultărilor şi ale divulgărilor fac posibilă determinarea motivelor, a datei şi a momentului acestor operaţiuni şi, în măsura în care este posibil, identificarea persoanei care a consultat sau a divulgat date cu caracter personal şi identitatea destinatarilor acestor date cu caracter personal.

(2) Înregistrările sunt utilizate numai pentru verificarea legalităţii prelucrării, monitorizare proprie, asigurarea integrităţii şi a securităţii datelor cu caracter personal şi în cadrul unor proceduri penale.

(3) Operatorul şi persoana împuternicită de către operator pun înregistrările la dispoziţia autorităţii de supraveghere, la cererea acesteia.

ART. 26

Cooperarea cu autoritatea de supraveghere

Statele membre garantează că operatorul şi persoana împuternicită de către operator cooperează cu autoritatea de supraveghere, la cererea acesteia, în îndeplinirea sarcinilor acesteia.

ART. 27

Evaluarea impactului asupra protecţiei datelor

(1) În cazul în care un tip de prelucrare, în special care implică utilizarea de noi tehnologii, şi, ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, este susceptibil să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, statele membre garantează că operatorul, înainte de prelucrare, efectuează o evaluare a impactului operaţiunilor de prelucrare preconizate asupra protecţiei datelor cu caracter personal.

(2) Evaluarea menţionată la alineatul (1) cuprinde cel puţin o descriere generală a operaţiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor şi libertăţilor persoanelor vizate, măsurile preconizate în vederea abordării riscurilor, garanţiile, măsurile de securitate şi mecanismele menite să asigure protecţia datelor cu caracter personal şi să demonstreze respectarea prezentei directive, luând în considerare drepturile şi interesele legitime ale persoanelor vizate şi ale celorlalte persoane interesate.

ART. 28

Consultarea prealabilă a autorităţii de supraveghere

(1) Statele membre garantează că operatorul sau persoana împuternicită de către operator consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidenţă a datelor care urmează a fi creat, în cazul în care:

(a) o evaluare a impactului asupra protecţiei datelor, prevăzută la articolul 27, indică faptul că prelucrarea ar genera un risc ridicat în absenţa măsurilor luate de operator pentru atenuarea riscului sau

(b) un tip de prelucrare, în special în cazul în care se utilizează noi tehnologii, mecanisme sau proceduri, implică un risc ridicat la adresa drepturilor şi libertăţilor persoanelor vizate.

(2) Statele membre garantează că autoritatea de supraveghere este consultată în cadrul procesului de pregătire a unei propuneri de măsură legislativă care să fie adoptată de un parlament naţional sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrare.

(3) Statele membre garantează că autoritatea de supraveghere poate stabili o listă a operaţiunilor de prelucrare care fac obiectul consultării prealabile, în conformitate cu alineatul (1).

(4) Statele membre garantează că operatorul transmite autorităţii de supraveghere evaluarea impactului asupra protecţiei datelor în temeiul articolului 27 şi, la cererea acesteia, orice altă informaţie care permite autorităţii de supraveghere să evalueze conformitatea prelucrării şi în special riscurile la adresa protecţiei datelor cu caracter personal ale persoanei vizate şi garanţiile aferente.

(5) Statele membre garantează că atunci când autoritatea de supraveghere consideră că prelucrarea preconizată, menţionată la alineatul (1) din prezentul articol, ar încălca dispoziţiile adoptate în temeiul prezentei directive, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă consiliere în scris operatorului, în termen de cel mult şase săptămâni de la primirea cererii de consultare, şi, dacă este cazul, persoanei împuternicite de către operator, şi îşi poate recurge la oricare dintre competenţele menţionate la articolul 47. Termenul menţionat poate fi prelungit cu o lună, ţinându-se seama de complexitatea prelucrării preconizate. Autoritatea de supraveghere informează operatorul şi, dacă este cazul, persoana împuternicită de către operator, cu privire la prelungirea termenului respectiv, inclusiv cu privire la motivele prelungirii, în termen de o lună de la primirea cererii de consultare.

 

Secţiunea 2

Securitatea datelor cu caracter personal

 

ART. 29

Securitatea prelucrării

(1) Statele membre garantează că, având în vedere stadiul actual al tehnologiei şi costurile implementării şi ţinând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce priveşte prelucrarea categoriilor speciale de date cu caracter personal menţionate la articolul 10.

(2) În ceea ce priveşte prelucrarea automată, fiecare stat membru garantează că operatorul sau persoana împuternicită de către operator pune în aplicare, în urma unei evaluări a riscurilor, măsuri menite:

(a) să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare utilizate pentru prelucrare (“controlul accesului la echipamente”);

(b) să împiedice orice citire, copiere, modificare sau eliminare neautorizată a suporturilor de date (“controlul suporturilor de date”);

(c) să împiedice introducerea neautorizată de date cu caracter personal şi inspectarea, modificarea sau ştergerea neautorizată a datelor cu caracter personal stocate (“controlul stocării”);

(d) să împiedice utilizarea sistemelor de prelucrare automată de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (“controlul utilizatorului”);

(e) să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată au acces numai la datele cu caracter personal pentru care au autorizare (“controlul accesului la date”);

(f) să asigure că este posibilă verificarea şi identificarea organismelor cărora le-au fost transmise sau puse la dispoziţie sau s-ar putea să le fie transmise sau puse la dispoziţie date cu caracter personal utilizându-se echipamente de comunicare a datelor (“controlul comunicării”);

(g) să asigure că este posibil ulterior să se verifice şi să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată, momentul introducerii datelor cu caracter personal şi entitatea care le-a introdus (“controlul introducerii datelor”);

(h) să împiedice citirea, copierea, modificarea sau ştergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date (“controlul transportării”);

(i) să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi (“recuperarea”);

(j) să asigure funcţionarea sistemului, raportarea defecţiunilor de funcţionare (fiabilitate) şi imposibilitatea coruperii datelor cu caracter personal stocate din cauza funcţionării defectuoase a sistemului (“integritate”).

ART. 30

Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal

(1) Statele membre garantează că, în cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere fără întârzieri nejustificate şi, în cazul în care este posibil, în cel mult 72 de ore după ce a luat cunoştinţă de aceasta, cu excepţia cazului în care încălcarea securităţii datelor cu caracter personal nu este susceptibilă să genereze un risc la adresa drepturilor şi libertăţilor persoanelor fizice. În cazul notificarea se efectuează în termen de 72 de ore, aceasta va fi însoţită de o justificare a întârzierii.

(2) Persoana împuternicită de către operator înştiinţează operatorul fără întârzieri nejustificate după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.

(3) Notificarea menţionată la alineatul (1) trebuie, cel puţin:

(a) să descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ de persoane vizate în cauză, precum şi categoriile şi numărul aproximativ de înregistrări de date cu caracter personal în cauză;

(b) să comunice numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;

(c) să descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;

(d) să descrie măsurile luate sau propuse de operator pentru a remedia încălcarea securităţii datelor cu caracter personal, inclusiv, dacă este cazul, măsuri pentru a atenua eventualele efecte adverse ale acesteia.

(4) În cazul în care şi în măsura în care furnizarea informaţiilor în acelaşi timp nu este posibilă, informaţiile pot fi furnizate treptat, fără întârzieri nejustificate.

(5) Statele membre garantează că operatorul păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, menţionate la alineatul (1), care cuprind o descriere a situaţiei în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Această documentaţie trebuie să permită autorităţii de supraveghere să verifice respectarea prezentului articol.

(6) Statele membre garantează că, în cazul în care încălcarea securităţii datelor implică date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau către un astfel de operator, informaţiile prevăzute la alineatul (3) se comunică operatorului din respectivul stat membru fără întârzieri nejustificate.

ART. 31

Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal

(1) Statele membre garantează că, în cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securităţii datelor cu caracter personal.

(2) În informarea transmisă persoanei vizate, prevăzută la alineatul (1) din prezentul articol, se include o descriere într-un limbaj simplu şi clar a caracterului încălcării securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi măsurile menţionate la articolul 30 alineatul (3) literele (b), (c) şi (d).

(3) Informarea persoanei vizate, menţionată la alineatul (1), nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

(a) operatorul a pus în aplicare măsuri tehnologice şi organizatorice adecvate de protecţie, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

(b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat la adresa drepturilor şi libertăţilor persoanelor vizate menţionat la alineatul (1) nu mai este susceptibil să se materializeze;

(c) aceasta ar necesita un efort disproporţionat. În acest caz, informarea se înlocuieşte printr-o informare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

(4) În cazul în care operatorul nu a informat deja persoana vizată cu privire la încălcarea securităţii datelor cu caracter personal, autoritatea de supraveghere, luând în considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite să facă acest lucru sau poate decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.

(5) Informarea persoanei vizate menţionată la alineatul (1) din prezentul articol poate fi amânată, restricţionată sau omisă, sub rezerva condiţiilor şi a motivelor menţionate la articolul 13 alineatul (3).

 

Secţiunea 3

Responsabilul cu protecţia datelor

 

ART. 32

Desemnarea responsabilului cu protecţia datelor

(1) Statele membre garantează că operatorul desemnează un responsabil cu protecţia datelor. Statele membre pot scuti de această obligaţie instanţele şi alte autorităţi judiciare independente atunci când acţionează în exerciţiul funcţiei lor judiciare.

(2) Responsabilul cu protecţia datelor este desemnat pe baza calităţilor sale profesionale şi, în special, a cunoştinţelor de specialitate în domeniul legislaţiei şi practicilor privind protecţia datelor, precum şi pe baza capacităţii de a îndeplini sarcinile prevăzute la articolul 34.

(3) Un unic responsabil cu protecţia datelor poate fi desemnat pentru mai multe autorităţi competente, luând în considerare structura organizatorică şi dimensiunea acestora.

(4) Statele membre garantează că operatorul publică datele de contact ale responsabilului cu protecţia datelor şi le transmite autorităţii de supraveghere.

ART. 33

Funcţia responsabilului cu protecţia datelor

(1) Statele membre impun operatorului să se asigure că responsabilul cu protecţia datelor este consultat în mod corespunzător şi în timp util în toate aspectele legate de protecţia datelor cu caracter personal.

(2) Operatorul sprijină responsabilul cu protecţia datelor în îndeplinirea sarcinilor menţionate la articolul 34, asigurându-i resursele necesare pentru executarea acestor sarcini, precum şi accesul la datele cu caracter personal şi la operaţiunile de prelucrare, şi să îşi menţină cunoştinţele de specialitate.

ART. 34

Sarcinile responsabilului cu protecţia datelor

Statele membre garantează că operatorul încredinţează responsabilului cu protecţia datelor cel puţin următoarele sarcini:

(a) informarea şi consilierea operatorului şi a angajaţilor care efectuează prelucrarea cu privire la obligaţiile care le revin în temeiul prezentei directive şi al altor dispoziţii de drept al Uniunii sau de drept intern privind protecţia datelor;

(b) monitorizarea respectării prezentei directive, a altor dispoziţii de drept al Uniunii sau de drept intern privind protecţia datelor şi a politicilor operatorului în ceea ce priveşte protecţia datelor cu caracter personal, inclusiv alocarea responsabilităţilor şi acţiunile de sensibilizare şi de formare a personalului implicat în operaţiunile de prelucrare, precum şi auditurile aferente;

(c) furnizarea de consiliere la cerere în ceea ce priveşte evaluarea impactului asupra protecţiei datelor şi monitorizarea funcţionării acesteia, în conformitate cu articolul 27;

(d) cooperarea cu autoritatea de supraveghere;

(e) asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare, inclusiv consultarea prealabilă menţionată la articolul 28, precum şi, dacă este cazul, acordarea consultanţei cu privire la orice altă chestiune.

 

CAPITOLUL V

Transferurile de date cu caracter personal către ţări terţe sau organizaţii internaţionale

 

ART. 35

Principii generale pentru transferurile de date cu caracter personal

(1) Statele membre garantează că orice transfer de date cu caracter personal de către autorităţile competente, care sunt în curs de prelucrare sau care sunt destinate prelucrării după transferul către o ţară terţă sau către o organizaţie internaţională, inclusiv transferurilor ulterioare către o altă ţară terţă sau organizaţie internaţională, poate avea loc numai sub rezerva respectării altor dispoziţii ale prezentei directive, în cazul în care sunt îndeplinite condiţiile prevăzute în prezentul capitol, şi anume:

(a) transferul este necesar în scopurile stabilite la articolul 1 alineatul (1);

(b) datele cu caracter personal sunt transferate unui operator într-o ţară terţă sau unei organizaţii internaţionale care este o autoritate competentă în sensul articolului 1 alineatul (1);

(c) în cazul în care datele cu caracter personal sunt transmise sau puse la dispoziţie din alt stat membru, acel stat membru a autorizat în prealabil efectuarea transferului, în conformitate cu dreptul său intern;

(d) Comisia a adoptat o decizie privind caracterul adecvat al nivelului de protecţie, în temeiul articolului 36, sau, în absenţa unei astfel de decizii, există sau se oferă garanţii adecvate în temeiul articolului 37 sau, în absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 36 sau a unor garanţii adecvate în conformitate cu articolul 37, se aplică derogări pentru situaţii speciale în conformitate cu articolul 38; şi

(e) în cazul unui transfer ulterior către o altă ţară terţă sau organizaţie internaţională, autoritatea competentă care a realizat transferul iniţial sau o altă autoritate competentă din acelaşi stat membru autorizează transferul ulterior, ţinând seama în mod corespunzător de toţi factorii relevanţi, inclusiv de gravitatea infracţiunii, de scopul în care datele cu caracter personal au fost transferate iniţial şi de nivelul de protecţie a datelor cu caracter personal din ţara terţă sau din organizaţia internaţională către care sunt transferate ulterior datele cu caracter personal.

(2) Statele membre garantează că transferurile fără autorizarea prealabilă de către un alt stat membru, în conformitate cu litera (c) de la alineatul (1), sunt permise numai dacă transferul de date cu caracter personal este necesar pentru prevenirea unei ameninţări imediate şi grave la adresa securităţii publice a unui stat membru sau a unei ţări terţe sau a intereselor fundamentale ale unui stat membru, iar autorizarea prealabilă nu poate fi obţinută în timp util. Autoritatea responsabilă pentru acordarea unei autorizări prealabile este informată fără întârziere.

(3) Toate dispoziţiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecţie a persoanelor fizice garantat prin prezenta directivă nu este subminat.

ART. 36

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecţie

(1) Statele membre garantează că transferul de date cu caracter personal către o ţară terţă sau o organizaţie internaţională se poate realiza atunci când Comisia a decis că ţara terţă, un teritoriu ori unul sau mai multe sectoare determinate din acea ţară terţă sau organizaţia internaţională în cauză asigură un nivel de protecţie adecvat. Transferurile realizate în aceste condiţii nu necesită autorizări speciale.

(2) Atunci când evaluează caracterul adecvat al nivelului de protecţie, Comisia ţine seama, în special, de următoarele elemente:

(a) statul de drept, respectarea drepturilor omului şi a libertăţilor fundamentale, legislaţia relevantă, atât generală, cât şi sectorială, inclusiv privind securitatea publică, apărarea, securitatea naţională şi dreptul penal şi accesul autorităţilor publice la datele cu caracter personal, precum şi punerea în aplicare a acestei legislaţii, a normelor de protecţie a datelor, a normelor profesionale şi a măsurilor de securitate, inclusiv a normelor privind transferul ulterior de date cu caracter personal către o altă ţară terţă sau organizaţie internaţională, care sunt respectate în ţara respectivă sau de organizaţia internaţională respectivă, jurisprudenţa, precum şi drepturile efective şi opozabile ale persoanelor vizate şi reparaţii efective pe cale administrativă şi judiciară pentru persoanele vizate ale căror date cu caracter personal sunt transferate;

(b) existenţa şi funcţionarea efectivă a uneia sau a mai multor autorităţi de supraveghere independente în ţara terţă sau sub incidenţa cărora intră o organizaţie internaţională, cu responsabilitate pentru asigurarea şi impunerea respectării normelor de protecţie a datelor, incluzând competenţe adecvate de sancţionare, pentru acordarea de asistenţă şi consiliere persoanelor vizate cu privire la exercitarea drepturilor acestora şi pentru cooperarea cu autorităţile de supraveghere din statele membre; şi

(c) angajamentele internaţionale la care a aderat ţara terţă sau organizaţia internaţională în cauză sau alte obligaţii care decurg din convenţii sau instrumente cu caracter juridic obligatoriu, precum şi participarea acesteia la sisteme multilaterale sau regionale, mai ales în domeniul protecţiei datelor cu caracter personal.

(3) Comisia, după ce evaluează caracterul adecvat al nivelului de protecţie, poate decide, prin intermediul unui act de punere în aplicare, că o ţară terţă, un teritoriu sau unul sau mai multe sectoare determinate dintr-o ţară terţă sau o organizaţie internaţională asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un mecanism de revizuire periodică, cel puţin o dată la patru ani, care ia în considerare toate evoluţiile relevante din ţara terţă sau organizaţia internaţională. Actul de punere în aplicare menţionează aplicarea sa teritorială şi sectorială şi, după caz, identifică autoritatea sau autorităţile de supraveghere menţionate la alineatul (2) litera (b) din prezentul articol. Actul de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 58 alineatul (2).

(4) Comisia monitorizează în permanenţă evoluţiile din ţările terţe şi organizaţiile internaţionale care ar putea afecta funcţionarea deciziilor adoptate în conformitate cu alineatul (3).

(5) În cazul în care din informaţiile disponibile, în special în urma revizuirii menţionate la alineatul (3) din prezentul articol, reiese că o ţară terţă, un teritoriu sau un sector determinat dintr-o ţară terţă sau o organizaţie internaţională nu mai asigură un nivel de protecţie adecvat în sensul alineatului (2) din prezentul articol, Comisia, în măsura în care este necesar, abrogă, modifică sau suspendă, prin intermediul unor acte de punere în aplicare, decizia menţionată la alineatul (3) din prezentul articol fără efect retroactiv. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 58 alineatul (2).

Din motive imperioase de urgenţă justificate corespunzător, Comisia adoptă acte de punere în aplicare imediat aplicabile în conformitate cu procedura menţionată la articolul 58 alineatul (3).

(6) Comisia iniţiază consultări cu ţara terţă sau organizaţia internaţională în vederea remedierii situaţiei care a stat la baza deciziei luate în conformitate cu alineatul (5).

(7) Statele membre garantează că o decizie luată în temeiul alineatului (5) nu aduce atingere transferurilor de date cu caracter personal către ţara terţă, către teritoriul sau către unul sau mai multe sectoare determinate din acea ţară terţă sau către organizaţia internaţională în cauză în conformitate cu articolele 37 şi 38.

(8) Comisia publică în Jurnalul Oficial al Uniunii Europene şi pe site-ul său web o listă a ţărilor terţe, a teritoriilor şi sectoarelor determinate din ţările terţe şi a organizaţiilor internaţionale în cazul cărora a decis că nivelul de protecţie adecvat este asigurat sau nu mai este asigurat.

ART. 37

Transferuri sub rezerva unor garanţii adecvate

(1) În absenţa unei decizii luate în conformitate cu articolul 36 alineatul (3), statele membre garantează că transferul de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională poate avea loc atunci când:

(a) s-au prezentat garanţii adecvate în ceea ce priveşte protecţia datelor cu caracter personal printr-un act cu caracter juridic obligatoriu; sau

(b) operatorul a evaluat toate circumstanţele aferente transferului de date cu caracter personal şi a concluzionat că există garanţii adecvate în ceea ce priveşte protecţia datelor cu caracter personal.

(2) Operatorul informează autoritatea de supraveghere cu privire la categoriile de transferuri în temeiul alineatului (1) litera (b).

(3) Atunci când un transfer se întemeiază pe alineatul (1) litera (b), un astfel de transfer se documentează, iar documentaţia se pune la dispoziţia autorităţii de supraveghere la cerere, incluzând data şi ora transferului, informaţii cu privire la autoritatea competentă destinatară, justificarea transferului şi datele cu caracter personal transferate.

ART. 38

Derogări pentru situaţii specifice

(1) În absenţa unei decizii privind caracterul adecvat al nivelului de protecţie în conformitate cu articolul 37 sau a unor garanţii adecvate în conformitate cu articolul 36, statele membre garantează că un transfer sau o categorie de transferuri de date cu caracter personal către o ţară terţă sau către o organizaţie internaţională poate avea loc numai în condiţiile în care transferul este necesar:

(a) pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane;

(b) pentru protejarea intereselor legitime ale persoanei vizate, în cazul în care dreptul statului membru care transferă datele cu caracter personal prevede acest lucru;

(c) pentru prevenirea unei ameninţări imediate şi grave la adresa securităţii publice a unui stat membru sau a unei ţări terţe;

(d) în cazuri individuale în scopurile stabilite la articolul 1 alineatul (1); sau

(e) într-un caz individual pentru constatarea, exercitarea sau apărarea unui drept în instanţă privind scopurile stabilite la articolul 1 alineatul (1).

(2) Datele cu caracter personal nu sunt transferate dacă autoritatea competentă care transferă datele stabileşte că drepturile şi libertăţile fundamentale ale persoanei vizate în cauză prevalează asupra interesului public în cazul transferului prevăzut la alineatul (1) literele (d) şi (e).

(3) Atunci când un transfer se întemeiază pe alineatul (1), un astfel de transfer trebuie să fie documentat, iar documentaţia trebuie pusă la dispoziţia autorităţii de supraveghere la cerere, incluzând data şi ora transferului, informaţii cu privire la autoritatea competentă destinatară, justificarea transferului şi datele cu caracter personal transferate.

ART. 39

Transferurile de date cu caracter personal către destinatari stabiliţi în ţări terţe

(1) Prin derogare de la articolul 35 alineatul (1) litera (b) şi fără a aduce atingere niciunui acord internaţional menţionat la alineatul (2) din prezentul articol, dreptul Uniunii sau dreptul intern poate să prevadă că autorităţile competente menţionate la articolul 3 punctul 7 litera (a) pot, în cazuri individuale şi specifice, transfera date cu caracter personal direct destinatarilor stabiliţi în ţări terţe, dar numai în cazul în care celelalte dispoziţii ale prezentei directive sunt respectate şi dacă sunt îndeplinite următoarele condiţii:

(a) transferul este strict necesar pentru executarea unei sarcini de către autoritatea competentă care transferă datele, astfel cum este prevăzut de dreptul Uniunii sau de dreptul intern în scopurile prevăzute la articolul 1 alineatul (1);

(b) autoritatea competentă care transferă datele stabileşte că niciunul dintre drepturile şi libertăţile fundamentale ale persoanei vizate în cauză nu prevalează în faţa interesului public care necesită transferul în cazul respectiv;

(c) autoritatea competentă care transferă datele consideră că transferul către o autoritate din ţara terţă, care este competentă în scopurile menţionate la articolul 1 alineatul (1), este ineficient sau necorespunzător, în special din cauză că transferul nu poate fi realizat în timp util;

(d) autoritatea din ţara terţă, care este competentă în scopurile menţionate la articolul 1 alineatul (1), este informată fără întârzieri nejustificate, cu excepţia cazului în care această măsură este ineficientă sau necorespunzătoare; şi

(e) autoritatea competentă care transferă datele informează destinatarul cu privire la scopul sau scopurile determinate exclusive în care aceasta din urmă poate să prelucreze datele cu caracter personal, cu condiţia ca o astfel de prelucrare să fie necesară.

(2) Un acord internaţional menţionat la alineatul (1) este orice acord internaţional bilateral sau multilateral în vigoare între statele membre şi ţări terţe în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti.

(3) Autoritatea competentă care transferă datele informează autoritatea de supraveghere cu privire la transferurile efectuate în temeiul prezentului articol.

(4) Atunci când un transfer se întemeiază pe alineatul (1), un astfel de transfer trebuie să fie documentat.

ART. 40

Cooperarea internaţională în domeniul protecţiei datelor cu caracter personal

În ceea ce priveşte ţările terţe şi organizaţiile internaţionale, Comisia şi statele membre iau măsurile corespunzătoare pentru:

(a) elaborarea de mecanisme de cooperare internaţională pentru a facilita asigurarea efectivă a respectării legislaţiei privind protecţia datelor cu caracter personal;

(b) acordarea de asistenţă internaţională reciprocă în asigurarea respectării legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv prin notificări, transferul reclamaţiilor, asistenţă în anchete şi schimb de informaţii, sub rezerva unor garanţii adecvate pentru protecţia datelor cu caracter personal şi a altor drepturi şi libertăţi fundamentale;

(c) implicarea părţilor interesate relevante în discuţiile şi activităţile care au ca scop consolidarea cooperării internaţionale în vederea asigurării respectării legislaţiei din domeniul protecţiei datelor cu caracter personal;

(d) promovarea schimburilor de legislaţie şi practici în materie de protecţie a datelor cu caracter personal şi a documentării cu privire la acestea, inclusiv cu privire la conflictele de jurisdicţie cu ţările terţe.

 

CAPITOLUL VI

Autorităţi de supraveghere independente

 

Secţiunea 1

Statut independent

 

ART. 41

Autoritatea de supraveghere

(1) Fiecare stat membru garantează că una sau mai multe autorităţi publice independente sunt responsabile de monitorizarea aplicării prezentei directive, în vederea protejării drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea şi în vederea facilitării liberei circulaţii a datelor cu caracter personal în cadrul Uniunii (“autoritatea de supraveghere”).

(2) Fiecare autoritate de supraveghere contribuie la aplicarea consecventă a prezentei directive în întreaga Uniune. În acest scop, autorităţile de supraveghere cooperează atât între ele, cât şi cu Comisia, în conformitate cu capitolul VII.

(3) Statele membre pot să prevadă că o autoritate de supraveghere instituită în conformitate cu Regulamentul (UE) 2016/679 constituie autoritatea de supraveghere menţionată în prezenta directivă şi îşi asumă responsabilitatea pentru sarcinile autorităţii de supraveghere care urmează să fie instituită în conformitate cu alineatul (1) din prezentul articol.

(4) În cazul în care un stat membru instituie mai multe autorităţi de supraveghere, statul membru respectiv desemnează autoritatea de supraveghere care reprezintă autorităţile respective în cadrul comitetului menţionat la articolul 51.

ART. 42

Independenţă

(1) Fiecare stat membru garantează că autoritatea sa de supraveghere beneficiază de independenţă deplină în îndeplinirea sarcinilor şi exercitarea competenţelor care le revin în conformitate cu prezenta directivă.

(2) Statele membre garantează că membrii autorităţilor lor de supraveghere, în îndeplinirea sarcinilor şi în exercitarea competenţelor care le revin în conformitate cu prezenta directivă, rămân independenţi de orice influenţă externă directă sau indirectă şi nici nu solicită, nici nu acceptă instrucţiuni de la nimeni.

(3) Membrii autorităţilor de supraveghere din statele membre nu întreprind acţiuni incompatibile cu îndatoririle lor, iar, pe durata mandatului, nu desfăşoară activităţi incompatibile, remunerate sau nu.

(4) Fiecare stat membru garantează că autoritatea sa de supraveghere beneficiază de resurse umane, tehnice şi financiare, de un sediu şi de infrastructura necesară pentru îndeplinirea sarcinilor şi exercitarea competenţelor în mod eficace, inclusiv a celor care urmează să fie realizate în contextul asistenţei reciproce, al cooperării şi al participării în cadrul comitetului.

(5) Fiecare stat membru garantează că autoritatea sa de supraveghere selectează şi dispune de personal propriu, care se află sub conducerea exclusivă a membrului sau membrilor autorităţii de supraveghere vizate.

(6) Fiecare stat membru garantează că autoritatea sa de supraveghere face obiectul unui control financiar care nu aduce atingere independenţei sale şi că dispune de bugete publice anuale distincte, care pot face parte din bugetul general de stat sau naţional.

ART. 43

Condiţii generale aplicabile membrilor autorităţii de supraveghere

(1) Statele membre garantează că fiecare membru al autorităţilor lor de supraveghere este numit prin intermediul unei proceduri transparente:

– de către parlament;

– de către guvern;

– de către şeful statului membru în cauză; sau

– de către un organism independent împuternicit prin dreptul intern să facă numirea.

(2) Fiecare membru dispune de calificările, experienţa şi competenţele, în special în domeniul protecţiei datelor cu caracter personal, necesare pentru îndeplinirea atribuţiilor şi exercitarea competenţelor sale.

(3) Atribuţiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau destituirii în conformitate cu dreptul statului membru în cauză.

(4) Un membru poate fi demis doar în cazuri de abateri grave sau în cazul în care membrul respectiv nu mai întruneşte condiţiile necesare pentru îndeplinirea atribuţiilor sale.

ART. 44

Norme privind instituirea autorităţii de supraveghere

(1) Fiecare stat membru prevede în dreptul său următoarele:

(a) instituirea autorităţii sale de supraveghere;

(b) calificările şi condiţiile de eligibilitate necesare pentru a fi numit membru al autorităţii sale de supraveghere;

(c) normele şi procedurile pentru numirea membrului sau a membrilor autorităţii sale de supraveghere;

(d) durata mandatului membrului sau al membrilor autorităţii sale de supraveghere, care nu poate fi mai mică de patru ani, cu excepţia primului mandat după 6 mai 2016, care poate fi mai scurt în cazul în care acest lucru este necesar pentru a proteja independenţa autorităţii de supraveghere printr-o procedură de numiri eşalonate;

(e) dacă şi de câte ori este eligibil pentru reînnoire mandatul membrului sau membrilor autorităţii sale de supraveghere; şi

(f) condiţiile care reglementează obligaţiile membrului sau membrilor şi ale personalului autorităţii sale de supraveghere, interdicţiile privind acţiunile, ocupaţiile şi beneficiile incompatibile cu acestea în cursul mandatului şi după încetarea acestuia, precum şi normele care reglementează încetarea activităţii profesionale.

(2) Membrul sau membrii şi personalul fiecărei autorităţi de supraveghere au obligaţia, în conformitate cu dreptul Uniunii sau cu dreptul intern, de a păstra atât pe parcursul mandatului, cât şi după încetarea acestuia, secretul profesional în ceea ce priveşte toate informaţiile confidenţiale de care au luat cunoştinţă în cursul îndeplinirii atribuţiilor sau al exercitării competenţelor lor. Pe durata mandatului lor, această obligaţie de păstrare a secretului profesional se aplică, în special, în ceea ce priveşte denunţarea de către persoane fizice a cazurilor de încălcare a prezentei directive.

 

Secţiunea 2

Abilitări, sarcini şi competenţe

 

ART. 45

Abilitări

(1) Fiecare stat membru garantează că autoritatea sa de supraveghere este abilitată să îndeplinească sarcinile şi să exercite competenţele care îi revin în conformitate cu prezenta directivă pe teritoriul respectivului stat membru.

(2) Fiecare stat membru garantează că autorităţii sale de supraveghere îi revine competenţa să supravegheze operaţiunile de prelucrare ale instanţelor atunci când acestea acţionează în exerciţiul funcţiei lor judiciare. Statele membre pot să stabilească dispoziţii potrivit cărora autorităţilor sale de supraveghere nu le revine competenţa să supravegheze operaţiunile de prelucrare ale altor autorităţi judiciare independente atunci când acestea acţionează în exerciţiul funcţiei lor judiciare.

ART. 46

Sarcini

(1) Fiecare stat membru garantează, pe teritoriul său, că autoritatea sa de supraveghere:

(a) monitorizează şi asigură respectarea prezentei directive şi a măsurilor de punere în aplicare aferente acesteia;

(b) promovează acţiuni de sensibilizare şi de înţelegere în rândul publicului a riscurilor, normelor, garanţiilor şi drepturilor în materie de prelucrare;

(c) oferă consiliere, în conformitate cu dreptul intern, parlamentului naţional, guvernului şi altor instituţii şi organisme cu privire la măsurile legislative şi administrative referitoare la protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea;

(d) promovează acţiuni de sensibilizare a operatorilor şi a persoanelor împuternicite de aceştia cu privire la obligaţiile care le revin în temeiul prezentei directive;

(e) furnizează informaţii, la cerere, oricărei persoane vizate în legătură cu exercitarea drepturilor sale în temeiul prezentei directive şi, dacă este cazul, cooperează cu autorităţile de supraveghere din alte state membre în acest scop;

(f) tratează plângerile depuse de o persoană vizată sau de un organism, o organizaţie sau o asociaţie, în conformitate cu articolul 55, investighează într-o măsură adecvată obiectul plângerii şi informează persoana care a depus plângerea cu privire la evoluţia şi rezultatul investigaţiei, într-un termen rezonabil, în special dacă este necesară efectuarea unei investigaţii mai amănunţite sau coordonarea cu o altă autoritate de supraveghere;

(g) verifică legalitatea prelucrării în conformitate cu articolul 17 şi informează persoana vizată, într-un termen rezonabil, cu privire la rezultatul verificării în temeiul alineatului (3) al articolului respectiv sau la motivele pentru care nu a avut loc verificarea;

(h) cooperează, inclusiv prin schimb de informaţii, cu alte autorităţi de supraveghere şi îşi oferă reciproc asistenţă pentru a asigura consecvenţa aplicării şi respectării prezentei directive;

(i) desfăşoară investigaţii privind aplicarea prezentei directive, inclusiv pe baza unor informaţii primite de la o altă autoritate de supraveghere sau autoritate publică;

(j) monitorizează evoluţiile relevante, în măsura în care acestea au impact asupra protecţiei datelor cu caracter personal, în special evoluţia tehnologiilor informaţiilor şi comunicaţiilor;

(k) oferă consiliere cu privire la operaţiunile de prelucrare menţionate la articolul 28; şi

(l) contribuie la activităţile comitetului.

(2) Fiecare autoritate de supraveghere facilitează depunerea plângerilor menţionate la alineatul (1) litera (f) prin măsuri precum punerea la dispoziţie a unui formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.

(3) Îndeplinirea sarcinilor fiecărei autorităţi de supraveghere este gratuită pentru persoana vizată şi pentru responsabilul cu protecţia datelor.

(4) În cazul în care o cerere este în mod vădit nefondată sau excesivă, în special când este repetitivă, autoritatea de supraveghere poate percepe o taxă rezonabilă pe baza costurilor sale administrative sau poate refuza să îi dea curs. Obligaţia de a demonstra caracterul evident nefondat sau excesiv al cererii respective revine autorităţii de supraveghere.

ART. 47

Competenţe

(1) Fiecare stat membru garantează prin lege că autorităţii sale de supraveghere îi revin competenţe de investigare efective. Respectivele competenţe includ, cel puţin, competenţa de a obţine, din partea operatorului şi a persoanei împuternicite de operator, accesul la toate datele cu caracter personal care sunt prelucrate şi la toate informaţiile necesare pentru îndeplinirea sarcinilor sale.

(2) Fiecare stat membru garantează prin lege că autorităţii sale de supraveghere îi revin competenţe corective efective, cum ar fi, de exemplu:

(a) de a emite avertizări în atenţia unui operator sau a unei persoane împuternicite de operator cu privire la probabilitatea ca operaţiunile de prelucrare preconizate să încalce dispoziţiile adoptate în temeiul prezentei directive;

(b) de a da dispoziţii operatorului sau persoanei împuternicite de operator să asigure conformitatea operaţiunilor de prelucrare cu dispoziţiile adoptate în temeiul prezentei directive, specificând, după caz, modalitatea şi termenul-limită pentru aceasta; în special dispunând rectificarea sau ştergerea datelor cu caracter personal, sau restricţionarea prelucrării, în conformitate cu articolul 16;

(c) de a impune o limitare temporară sau definitivă, inclusiv o interdicţie, în ce priveşte prelucrarea.

(3) Fiecare stat membru garantează prin lege că autorităţii sale de supraveghere îi revin competenţe de consiliere efective pentru a oferi consiliere operatorului în conformitate cu procedura de consultare prealabilă menţionată la articolul 28 şi de a emite avize, din proprie iniţiativă sau la cerere, parlamentului naţional, guvernului sau, în conformitate cu dreptul său intern, altor instituţii şi organisme, precum şi publicului, cu privire la orice aspect legat de protecţia datelor cu caracter personal.

(4) Exercitarea competenţelor conferite autorităţii de supraveghere în temeiul prezentului articol face obiectul unor garanţii adecvate, inclusiv căi de atac judiciare eficiente şi procese echitabile, prevăzute de dreptul Uniunii şi de dreptul intern în conformitate cu Carta.

(5) Fiecare stat membru garantează prin lege că autorităţii sale de supraveghere îi revine competenţa de a aduce în atenţia autorităţilor judiciare cazurile de încălcare a dispoziţiilor adoptate în temeiul prezentei directive şi, după caz, de a iniţia sau de a se implica într-un alt mod în proceduri judiciare, în scopul de a asigura respectarea dispoziţiilor adoptate în temeiul prezentei directive.

ART. 48

Denunţarea cazurilor de încălcare

Statele membre garantează că autorităţile competente instituie mecanisme eficiente de încurajare a denunţării confidenţiale a cazurilor de încălcare a prezentei directive.

ART. 49

Rapoarte de activitate

Fiecare autoritate de supraveghere întocmeşte un raport anual cu privire la activităţile sale, care poate include o listă a cazurilor de încălcare notificate şi natura sancţiunilor aplicate. Rapoartele se transmit parlamentului naţional, guvernului şi altor autorităţi desemnate de dreptul intern. Rapoartele se pune la dispoziţia publicului, a Comisiei şi a comitetului.

 

CAPITOLUL VII

Cooperarea

 

ART. 50

Asistenţă reciprocă

(1) Fiecare stat membru garantează că autorităţile sale de supraveghere îşi furnizează reciproc informaţiile relevante şi asistenţă pentru a pune în aplicare şi a aplica prezenta directivă în mod consecvent şi instituie măsuri de cooperare eficace între ele. Asistenţa reciprocă se referă, în special, la cereri de informaţii şi măsuri de supraveghere, cum ar fi cereri în vederea efectuării de consultări, inspecţii şi investigaţii.

(2) Fiecare stat membru garantează luarea de către fiecare autoritate de supraveghere a tuturor măsurilor corespunzătoare necesare pentru a răspunde cererii unei alte autorităţi de supraveghere, fără întârziere şi în cel mult o lună de la data primirii cererii. Astfel de măsuri pot include, în special, transmiterea informaţiilor relevante privind desfăşurarea unei investigaţii.

(3) Cererile de asistenţă cuprind toate informaţiile necesare, inclusiv scopul şi motivele care stau la baza acesteia. Informaţiile care fac obiectul schimbului se utilizează numai în scopul în care au fost solicitate.

(4) O autoritate de supraveghere căreia i se adresează o cerere de asistenţă nu poate refuza să îi dea curs, cu excepţia cazului în care:

(a) nu are competenţă cu privire la obiectul cererii sau la măsurile pe care este solicitată să le execute; sau

(b) a da curs cererii ar încălca prezenta directivă sau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră autoritatea de supraveghere care a primit cererea.

(5) Autoritatea de supraveghere căreia i s-a adresat cererea informează autoritatea de supraveghere care a transmis cererea cu privire la rezultate sau, după caz, la progresele înregistrate ori măsurile întreprinse pentru a răspunde cererii. În cazul unui refuz în temeiul alineatului (4), autoritatea de supraveghere căreia i s-a adresat cererea explică motivele de refuz.

(6) Autorităţile de supraveghere cărora li s-a adresat o cerere furnizează, de regulă, informaţiile solicitate de alte autorităţi de supraveghere prin mijloace electronice, utilizând un formular-standard.

(7) Pentru acţiunile întreprinse în urma unei cereri de asistenţă reciprocă autorităţile de supraveghere cărora li s-a adresat o cerere nu percep taxă. Autorităţile de supraveghere pot conveni asupra unor compensaţii reciproce în cazul unor cheltuieli specifice rezultate în urma acordării de asistenţă reciprocă în situaţii excepţionale.

(8) Comisia poate preciza, prin intermediul unor acte de punere în aplicare, forma şi procedurile pentru asistenţa reciprocă menţionată în prezentul articol, precum şi modalităţile de schimb de informaţii prin mijloace electronice între autorităţile de supraveghere şi între autorităţile de supraveghere şi comitet. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 58 alineatul (2).

ART. 51

Sarcinile comitetului

(1) Comitetul instituit prin Regulamentul (UE) 2016/679 îndeplineşte, în ceea ce priveşte prelucrarea care intră sub incidenţa prezentei directive, toate sarcinile următoare:

(a) oferă Comisiei consiliere cu privire la orice aspect legat de protecţia datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentei directive;

(b) examinează, din proprie iniţiativă, la cererea unuia dintre membrii săi sau la cererea Comisiei, orice chestiune referitoare la aplicarea prezentei directive şi emite orientări, recomandări şi bune practici pentru a încuraja aplicarea consecventă a prezentei directive;

(c) elaborează orientări destinate autorităţilor de supraveghere, referitoare la aplicarea măsurilor menţionate la articolul 47 alineatele (1) şi (3);

(d) emite orientări, recomandări şi bune practici, în conformitate cu litera (b) de la prezentul alineat, pentru stabilirea cazurilor de încălcare a securităţii datelor cu caracter personal şi pentru determinarea întârzierilor nejustificate menţionate la articolul 30 alineatele (1) şi (2), precum şi pentru circumstanţele speciale în care un operator sau o persoană împuternicită de către operator are obligaţia de a notifica încălcarea securităţii datelor cu caracter personal;

(e) emite orientări, recomandări şi bune practici, în conformitate cu litera (b) de la prezentul alineat, în ceea ce priveşte circumstanţele în care o încălcare a securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor menţionate la articolul 31 alineatul (1);

(f) revizuieşte aplicarea practică a orientărilor, a recomandărilor şi a bunelor practici menţionate la literele (b) şi (c);

(g) prezintă Comisiei un aviz pentru evaluarea caracterului adecvat al nivelului de protecţie dintr-o ţară terţă, un teritoriu sau unul sau mai multe sectoare determinate dintr-o ţară terţă, sau o organizaţie internaţională, inclusiv pentru a evalua dacă o ţară terţă, un teritoriu, un sector determinat sau o organizaţie internaţională nu mai asigură un nivel de protecţie adecvat.

(h) promovează cooperarea şi schimbul eficient bilateral şi multilateral de informaţii şi cele mai bune practici între autorităţile de supraveghere;

(i) promovează programe comune de formare şi facilitează schimburile de personal între autorităţile de supraveghere şi, după caz, cu autorităţile de supraveghere ale ţărilor terţe sau cu organizaţiile internaţionale;

(j) promovează schimbul de cunoştinţe şi de documente privind dreptul şi practicile în materie de protecţie a datelor cu autorităţile de supraveghere a protecţiei datelor la nivel mondial.

În ceea ce priveşte litera (g) de la primul paragraf, Comisia pune la dispoziţia comitetului toată documentaţia necesară, inclusiv corespondenţa purtată cu guvernul ţării terţe, al teritoriului respectiv sau cu sectorul specific din respectiva ţară terţă, sau cu organizaţia internaţională.

(2) În cazul în care Comisia solicită consiliere din partea comitetului, aceasta poate indica un termen limită, ţinând seama de caracterul urgent al chestiunii.

(3) Comitetul îşi transmite avizele, orientările, recomandările şi bunele practici Comisiei şi comitetului menţionat la articolul 58 alineatul (1) şi le publică.

(4) Comisia informează comitetul cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor şi bunelor practici emise de comitet.

 

CAPITOLUL VIII

Căi de atac, răspundere şi sancţiuni

 

ART. 52

Dreptul de a depune o plângere la o autoritate de supraveghere

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, statele membre garantează oricărei persoane vizate dreptul de a depune o plângere la o singură autoritate de supraveghere, în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o vizează încalcă dispoziţiile adoptate în temeiul prezentei directive.

(2) Statele membre garantează că, în cazul în care plângerea nu este depusă la autoritatea de supraveghere competentă în temeiul articolului 45 alineatul (1), autoritatea de supraveghere la care a fost depusă plângerea o transmite autorităţii de supraveghere competente, fără întârzieri nejustificate. Persoana vizată este informată cu privire la transmitere.

(3) Statele membre garantează că autoritatea de supraveghere la care s-a depus plângerea oferă, la cerere, asistenţă suplimentară persoanei vizate.

(4) Persoana vizată este informată de către autoritatea de supraveghere competentă cu privire la evoluţia şi rezultatul plângerii, inclusiv cu privire la posibilitatea de a exercita o cale de atac judiciară în conformitate cu articolul 53.

ART. 53

Dreptul la o cale de atac judiciară eficientă împotriva unei autorităţi de supraveghere

(1) Fără a aduce atingere oricăror alte căi de atac administrative sau extrajudiciare, statele membre dispun că o persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorităţi de supraveghere care o vizează.

(2) Fără a aduce atingere oricăror alte căi de atac administrative sau extrajudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere competentă în conformitate cu articolul 45 alineatul (1) nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluţionarea plângerii depuse în conformitate cu articolul 52.

(3) Statele membre garantează că acţiunile împotriva unei autorităţi de supraveghere sunt introduse în faţa instanţelor din statul membru în care este stabilită autoritatea de supraveghere.

ART. 54

Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de către operator

Fără a aduce atingere vreunei căi de atac administrative sau extrajudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în conformitate cu articolul 52, statele membre garantează persoanei vizate dreptul la exercitarea unei căi de atac judiciare eficiente în cazul în care aceasta consideră că, prin prelucrarea datelor sale cu caracter personal cu nerespectarea dispoziţiilor adoptate în temeiul prezentei directive, au fost încălcate drepturile care îi revin în conformitate cu dispoziţiile respective.

ART. 55

Reprezentarea persoanelor vizate

În conformitate cu dreptul intern procedural, statele membre garantează oricărei persoane vizate dreptul de a mandata un organism, o organizaţie sau o asociaţie, care nu are scop lucrativ şi care a fost constituită în mod corespunzător în conformitate cu dreptul intern, ale cărei obiective statutare sunt de interes public şi care este activă în domeniul protecţiei drepturilor şi libertăţilor persoanelor vizate în ceea ce priveşte protecţia datelor lor cu caracter personal, să depună plângerea în numele său şi să exercite în numele său drepturile menţionate la articolele 52, 53 şi 54.

ART. 56

Dreptul la despăgubiri

Statele membre garantează oricărei persoane care a suferit prejudicii materiale sau morale ca urmare a unei operaţiuni de prelucrare ilegale sau a oricărei acţiuni care încalcă dispoziţiile adoptate în temeiul prezentei directive dreptul de a obţine despăgubiri, în temeiul dreptului intern, pentru prejudiciul cauzat de operator sau de o altă autoritate competentă.

ART. 57

Sancţiuni

Statele membre definesc normele privind sancţiunile aplicabile în cazurile de încălcare a dispoziţiilor adoptate în temeiul prezentei directive şi iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare. Sancţiunile prevăzute trebuie să fie eficace, proporţionale şi disuasive.

 

CAPITOLUL IX

Acte de punere în aplicare

 

ART. 58

Procedura comitetului

(1) Comisia este asistată de comitetul înfiinţat prin articolul 93 din Regulamentul (UE) 2016/679. Acesta reprezintă un comitet în sensul Regulamentului (UE) nr. 182/2011.

(2) Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(3) Atunci când se face trimitere la prezentul alineat, se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din acelaşi regulament.

 

CAPITOLUL X

Dispoziţii finale

 

ART. 59

Abrogarea Deciziei-cadru 2008/977/JAI

(1) Decizia-cadru 2008/977/JAI se abrogă începând cu 6 mai 2018.

(2) Trimiterile la decizia abrogată menţionată la alineatul (1) se interpretează ca trimiteri la prezenta directivă.

ART. 60

Actele Uniunii aflate deja în vigoare

Dispoziţiile specifice referitoare la protecţia datelor cu caracter personal din actele juridice ale Uniunii care au intrat în vigoare până la 6 mai 2016 în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti, care reglementează prelucrarea între statele membre şi accesul autorităţilor desemnate ale statelor membre la sistemele de informaţii instituite în temeiul tratatelor şi care intră sub incidenţa prezentei directive nu sunt afectate.

ART. 61

Relaţia cu acordurile internaţionale încheiate anterior în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti

Acordurile internaţionale care implică transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale, care au fost încheiate de statele membre înainte de 6 mai 2016 şi sunt aplicabile înainte de 6 mai 2016 şi care sunt în conformitate cu dreptul Uniunii, rămân în vigoare până la modificarea, înlocuirea sau revocarea lor.

ART. 62

Rapoartele Comisiei

(1) Până la 6 mai 2022 şi, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European şi Consiliului, un raport privind evaluarea şi revizuirea prezentei directive. Rapoartele sunt făcute publice.

(2) În contextul evaluărilor şi revizuirilor menţionate la alineatul (1), Comisia examinează, în special, aplicarea şi funcţionarea capitolului V privind transferul datelor cu caracter personal către ţări terţe sau organizaţii internaţionale, acordând o atenţie deosebită deciziilor adoptate în temeiul articolului 36 alineatul (3) şi al articolului 39.

(3) În scopul alineatelor (1) şi (2), Comisia poate solicita informaţii de la statele membre şi de la autorităţile de supraveghere.

(4) La efectuarea evaluărilor şi revizuirilor menţionate la alineatele (1) şi (2), Comisia ia în considerare poziţiile şi concluziile Parlamentului European, ale Consiliului şi ale altor organisme şi surse relevante.

(5) Comisia transmite, dacă este necesar, propuneri corespunzătoare în vederea modificării prezentei directive, în special ţinând seama de evoluţiile din domeniul tehnologiei informaţiei şi având în vedere progresele societăţii informaţionale.

(6) Până la 6 mai 2019, Comisia revizuieşte celelalte acte adoptate de Uniune care reglementează prelucrarea de către autorităţile competente în scopurile prevăzute la articolul 1 alineatul (1), inclusiv actele menţionate la articolul 60, pentru a evalua necesitatea de a le alinia la prezenta directivă şi prezintă, după caz, propunerile necesare de modificare a actelor respective pentru a asigura o abordare uniformă privind protecţia datelor cu caracter personal care intră în domeniul de aplicare al prezentei directive.

ART. 63

Transpunerea

(1) Statele membre adoptă şi publică, până la 6 mai 2018, actele cu putere de lege şi actele administrative necesare pentru a se conforma prezentei directive. Statele membre notifică de îndată Comisiei textele acestor dispoziţii. Statele membre aplică aceste dispoziţii începând cu 6 mai 2018.

Atunci când statele membre adoptă dispoziţiile respective, acestea conţin o trimitere la prezenta directivă sau sunt însoţite de o astfel de trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.

(2) Prin derogare de la alineatul (1), un stat membru poate prevedea că, în mod excepţional, în cazul în care acest lucru implică eforturi disproporţionate, sistemele de prelucrare automată instituite înainte de 6 mai 2016 sunt aduse în conformitate cu articolul 25 alineatul (1) până la 6 mai 2023.

(3) Prin derogare de la alineatele (1) şi (2) din prezentul articol, un stat membru poate aduce, în circumstanţe excepţionale, în conformitate cu articolul 25 alineatul (1), un sistem de prelucrare automată, în conformitate cu alineatul (2) din prezentul articol, într-un termen determinat, după încheierea perioadei menţionate la alineatul (2) din prezentul articol, dacă, în caz contrar, s-ar provoca dificultăţi majore pentru funcţionarea respectivului sistem de prelucrare automată. Statul membru respectiv notifică Comisiei motivele respectivelor dificultăţi majore şi motivele pe care se întemeiază termenul determinat în care statul membru aduce în conformitate cu articolul 25 alineatul (1) respectivul sistem de prelucrare automată. Termenul determinat nu depăşeşte în niciun caz 6 mai 2026.

(4) Statele membre comunică Comisiei textul principalelor dispoziţii de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.

ART. 64

Intrarea în vigoare

Prezenta directivă intră în vigoare în ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene.

ART. 65

Destinatari

Prezenta directivă se adresează statelor membre.

 

Adoptată la Bruxelles, 27 aprilie 2016.