1

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i privind libera circulaie a acestor date i de abrogare a Directivei 95/46/CE (Regulamentul general privind protecia datelor)

(la data 06-oct-2016 actul a fost in legatura cu Directiva 1629/14-sep-2016 ) (la data 05-mai-2016 actul a fost in legatura cu Directiva 680/27-apr-2016 )

(Text cu relevan pentru SEE) PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE, avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 16, avnd n vedere propunerea Comisiei Europene, dup transmiterea proiectului de act legislativ ctre parlamentele naionale, avnd n vedere avizul Comitetului Economic i Social European (1), (1)JO C 229, 31.7.2012, p. 90. avnd n vedere avizul Comitetului Regiunilor (2), (2)JO C 391, 18.12.2012, p. 127. hotrnd n conformitate cu procedura legislativ ordinar (3), (3)Poziia Parlamentului European din 12 martie 2014 (nepublicat nc n Jurnalul Oficial) i Poziia n prim lectur a Consiliului din 8 aprilie 2016 (nepublicat nc n Jurnalul Oficial). Poziia Parlamentului European din 14 aprilie 2016. ntruct: (1)Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene ("carta") i articolul 16 alineatul (1) din Tratatul privind funcionarea Uniunii Europene (TFUE) prevd dreptul oricrei persoane la protecia datelor cu caracter personal care o privesc. (2)Principiile i normele referitoare la protecia persoanelor fizice n ceea ce privete prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetenia sau de locul de reedin al persoanelor fizice, s respecte drepturile i libertile fundamentale ale acestora, n special dreptul la protecia datelor cu caracter personal. Prezentul regulament urmrete s contribuie la realizarea unui spaiu de libertate, securitate i justiie i a unei uniuni economice, la progresul economic i social, la consolidarea i convergena economiilor n cadrul pieei interne i la bunstarea persoanelor fizice. (3)Directiva 95/46/CE a Parlamentului European i a Consiliului (4) vizeaz armonizarea nivelului de protecie a drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete activitile de prelucrare i asigurarea liberei circulaii a datelor cu caracter personal ntre statele membre. (4)Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date (JO L 281, 23.11.1995, p. 31). (4)Prelucrarea datelor cu caracter personal ar trebui s fie n serviciul cetenilor. Dreptul la protecia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat n considerare n raport cu funcia pe care o ndeplinete n societate i echilibrat cu alte drepturi fundamentale, n conformitate cu principiul proporionalitii. Prezentul regulament respect toate drepturile fundamentale i

https://idrept.ro/12015837.htmhttps://idrept.ro/12046199.htm#do|ca3|ar19|al4https://idrept.ro/12045069.htm#do|caii|ar9https://idrept.ro/12040871.htmhttps://idrept.ro/12014007.htmhttps://idrept.ro/12014007.htmhttps://idrept.ro/12040871.htmhttps://idrept.ro/12015837.htmhttps://idrept.ro/12015837.htm

2

libertile i principiile recunoscute n cart astfel cum sunt consacrate n tratate, n special respectarea vieii private i de familie, a reedinei i a comunicaiilor, a proteciei datelor cu caracter personal, a libertii de gndire, de contiin i de religie, a libertii de exprimare i de informare, a libertii de a desfura o activitate comercial, dreptul la o cale de atac eficient i la un proces echitabil, precum i diversitatea cultural, religioas i lingvistic. (5)Integrarea economic i social care rezult din funcionarea pieei interne a condus la o cretere substanial a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal ntre actori publici i privai, inclusiv persoane fizice, asociaii i ntreprinderi, s-a intensificat n ntreaga Uniune. Conform dreptului Uniunii, autoritile naionale din statele membre sunt chemate s coopereze i s fac schimb de date cu caracter personal pentru a putea s i ndeplineasc atribuiile sau s execute sarcini n numele unei autoriti dintr-un alt stat membru. (6)Evoluiile tehnologice rapide i globalizarea au generat noi provocri pentru protecia datelor cu caracter personal. Amploarea colectrii i a schimbului de date cu caracter personal a crescut n mod semnificativ. Tehnologia permite att societilor private, ct i autoritilor publice s utilizeze date cu caracter personal la un nivel fr precedent n cadrul activitilor lor. Din ce n ce mai mult, persoanele fizice fac publice la nivel mondial informaii cu caracter personal. Tehnologia a transformat deopotriv economia i viaa social i ar trebui s faciliteze n continuare libera circulaie a datelor cu caracter personal n cadrul Uniunii i transferul ctre ri tere i organizaii internaionale, asigurnd, totodat, un nivel ridicat de protecie a datelor cu caracter personal. (7)Aceste evoluii impun un cadru solid i mai coerent n materie de protecie a datelor n Uniune, nsoit de o aplicare riguroas a normelor, lund n considerare importana crerii unui climat de ncredere care va permite economiei digitale s se dezvolte pe piaa intern. Persoanele fizice ar trebui s aib control asupra propriilor date cu caracter personal, iar securitatea juridic i practic pentru persoane fizice, operatori economici i autoriti publice ar trebui s fie consolidat. (8)n cazul n care prezentul regulament prevede specificri sau restricionri ale normelor sale de ctre dreptul intern, statele membre pot, n msura n care acest lucru este necesar pentru coeren i pentru a asigura nelegerea dispoziiilor naionale de ctre persoanele crora li se aplic acestea, s ncorporeze elemente din prezentul regulament n dreptul lor intern. (9)Obiectivele i principiile Directivei 95/46/CE rmn solide, dar aceasta nu a prevenit fragmentarea modului n care protecia datelor este pus n aplicare n Uniune, insecuritatea juridic sau percepia public larg rspndit conform creia exist riscuri semnificative pentru protecia persoanelor fizice, n special n legtur cu activitatea online. Diferenele dintre nivelurile de protecie a drepturilor i libertilor persoanelor fizice, n special a dreptului la protecia datelor cu caracter personal, n ceea ce privete prelucrarea datelor cu caracter personal din statele membre pot mpiedica libera circulaie a datelor cu caracter personal n ntreaga Uniune. Aceste diferene pot constitui, prin urmare, un obstacol n desfurarea de activiti economice la nivelul Uniunii, pot denatura concurena i pot mpiedica autoritile s ndeplineasc responsabilitile care le revin n temeiul dreptului Uniunii. Aceast diferen ntre nivelurile de protecie este cauzat de existena unor deosebiri n ceea ce privete transpunerea i aplicarea Directivei 95/46/CE.

https://idrept.ro/12014007.htmhttps://idrept.ro/12015837.htmhttps://idrept.ro/12015837.htm

3

(10)Pentru a se asigura un nivel consecvent i ridicat de protecie a persoanelor fizice i pentru a se ndeprta obstacolele din calea circulaiei datelor cu caracter personal n cadrul Uniunii, nivelul proteciei drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea unor astfel de date ar trebui s fie echivalent n toate statele membre. Aplicarea consecvent i omogen a normelor n materie de protecie a drepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal ar trebui s fie asigurat n ntreaga Uniune. n ceea ce privete prelucrarea datelor cu caracter personal n vederea respectrii unei obligaii legale, a ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, statelor membre ar trebui s li se permit s menin sau s introduc dispoziii de drept intern care s clarifice ntr-o mai mare msur aplicarea normelor prezentului regulament. n coroborare cu legislaia general i orizontal privind protecia datelor, prin care este pus n aplicare Directiva95/46/CE, statele membre au mai multe legi sectoriale specifice n domenii care necesit dispoziii mai precise. Prezentul regulament ofer, de asemenea, statelor membre o marj de manevr n specificarea normelor sale, inclusiv n ceea ce privete prelucrarea categoriilor speciale de date cu caracter personal ("date sensibile"). n acest sens, prezentul regulament nu exclude dreptul statelor membre care stabilete circumstanele aferente unor situaii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiiilor n care prelucrarea datelor cu caracter personal este legal. (11)Protecia efectiv a datelor cu caracter personal n ntreaga Uniune necesit nu numai consolidarea i stabilirea n detaliu a drepturilor persoanelor vizate i a obligaiilor celor care prelucreaz i decid prelucrarea datelor cu caracter personal, ci i competene echivalente pentru monitorizarea i asigurarea conformitii cu normele de protecie a datelor cu caracter personal i sanciuni echivalente pentru infraciuni n statele membre. (12)Articolul 16 alineatul (2) din TFUE mandateaz Parlamentul European i Consiliul s stabileasc normele privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum i normele privind libera circulaie a acestor date. (13)n vederea asigurrii unui nivel uniform de protecie pentru persoanele fizice n ntreaga Uniune i a prentmpinrii discrepanelor care mpiedic libera circulaie a datelor n cadrul pieei interne, este necesar un regulament n scopul de a furniza securitate juridic i transparen pentru operatorii economici, inclusiv microntreprinderi i ntreprinderi mici i mijlocii, precum i de a oferi persoanelor fizice n toate statele membre acelai nivel de drepturi, obligaii i responsabiliti opozabile din punct de vedere juridic pentru operatori i persoanele mputernicite de acetia, pentru a se asigura o monitorizare coerent a prelucrrii datelor cu caracter personal, sanciuni echivalente n toate statele membre, precum i cooperarea eficace a autoritilor de supraveghere ale diferitelor state membre. Pentru buna funcionare a pieei interne este necesar ca libera circulaie a datelor cu caracter personal n cadrul Uniunii s nu fie restricionat sau interzis din motive legate de protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal. Pentru a se lua n considerare situaia specific a microntreprinderilor i a ntreprinderilor mici i mijlocii, prezentul regulament include o derogare pentru organizaiile cu mai puin de 250 de angajai n ceea ce

https://idrept.ro/12015837.htmhttps://idrept.ro/12040871.htm

4

privete pstrarea evidenelor. n plus, instituiile i organele Uniunii i statele membre i autoritile lor de supraveghere sunt ncurajate s ia n considerare necesitile specifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii n aplicarea prezentului regulament. Noiunea de microntreprinderi i de ntreprinderi mici i mijlocii ar trebui s se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1). (1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microntreprinderilor i a ntreprinderilor mici i mijlocii [C(2003) 1422] (JO L 124, 20.5.2003, p. 36). (14)Protecia conferit de prezentul regulament ar trebui s vizeze persoanele fizice, indiferent de cetenia sau de locul de reedin al acestora, n ceea ce privete prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal care privesc persoane juridice i, n special, ntreprinderi cu personalitate juridic, inclusiv numele i tipul de persoan juridic i datele de contact ale persoanei juridice. (15)Pentru a preveni apariia unui risc major de eludare, protecia persoanelor fizice ar trebui s fie neutr din punct de vedere tehnologic i s nu depind de tehnologiile utilizate. Protecia persoanelor fizice ar trebui s se aplice prelucrrii datelor cu caracter personal prin mijloace automatizate, precum i prelucrrii manuale, n cazul n care datele cu caracter personal sunt cuprinse sau destinate s fie cuprinse ntr-un sistem de eviden. Dosarele sau seturile de dosare, precum i copertele acestora, care nu sunt structurate n conformitate cu criterii specifice nu ar trebui s intre n domeniul de aplicare al prezentului regulament. (16)Prezentul regulament nu se aplic chestiunilor de protecie a drepturilor i libertilor fundamentale sau la libera circulaie a datelor cu caracter personal referitoare la activiti care nu intr n domeniul de aplicare al dreptului Uniunii, de exemplu activitile privind securitatea naional. Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal de ctre statele membre atunci cnd acestea desfoar activiti legate de politica extern i de securitatea comun a Uniunii. (17)Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului (2) se aplic prelucrrii de date cu caracter personal de ctre instituiile, organele, oficiile i ageniile Uniunii. Regulamentul (CE) nr. 45/2001 i alte acte juridice ale Uniunii aplicabile unei asemenea prelucrri a datelor cu caracter personal ar trebui adaptate la principiile i normele stabilite n prezentul regulament i aplicate n conformitate cu prezentul regulament. n vederea asigurrii unui cadru solid i coerent n materie de protecie a datelor n Uniune, ar trebui ca dup adoptarea prezentului regulament s se aduc Regulamentului (CE) nr. 45/2001 adaptrile necesare, astfel nct acestea s poat fi aplicate odat cu prezentul regulament. (2)Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie 2000 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a acestor date (JO L 8, 12.1.2001, p. 1). (18)Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal de ctre o persoan fizic n cadrul unei activiti exclusiv personale sau domestice i care, prin urmare, nu are legtur cu o activitate profesional sau comercial. Activitile personale sau domestice ar putea include corespondena i repertoriul de adrese sau activitile din cadrul reelelor sociale i activitile online desfurate

https://idrept.ro/12022558.htmhttps://idrept.ro/12022558.htmhttps://idrept.ro/12022558.htmhttps://idrept.ro/12022558.htm

5

n contextul respectivelor activiti. Cu toate acestea, prezentul regulament se aplic operatorilor sau persoanelor mputernicite de operatori care furnizeaz mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activiti personale sau domestice. (19)Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii pedepselor, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora, precum i libera circulaie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui s se aplice activitilor de prelucrare n aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de ctre autoritile publice n temeiul prezentului regulament, atunci cnd sunt utilizate n aceste scopuri, ar trebui s fie reglementate printr-un act juridic mai specific al Uniunii, i anume Directiva (UE) 2016/680 a Parlamentului European i a Consiliului (1). Statele membre pot ncredina autoritilor competente n sensul Directivei (UE) 2016/680 sarcini care nu sunt neaprat ndeplinite n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii pedepselor, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora, astfel nct prelucrarea datelor cu caracter personal pentru alte scopuri, n msura n care se ncadreaz n domeniul de aplicare al dreptului Uniunii, s intre n domeniul de aplicare al prezentului regulament. (1)Directiva (UE) 2016/680 a Parlamentului European i a Consiliului din 27 aprilie 2016 privind protecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, depistrii, investigrii sau urmririi penale a infraciunilor sau al executrii pedepselor i privind libera circulaie a acestor date i de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial). n ceea ce privete prelucrarea datelor cu caracter personal de ctre aceste autoriti competente n scopuri care intr n domeniul de aplicare al prezentului regulament, statele membre ar trebui s poat menine sau introduce dispoziii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziii pot stabili mai precis cerine specifice pentru prelucrarea datelor cu caracter personal de ctre respectivele autoriti competente n aceste alte scopuri, innd seama de structura constituional, organizatoric i administrativ a statului membru n cauz. Atunci cnd prelucrarea de date cu caracter personal de ctre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui s prevad posibilitatea ca statele membre, n anumite condiii, s impun prin lege restricii asupra anumitor obligaii i drepturi, n cazul n care asemenea restricii constituie o msur necesar i proporional ntr-o societate democratic n scopul garantrii unor interese specifice importante, printre care se numr sigurana public i prevenirea, investigarea, depistarea i urmrirea penal a infraciunilor sau executarea pedepselor, inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice i prevenirea acestora. Acest lucru este relevant, de exemplu, n cadrul combaterii splrii de bani sau al activitilor laboratoarelor criminalistice. (20)Dei prezentul regulament se aplic, inter alia, activitilor instanelor i ale altor autoriti judiciare, dreptul Uniunii sau al statelor membre ar putea s

https://idrept.ro/12045069.htmhttps://idrept.ro/12045069.htmhttps://idrept.ro/12045069.htmhttps://idrept.ro/12009495.htm

6

precizeze operaiunile i procedurile de prelucrare n ceea ce privete prelucrarea datelor cu caracter personal de ctre instane i alte autoriti judiciare. Prelucrarea datelor cu caracter personal nu ar trebui s fie de competena autoritilor de supraveghere n cazul n care instanele i exercit atribuiile judiciare, n scopul garantrii independenei sistemului judiciar n ndeplinirea sarcinilor sale judiciare, inclusiv n luarea deciziilor. Supravegherea unor astfel de operaiuni de prelucrare a datelor ar trebui s poat fi ncredinat unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui s asigure n special respectarea normelor prevzute de prezentul regulament, s sensibilizeze membrii sistemului judiciar cu privire la obligaiile care le revin n temeiul prezentului regulament i s trateze plngerile n legtur cu astfel de operaiuni de prelucrare a datelor. (21)Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE a Parlamentului European i a Consiliului (2), n special normelor privind rspunderea furnizorilor intermediari de servicii prevzute la articolele 12-15 din directiva menionat. Respectiva directiv i propune s contribuie la buna funcionare a pieei interne, prin asigurarea liberei circulaii a serviciilor societii informaionale ntre statele membre. (2)Directiva 2000/31/CE a Parlamentului European i a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic, pe piaa intern (directiva privind comerul electronic) (JO L 178, 17.7.2000, p. 1). (22)Orice prelucrare a datelor cu caracter personal n cadrul activitilor unui sediu al unui operator sau al unei persoane mputernicite de operator din Uniune ar trebui efectuat n conformitate cu prezentul regulament, indiferent dac procesul de prelucrare n sine are loc sau nu n cadrul Uniunii. Sediul implic exercitarea efectiv i real a unei activiti n cadrul unor nelegeri stabile. Forma juridic a unor astfel de nelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridic, nu este factorul determinant n aceast privin. (23)Pentru a se asigura c persoanele fizice nu sunt lipsite de protecia la care au dreptul n temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de ctre un operator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui s fac obiectul prezentului regulament n cazul n care activitile de prelucrare au legtur cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dac acestea sunt sau nu legate de o plat. Pentru a determina dac un astfel de operator sau o astfel de persoan mputernicit de operator ofer bunuri sau servicii unor persoane vizate care se afl pe teritoriul Uniunii, ar trebui s se stabileasc dac reiese c operatorul sau persoana mputernicit de operator intenioneaz s furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. ntruct simplul fapt c exist acces la un site al operatorului, al persoanei mputernicite de operator sau al unui intermediar n Uniune, c este disponibil o adres de e-mail i alte date de contact sau c este utilizat o limb folosit n general n ara ter n care operatorul i are sediul este insuficient pentru a confirma o astfel de intenie, factori precum utilizarea unei limbi sau a unei monede utilizate n general n unul sau mai multe state membre cu posibilitatea de a comanda bunuri i servicii n respectiva limb sau menionarea unor clieni sau

https://idrept.ro/12022424.htmhttps://idrept.ro/12022424.htm

7

utilizatori care se afl pe teritoriul Uniunii pot conduce la concluzia c operatorul intenioneaz s ofere bunuri sau servicii unor persoane vizate n Uniune. (24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de ctre un operator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui, de asemenea, s fac obiectul prezentului regulament n cazul n care este legat de monitorizarea comportamentului unor astfel de persoane vizate, n msura n care acest comportament se manifest pe teritoriul Uniunii. Pentru a se determina dac o activitate de prelucrare poate fi considerat ca "monitorizare a comportamentului" persoanelor vizate, ar trebui s se stabileasc dac persoanele fizice sunt urmrite pe internet, inclusiv posibila utilizare ulterioar a unor tehnici de prelucrare a datelor cu caracter personal care constau n crearea unui profil al unei persoane fizice, n special n scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinele personale, comportamentele i atitudinile acesteia. (25)n cazul n care dreptul unui stat membru se aplic n temeiul dreptului internaional public, prezentul regulament ar trebui s se aplice, de asemenea, unui operator care nu este stabilit n Uniune, ci, de exemplu, ntr-o misiune diplomatic sau ntr-un oficiu consular al unui stat membru. (26)Principiile proteciei datelor ar trebui s se aplice oricrei informaii referitoare la o persoan fizic identificat sau identificabil. Datele cu caracter personal care au fost supuse pseudonimizrii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaii suplimentare, ar trebui considerate informaii referitoare la o persoan fizic identificabil. Pentru a se determina dac o persoan fizic este identificabil, ar trebui s se ia n considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, n mod rezonabil, s le utilizeze fie operatorul, fie o alt persoan, n scopul identificrii, n mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dac este probabil, n mod rezonabil, s fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luai n considerare toi factorii obiectivi, precum costurile i intervalul de timp necesare pentru identificare, inndu-se seama att de tehnologia disponibil la momentul prelucrrii, ct i de dezvoltarea tehnologic. Principiile proteciei datelor ar trebui, prin urmare, s nu se aplice informaiilor anonime, adic informaiilor care nu sunt legate de o persoan fizic identificat sau identificabil sau datelor cu caracter personal care sunt anonimizate astfel nct persoana vizat nu este sau nu mai este identificabil. Prin urmare, prezentul regulament nu se aplic prelucrrii unor astfel de informaii anonime, inclusiv n cazul n care acestea sunt utilizate n scopuri statistice sau de cercetare. (27)Prezentul regulament nu se aplic datelor cu caracter personal referitoare la persoane decedate. Statele membre pot s prevad norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate. (28)Aplicarea pseudonimizrii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate i poate ajuta operatorii i persoanele mputernicite de acetia s i ndeplineasc obligaiile de protecie a datelor. Introducerea explicit a conceptului de "pseudonimizare" n prezentul regulament nu este destinat s mpiedice alte eventuale msuri de protecie a datelor. (29)Pentru a crea stimulente pentru aplicarea pseudonimizrii atunci cnd sunt prelucrate date cu caracter personal, ar trebui s fie posibile msuri de pseudonimizare, permind n acelai timp analiza general, n cadrul aceluiai

8

operator atunci cnd operatorul a luat msurile tehnice i organizatorice necesare pentru a se asigura c prezentul regulament este pus n aplicare n ceea ce privete respectiva prelucrare a datelor i c informaiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pstrate separat. Operatorul care prelucreaz datele cu caracter personal ar trebui s indice persoanele autorizate din cadrul aceluiai operator. (30)Persoanele fizice pot fi asociate cu identificatorii online furnizai de dispozitivele, aplicaiile, instrumentele i protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau ali identificatori precum etichetele de identificare prin frecvene radio. Acetia pot lsa urme care, n special atunci cnd sunt combinate cu identificatori unici i alte informaii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice i pentru identificarea lor. (31)Autoritile publice crora le sunt divulgate date cu caracter personal n conformitate cu o obligaie legal n vederea exercitrii funciei lor oficiale, cum ar fi autoritile fiscale i vamale, unitile de investigare financiar, autoritile administrative independente sau autoritile pieelor financiare responsabile de reglementarea i supravegherea pieelor titlurilor de valoare, nu ar trebui s fie considerate destinatari n cazul n care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, n conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritile publice ar trebui s fie ntotdeauna prezentate n scris, motivate i ocazionale i nu ar trebui s se refere la un sistem de eviden n totalitate sau s conduc la interconectarea sistemelor de eviden. Prelucrarea datelor cu caracter personal de ctre autoritile publice respective ar trebui s respecte normele aplicabile n materie de protecie a datelor n conformitate cu scopurile prelucrrii. (32)Consimmntul ar trebui acordat printr-o aciune neechivoc care s constituie o manifestare liber exprimat, specific, n cunotin de cauz i clar a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraie fcut n scris, inclusiv n format electronic, sau verbal. Acesta ar putea include bifarea unei csue atunci cnd persoana viziteaz un site, alegerea parametrilor tehnici pentru serviciile societii informaionale sau orice alt declaraie sau aciune care indic n mod clar n acest context acceptarea de ctre persoana vizat a prelucrrii propuse a datelor sale cu caracter personal. Prin urmare, absena unui rspuns, csuele bifate n prealabil sau absena unei aciuni nu ar trebui s constituie un consimmnt. Consimmntul ar trebui s vizeze toate activitile de prelucrare efectuate n acelai scop sau n aceleai scopuri. Dac prelucrarea datelor se face n mai multe scopuri, consimmntul ar trebui dat pentru toate scopurile prelucrrii. n cazul n care consimmntul persoanei vizate trebuie acordat n urma unei cereri transmise pe cale electronic, cererea respectiv trebuie s fie clar i concis i s nu perturbe n mod inutil utilizarea serviciului pentru care se acord consimmntul. (33)Adesea nu este posibil, n momentul colectrii datelor cu caracter personal, s se identifice pe deplin scopul prelucrrii datelor n scopuri de cercetare tiinific. Din acest motiv, persoanelor vizate ar trebui s li se permit s i exprime consimmntul pentru anumite domenii ale cercetrii tiinifice atunci cnd sunt respectate standardele etice recunoscute pentru cercetarea tiinific. Persoanele vizate ar trebui s aib posibilitatea de a-i exprima consimmntul doar pentru

9

anumite domenii de cercetare sau pri ale proiectelor de cercetare n msura permis de scopul preconizat. (34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice motenite sau dobndite ale unei persoane fizice, care rezult n urma unei analize a unei mostre de material biologic al persoanei fizice n cauz, n special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricrui alt element ce permite obinerea unor informaii echivalente. (35)Datele cu caracter personal privind sntatea ar trebui s includ toate datele avnd legtur cu starea de sntate a persoanei vizate care dezvluie informaii despre starea de sntate fizic sau mental trecut, prezent sau viitoare a persoanei vizate. Acestea includ informaii despre persoana fizic colectate n cadrul nscrierii acesteia la serviciile de asisten medical sau n cadrul acordrii serviciilor respective persoanei fizice n cauz, astfel cum sunt menionate n Directiva 2011/24/UE a Parlamentului European i a Consiliului (1); un numr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singular a acesteia n scopuri medicale; informaii rezultate din testarea sau examinarea unei pri a corpului sau a unei substane corporale, inclusiv din date genetice i eantioane de material biologic; precum i orice informaii privind, de exemplu, o boal, un handicap, un risc de mbolnvire, istoricul medical, tratamentul clinic sau starea fiziologic sau biomedical a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. (1)Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienilor n cadrul asistenei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45). (36)Sediul principal al unui operator n Uniune ar trebui s fie locul n care se afl administraia central a acestuia n Uniune, cu excepia cazului n care deciziile privind scopurile i mijloacele de prelucrare a datelor cu caracter personal se iau ntr-un alt sediu al operatorului n Uniune. n acest caz, acesta din urm ar trebui considerat drept sediul principal. Sediul principal al unui operator n Uniune ar trebui s fie determinat conform unor criterii obiective i ar trebui s implice exercitarea efectiv i real a unor activiti de gestionare care s determine principalele decizii cu privire la scopurile i mijloacele de prelucrare n cadrul unor nelegeri stabile. Acest criteriu nu ar trebui s depind de realizarea prelucrrii datelor cu caracter personal n locul respectiv. Prezena i utilizarea mijloacelor tehnice i a tehnologiilor de prelucrare a datelor cu caracter personal sau activitile de prelucrare nu constituie un sediu principal i, prin urmare, nu sunt criteriul determinant n acest sens. Sediul principal al persoanei mputernicite de operator ar trebui s fie locul n care se afl administraia central a acestuia n Uniune sau, n cazul n care nu are o administraie central n Uniune, locul n care se desfoar principalele activiti de prelucrare n Uniune. n cazurile care implic att operatorul, ct i persoana mputernicit de operator, autoritatea de supraveghere principal competent ar trebui s rmn autoritatea de supraveghere a statului membru n care operatorul i are sediul principal, dar autoritatea de supraveghere a persoanei mputernicite de operator ar trebui considerat ca fiind o autoritate de supraveghere vizat i acea autoritate de supraveghere ar trebui s participe la procedura de cooperare prevzut de prezentul regulament. n orice caz,

https://idrept.ro/12023596.htmhttps://idrept.ro/12023596.htm

10

autoritile de supraveghere ale statului membru sau ale statelor membre n care persoana mputernicit de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoriti de supraveghere vizate n cazul n care proiectul de decizie nu se refer dect la operator. n cazul n care prelucrarea este efectuat de un grup de ntreprinderi, sediul principal al ntreprinderii care exercit controlul ar trebui considerat drept sediul principal al grupului de ntreprinderi, cu excepia cazului n care scopurile i mijloacele aferente prelucrrii sunt stabilite de o alt ntreprindere. (37)Un grup de ntreprinderi ar trebui s cuprind o ntreprindere care exercit controlul i ntreprinderile controlate de aceasta, n cadrul cruia ntreprinderea care exercit controlul ar trebui s fie ntreprinderea care poate exercita o influen dominant asupra celorlalte ntreprinderi, de exemplu n temeiul proprietii, al participrii financiare sau al regulilor care o reglementeaz sau al competenei de a pune n aplicare norme n materie de protecie a datelor cu caracter personal. O ntreprindere care controleaz prelucrarea datelor cu caracter personal n ntreprinderile sale afiliate ar trebui considerat, mpreun cu acestea din urm, drept "grup de ntreprinderi". (38)Copiii au nevoie de o protecie specific a datelor lor cu caracter personal, ntruct pot fi mai puin contieni de riscurile, consecinele, garaniile n cauz i drepturile lor n ceea ce privete prelucrarea datelor cu caracter personal. Aceast protecie specific ar trebui s se aplice n special utilizrii datelor cu caracter personal ale copiilor n scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator i la colectarea datelor cu caracter personal privind copiii n momentul utilizrii serviciilor oferite direct copiilor. Consimmntul titularului rspunderii printeti nu ar trebui s fie necesar n contextul serviciilor de prevenire sau consiliere oferite direct copiilor. (39)Orice prelucrare de date cu caracter personal ar trebui s fie legal i echitabil. Ar trebui s fie transparent pentru persoanele fizice c sunt colectate, utilizate, consultate sau prelucrate n alt mod datele cu caracter personal care le privesc i n ce msur datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenei prevede c orice informaii i comunicri referitoare la prelucrarea respectivelor date cu caracter personal sunt uor accesibile i uor de neles i c se utilizeaz un limbaj simplu i clar. Acest principiu se refer n special la informarea persoanelor vizate privind identitatea operatorului i scopurile prelucrrii, precum i la oferirea de informaii suplimentare, pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoanele fizice vizate i dreptul acestora de a li se confirma i comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garaniile i drepturile n materie de prelucrare a datelor cu caracter personal i cu privire la modul n care s i exercite drepturile n legtur cu prelucrarea. n special, scopurile specifice n care datele cu caracter personal sunt prelucrate ar trebui s fie explicite i legitime i s fie determinate la momentul colectrii datelor respective. Datele cu caracter personal ar trebui s fie adecvate, relevante i limitate la ceea ce este necesar pentru scopurile n care sunt prelucrate. Aceasta necesit, n special, asigurarea faptului c perioada pentru care datele cu caracter personal sunt stocate este limitat strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dac scopul prelucrrii nu poate fi ndeplinit n mod rezonabil prin alte mijloace. n vederea asigurrii faptului c

11

datele cu caracter personal nu sunt pstrate mai mult timp dect este necesar, ar trebui s se stabileasc de ctre operator termene pentru tergere sau revizuirea periodic. Ar trebui s fie luate toate msurile rezonabile pentru a se asigura c datele cu caracter personal care sunt inexacte sunt rectificate sau terse. Datele cu caracter personal ar trebui prelucrate ntr-un mod care s asigure n mod adecvat securitatea i confidenialitatea acestora, inclusiv n scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizat a datelor cu caracter personal i a echipamentului utilizat pentru prelucrare. (40)Pentru ca prelucrarea datelor cu caracter personal s fie legal, aceasta ar trebui efectuat pe baza consimmntului persoanei vizate sau n temeiul unui alt motiv legitim, prevzut de lege, fie n prezentul regulament, fie n alt act din dreptul Uniunii sau din dreptul intern, dup cum se prevede n prezentul regulament, inclusiv necesitatea respectrii obligaiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizat este parte sau pentru a parcurge etapele premergtoare ncheierii unui contract, la solicitarea persoanei vizate. (41)Ori de cte ori prezentul regulament face trimitere la un temei juridic sau la o msur legislativ, aceasta nu necesit neaprat un act legislativ adoptat de ctre un parlament, fr a aduce atingere cerinelor care decurg din ordinea constituional a statului membru n cauz. Cu toate acestea, un astfel de temei juridic sau o astfel de msur legislativ ar trebui s fie clar i precis, iar aplicarea acesteia ar trebui s fie previzibil pentru persoanele vizate de aceasta, n conformitate cu jurisprudena Curii de Justiie a Uniunii Europene ("Curtea de Justiie") i a Curii Europene a Drepturilor Omului. (42)n cazul n care prelucrarea se bazeaz pe consimmntul persoanei vizate, operatorul ar trebui s fie n msur s demonstreze faptul c persoana vizat i-a dat consimmntul pentru operaiunea de prelucrare. n special, n contextul unei declaraii scrise cu privire la un alt aspect, garaniile ar trebui s asigure c persoana vizat este contient de faptul c i-a dat consimmntul i n ce msur a fcut acest lucru. n conformitate cu Directiva 93/13/CEE a Consiliului (1), ar trebui furnizat o declaraie de consimmnt formulat n prealabil de ctre operator, ntr-o form inteligibil i uor accesibil, utiliznd un limbaj clar i simplu, iar aceast declaraie nu ar trebui s conin clauze abuzive. Pentru ca acordarea consimmntului s fie n cunotin de cauz, persoana vizat ar trebui s fie la curent cel puin cu identitatea operatorului i cu scopurile prelucrrii pentru care sunt destinate datele cu caracter personal. Consimmntul nu ar trebui considerat ca fiind acordat n mod liber dac persoana vizat nu dispune cu adevrat de libertatea de alegere sau nu este n msur s refuze sau s i retrag consimmntul fr a fi prejudiciat. (1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive n contractele ncheiate cu consumatorii (JO L 95, 21.4.1993, p. 29). (43)Pentru a garanta faptul c a fost acordat n mod liber, consimmntul nu ar trebui s constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal n cazul particular n care exist un dezechilibru evident ntre persoana vizat i operator, n special n cazul n care operatorul este o autoritate public, iar acest lucru face improbabil acordarea consimmntului n mod liber n toate circumstanele aferente respectivei situaii particulare. Consimmntul este considerat a nu fi acordat n mod liber n cazul n care aceasta nu permite s se

https://idrept.ro/12014881.htmhttps://idrept.ro/12014881.htm

12

acorde consimmntul separat pentru diferitele operaiuni de prelucrare a datelor cu caracter personal, dei acest lucru este adecvat n cazul particular, sau dac executarea unui contract, inclusiv furnizarea unui serviciu, este condiionat de consimmnt, n ciuda faptului c consimmntul n cauz nu este necesar pentru executarea contractului. (44)Prelucrarea ar trebui s fie considerat legal n cazul n care este necesar n cadrul unui contract sau n vederea ncheierii unui contract. (45)n cazul n care prelucrarea este efectuat n conformitate cu o obligaie legal a operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care face parte din exercitarea autoritii publice, prelucrarea ar trebui s aib un temei n dreptul Uniunii sau n dreptul intern. Prezentul regulament nu impune existena unei legi specifice pentru fiecare prelucrare n parte. Poate fi suficient o singur lege drept temei pentru mai multe operaiuni de prelucrare efectuate n conformitate cu o obligaie legal a operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care face parte din exercitarea autoritii publice. De asemenea, ar trebui ca scopul prelucrrii s fie stabilit n dreptul Uniunii sau n dreptul intern. Mai mult dect att, dreptul respectiv ar putea s specifice condiiile generale ale prezentului regulament care reglementeaz legalitatea prelucrrii datelor cu caracter personal, s determine specificaiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrrii, a persoanelor vizate, a entitilor crora le pot fi divulgate datele cu caracter personal, a limitrilor n funcie de scop, a perioadei de stocare i a altor msuri pentru a garanta o prelucrare legal i echitabil. De asemenea, ar trebui s se stabileasc n dreptul Uniunii sau n dreptul intern dac operatorul care ndeplinete o sarcin care servete unui interes public sau care face parte din exercitarea autoritii publice ar trebui s fie o autoritate public sau o alt persoan fizic sau juridic guvernat de dreptul public sau, atunci cnd motive de interes public justific acest lucru, inclusiv n scopuri medicale, precum sntatea public i protecia social, precum i gestionarea serviciilor de asisten medical, de dreptul privat, cum ar fi o asociaie profesional. (46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s fie considerat legal n cazul n care este necesar n scopul asigurrii proteciei unui interes care este esenial pentru viaa persoanei vizate sau pentru viaa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuat numai n cazul n care prelucrarea nu se poate baza n mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi att unor motive importante de interes public, ct i intereselor vitale ale persoanei vizate, de exemplu n cazul n care prelucrarea este necesar n scopuri umanitare, inclusiv n vederea monitorizrii unei epidemii i a rspndirii acesteia sau n situaii de urgene umanitare, n special n situaii de dezastre naturale sau provocate de om. (47)Interesele legitime ale unui operator, inclusiv cele ale unui operator cruia i pot fi divulgate datele cu caracter personal sau ale unei tere pri, pot constitui un temei juridic pentru prelucrare, cu condiia s nu prevaleze interesele sau drepturile i libertile fundamentale ale persoanei vizate, lund n considerare ateptrile rezonabile ale persoanelor vizate bazate pe relaia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci cnd exist o relaie relevant i

13

adecvat ntre persoana vizat i operator, cum ar fi cazul n care persoana vizat este un client al operatorului sau se afl n serviciul acestuia. n orice caz, existena unui interes legitim ar necesita o evaluare atent, care s stabileasc inclusiv dac o persoan vizat poate preconiza n mod rezonabil, n momentul i n contextul colectrii datelor cu caracter personal, posibilitatea prelucrrii n acest scop. Interesele i drepturile fundamentale ale persoanei vizate ar putea prevala n special n raport cu interesul operatorului de date atunci cnd datele cu caracter personal sunt prelucrate n circumstane n care persoanele vizate nu preconizeaz n mod rezonabil o prelucrare ulterioar. ntruct legiuitorul trebuie s furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de ctre autoritile publice, temeiul juridic respectiv nu ar trebui s se aplice prelucrrii de ctre autoritile publice n ndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesar n scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date n cauz. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerat ca fiind desfurat pentru un interes legitim. (48)Operatorii care fac parte dintr-un grup de ntreprinderi sau instituii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal n cadrul grupului de ntreprinderi n scopuri administrative interne, inclusiv n scopul prelucrrii datelor cu caracter personal ale clienilor sau angajailor. Principiile generale ale transferului de date cu caracter personal, n cadrul unui grup de ntreprinderi, ctre o ntreprindere situat ntr-o ar ter rmn neschimbate. (49)Prelucrarea datelor cu caracter personal n msura strict necesar i proporional n scopul asigurrii securitii reelelor i a informaiilor, i anume capacitatea unei reele sau a unui sistem de informaii de a face fa, la un anumit nivel de ncredere, evenimentelor accidentale sau aciunilor ilegale sau ru intenionate care compromit disponibilitatea, autenticitatea, integritatea i confidenialitatea datelor cu caracter personal stocate sau transmise, precum i securitatea serviciilor conexe oferite de aceste reele i sisteme, sau accesibile prin intermediul acestora, de ctre autoritile publice, echipele de intervenie n caz de urgen informatic, echipele de intervenie n cazul producerii unor incidente care afecteaz securitatea informatic, furnizorii de reele i servicii de comunicaii electronice, precum i de ctre furnizorii de servicii i tehnologii de securitate, constituie un interes legitim al operatorului de date n cauz. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la reelele de comunicaii electronice i a difuzrii de coduri duntoare i oprirea atacurilor de "blocare a serviciului", precum i prevenirea daunelor aduse calculatoarelor i sistemelor de comunicaii electronice. (50)Prelucrarea datelor cu caracter personal n alte scopuri dect scopurile pentru care datele cu caracter personal au fost iniial colectate ar trebui s fie permis doar atunci cnd prelucrarea este compatibil cu scopurile respective pentru care datele cu caracter personal au fost iniial colectate. n acest caz nu este necesar un temei juridic separat de cel pe baza cruia a fost permis colectarea datelor cu caracter personal. n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, dreptul Uniunii sau dreptul intern poate stabili i specifica sarcinile i scopurile pentru care prelucrarea ulterioar ar

14

trebui considerat a fi compatibil i legal. Prelucrarea ulterioar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice ar trebui considerat ca reprezentnd operaiuni de prelucrare legale compatibile. Temeiul juridic prevzut n dreptul Uniunii sau n dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioar. Pentru a stabili dac scopul prelucrrii ulterioare este compatibil cu scopul pentru care au fost colectate iniial datele cu caracter personal, operatorul, dup ce a ndeplinit toate cerinele privind legalitatea prelucrrii iniiale, ar trebui s in seama, printre altele, de orice legtur ntre respectivele scopuri i scopurile prelucrrii ulterioare preconizate, de contextul n care au fost colectate datele cu caracter personal, n special de ateptrile rezonabile ale persoanelor vizate, bazate pe relaia lor cu operatorul, n ceea ce privete utilizarea ulterioar a datelor, de natura datelor cu caracter personal, de consecinele prelucrrii ulterioare preconizate asupra persoanelor vizate, precum i de existena garaniilor corespunztoare att n cadrul operaiunilor de prelucrare iniiale, ct i n cadrul operaiunilor de prelucrare ulterioare preconizate. n cazul n care persoana vizat i-a dat consimmntul sau prelucrarea se bazeaz pe dreptul Uniunii sau pe dreptul intern, care constituie o msur necesar i proporional ntr-o societate democratic pentru a proteja, n special, obiective importante de interes public general, operatorul ar trebui s aib posibilitatea de a prelucra n continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. n orice caz, aplicarea principiilor stabilite de prezentul regulament i, n special, informarea persoanei vizate cu privire la aceste alte scopuri i la drepturile sale, inclusiv dreptul la opoziie, ar trebui s fie garantate. Indicarea unor posibile infraciuni sau ameninri la adresa siguranei publice de ctre operator i transmiterea ctre o autoritate competent a datelor cu caracter personal relevante n cazuri individuale sau n mai multe cazuri legate de aceeai infraciune sau de aceleai ameninri la adresa siguranei publice ar trebui considerat ca fiind n interesul legitim urmrit de operator. Cu toate acestea, o astfel de transmitere n interesul legitim al operatorului sau prelucrarea ulterioar a datelor cu caracter personal ar trebui interzis n cazul n care prelucrarea nu este compatibil cu o obligaie legal, profesional sau cu o alt obligaie de pstrare a confidenialitii. (51)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile n ceea ce privete drepturile i libertile fundamentale necesit o protecie specific, deoarece contextul prelucrrii acestora ar putea genera riscuri considerabile la adresa drepturilor i libertilor fundamentale. Aceste date cu caracter personal ar trebui s includ datele cu caracter personal care dezvluie originea rasial sau etnic, utilizarea termenului "origine rasial" n prezentul regulament neimplicnd o acceptare de ctre Uniune a teoriilor care urmresc s stabileasc existena unor rase umane separate. Prelucrarea fotografiilor nu ar trebui s fie considerat n mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, ntruct fotografiile intr sub incidena definiiei datelor biometrice doar n cazurile n care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unic sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu excepia cazului n care prelucrarea este permis n cazuri specifice prevzute de prezentul regulament, innd seama de faptul c dreptul statelor membre poate prevedea dispoziii specifice cu privire la protecia datelor n scopul adaptrii aplicrii normelor din prezentul regulament n vederea respectrii

15

unei obligaii legale sau a ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul. Pe lng cerinele specifice pentru o astfel de prelucrare, ar trebui s se aplice principiile generale i alte norme prevzute de prezentul regulament, n special n ceea ce privete condiiile pentru prelucrarea legal. Ar trebui prevzute n mod explicit derogri de la interdicia general de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci cnd persoana vizat i d consimmntul explicit sau n ceea ce privete nevoile specifice n special atunci cnd prelucrarea este efectuat n cadrul unor activiti legitime de ctre anumite asociaii sau fundaii al cror scop este de a permite exercitarea libertilor fundamentale. (52)Derogarea de la interdicia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui s fie permis, de asemenea, n cazul n care dreptul Uniunii sau dreptul intern prevede acest lucru i ar trebui s fac obiectul unor garanii adecvate, astfel nct s fie protejate datele cu caracter personal i alte drepturi fundamentale, atunci cnd acest lucru se justific din motive de interes public, n special n cazul prelucrrii datelor cu caracter personal n domeniul legislaiei privind ocuparea forei de munc, protecia social, inclusiv pensiile, precum i n scopuri de securitate, supraveghere i alert n materie de sntate, pentru prevenirea sau controlul bolilor transmisibile i a altor ameninri grave la adresa sntii. Aceast derogare poate fi acordat n scopuri medicale, inclusiv sntatea public i gestionarea serviciilor de asisten medical, n special n vederea asigurrii calitii i eficienei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluionarea cererilor de prestaii i servicii n cadrul sistemului de asigurri de sntate, sau n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permis, printr-o derogare, atunci cnd este necesar pentru constatarea, exercitarea sau aprarea unui drept n justiie, indiferent dac are loc n cadrul unei proceduri n faa unei instane sau n cadrul unei proceduri administrative sau a unei proceduri extrajudiciare. (53)Categoriile speciale de date cu caracter personal care necesit un nivel mai ridicat de protecie ar trebui prelucrate doar n scopuri legate de sntate atunci cnd este necesar pentru realizarea acestor scopuri n beneficiul persoanelor fizice i al societii n general, n special n contextul gestionrii serviciilor i sistemelor de sntate sau de asisten social, inclusiv prelucrarea acestor date de ctre autoritile de management i de ctre autoritile centrale naionale din domeniul sntii n scopul controlului calitii, furnizrii de informaii de gestiune i al supravegherii generale a sistemului de sntate sau de asisten social la nivel naional i local, precum i n contextul asigurrii continuitii asistenei medicale sau sociale i a asistenei medicale transfrontaliere ori n scopuri de securitate, supraveghere i alert n materie de sntate ori n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice n temeiul dreptului Uniunii sau al dreptului intern, care trebuie s urmreasc un obiectiv de interes public, precum i n cazul studiilor realizate n interes public n domeniul sntii publice. Prin urmare, prezentul regulament ar trebui s prevad condiii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sntatea, n ceea ce privete nevoile specifice, n special atunci

16

cnd prelucrarea acestor date este efectuat n anumite scopuri legate de sntate de ctre persoane care fac obiectul unei obligaii legale de a pstra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui s prevad msuri specifice i adecvate pentru a proteja drepturile fundamentale i datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui s aib posibilitatea de a menine sau de a introduce condiii suplimentare, inclusiv restricii, n ceea ce privete prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sntatea. Totui, acest lucru nu ar trebui s mpiedice libera circulaie a datelor cu caracter personal n cadrul Uniunii atunci cnd aceste condiii se aplic prelucrrii transfrontaliere a unor astfel de date. (54)Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesar din motive de interes public n domeniile sntii publice, fr consimmntul persoanei vizate. O astfel de prelucrare ar trebui condiionat de msuri adecvate i specifice destinate s protejeze drepturile i libertile persoanelor fizice. n acest context, conceptul de "sntate public" ar trebui interpretat astfel cum este definit n Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al Consiliului (1), i anume toate elementele referitoare la sntate i anume starea de sntate, inclusiv morbiditatea sau handicapul, factorii determinani care au efect asupra strii de sntate, necesitile n domeniul asistenei medicale, resursele alocate asistenei medicale, furnizarea asistenei medicale i asigurarea accesului universal la aceasta, precum i cheltuielile i sursele de finanare n domeniul sntii i cauzele mortalitii. Aceast prelucrare a datelor privind sntatea din motive de interes public nu ar trebui s duc la prelucrarea acestor date n alte scopuri de ctre pri tere, cum ar fi angajatorii sau societile de asigurri i bncile. (1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sntatea public, precum i la sntatea i sigurana la locul de munc (JO L 354, 31.12.2008, p. 70). (55)n plus, prelucrarea datelor cu caracter personal de ctre autoritile publice n vederea realizrii obiectivelor prevzute de dreptul constituional sau de dreptul internaional public, ale asociaiilor religioase recunoscute oficial se efectueaz din motive de interes public. (56)n cazul n care, n cadrul activitilor electorale, funcionarea sistemului democratic necesit, ntr-un stat membru, ca partidele politice s colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permis din motive de interes public, cu condiia s se prevad garaniile corespunztoare. (57)Dac datele cu caracter personal prelucrate de un operator nu i permit acestuia s identifice o persoan fizic, operatorul de date nu ar trebui s aib obligaia de a obine informaii suplimentare n vederea identificrii persoanei vizate, cu unicul scop de a respecta oricare dintre dispoziiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui s refuze s preia informaiile suplimentare furnizate de persoana vizat cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui s includ identificarea digital a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleai acreditri utilizate de ctre persoana vizat pentru a accesa serviciile online oferite de operatorul de date.

https://idrept.ro/12009325.htmhttps://idrept.ro/12009325.htm

17

(58)Principiul transparenei prevede c orice informaii care se adreseaz publicului sau persoanei vizate s fie concise, uor accesibile i uor de neles i s se utilizeze un limbaj simplu i clar, precum i vizualizare acolo unde este cazul. Aceste informaii ar putea fi furnizate n format electronic, de exemplu atunci cnd sunt adresate publicului, prin intermediul unui site. Acest lucru este important n special n situaii n care datorit multitudinii actorilor i a complexitii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizat s tie i s neleag dac datele cu caracter personal care o privesc sunt colectate, de ctre cine i n ce scop, cum este cazul publicitii online. ntruct copii necesit o protecie specific, orice informaii i orice comunicare, n cazul n care prelucrarea vizeaz un copil, ar trebui s fie exprimate ntr-un limbaj simplu i clar, astfel nct copilul s l poat nelege cu uurin. (59)Ar trebui s fie prevzute modaliti de facilitare a exercitrii de ctre persoana vizat a drepturilor care i sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita i, dac este cazul, obine, n mod gratuit, n special, acces la datele cu caracter personal, precum i rectificarea sau tergerea acestora, i exercitarea dreptului la opoziie. Operatorul ar trebui s ofere, de asemenea, modaliti de introducere a cererilor pe cale electronic, mai ales n cazul n care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui s aib obligaia de a rspunde cererilor persoanelor vizate fr ntrzieri nejustificate i cel trziu n termen de o lun i, n cazul n care nu intenioneaz s se conformeze respectivele cereri, s motiveze acest refuz. (60)Conform principiilor prelucrrii echitabile i transparente, persoana vizat este informat cu privire la existena unei operaiuni de prelucrare i la scopurile acesteia. Operatorul ar trebui s furnizeze persoanei vizate orice informaii suplimentare necesare pentru a asigura o prelucrare echitabil i transparent, innd seama de circumstanele specifice i de contextul n care sunt prelucrate datele cu caracter personal. n plus, persoana vizat ar trebui informat cu privire la crearea de profiluri, precum i la consecinele acesteia. Atunci cnd datele cu caracter personal sunt colectate de la persoana vizat, aceasta ar trebui informat, de asemenea, dac are obligaia de a furniza datele cu caracter personal i care sunt consecinele n cazul unui refuz. Aceste informaii pot fi furnizate n combinaie cu pictograme standardizate pentru a oferi ntr-un mod uor vizibil, inteligibil i clar lizibil o imagine de ansamblu semnificativ asupra prelucrrii avute n vedere. n cazul n care pictogramele sunt prezentate n format electronic, acestea ar trebui s poat fi citite automat. (61)Informaiile n legtur cu prelucrarea datelor cu caracter personal referitoare la persoana vizat ar trebui furnizate acesteia la momentul colectrii de la persoana vizat sau, n cazul n care datele cu caracter personal sunt obinute din alt surs, ntr-o perioad rezonabil, n funcie de circumstanele cazului. n cazul n care datele cu caracter personal pot fi divulgate n mod legitim unui alt destinatar, persoana vizat ar trebui informat atunci cnd datele cu caracter personal sunt divulgate pentru prima dat destinatarului. n cazul n care operatorul intenioneaz s prelucreze datele cu caracter personal ntr-un alt scop dect cel pentru care acestea au fost colectate, operatorul ar trebui s furnizeze persoanei vizate, nainte de aceast prelucrare ulterioar, informaii privind scopul secundar respectiv i alte informaii necesare. n cazul n care originea datelor cu caracter personal nu a putut

18

fi comunicat persoanei vizate din cauz c au fost utilizate surse diverse, informaiile generale ar trebui furnizate. (62)Cu toate acestea, nu este necesar impunerea obligaiei de a furniza informaii n cazul n care persoana vizat deine deja informaiile, n cazul n care nregistrarea sau divulgarea datelor cu caracter personal este prevzut n mod expres de lege sau n cazul n care informarea persoanei vizate se dovedete imposibil sau ar implica eforturi disproporionate. Acesta din urm ar putea fi cazul n special atunci cnd prelucrarea se efectueaz n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. n aceast privin, ar trebui luate n considerare numrul persoanelor vizate, vechimea datelor i orice garanii adecvate adoptate. (63)O persoan vizat ar trebui s aib drept de acces la datele cu caracter personal colectate care o privesc i ar trebui s i exercite acest drept cu uurin i la intervale de timp rezonabile, pentru a fi informat cu privire la prelucrare i pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sntatea, de exemplu datele din registrele lor medicale coninnd informaii precum diagnostice, rezultate ale examinrilor, evaluri ale medicilor curani i orice tratament sau intervenie efectuat. Orice persoan vizat ar trebui, prin urmare, s aib dreptul de a cunoate i de a i se comunica n special scopurile n care sunt prelucrate datele, dac este posibil perioada pentru care se prelucreaz datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automat a datelor cu caracter personal i, cel puin n cazul n care se bazeaz pe crearea de profiluri, consecinele unei astfel de prelucrri. Dac acest lucru este posibil, operatorul de date ar trebui s poat furniza acces de la distan la un sistem sigur, care s ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui s aduc atingere drepturilor sau libertilor altora, inclusiv secretului comercial sau proprietii intelectuale i, n special, drepturilor de autor care asigur protecia programelor software. Cu toate acestea, consideraiile de mai sus nu ar trebui s aib drept rezultat refuzul de a furniza toate informaiile persoanei vizate. Atunci cnd operatorul prelucreaz un volum mare de informaii privind persoana vizat, operatorul ar trebui s poat solicita ca, nainte de a i fi furnizate informaiile, persoana vizat s precizeze informaiile sau activitile de prelucrare la care se refer cererea sa. (64)Operatorul ar trebui s ia toate msurile rezonabile pentru a verifica identitatea unei persoane vizate care solicit acces la date, n special n contextul serviciilor online i al identificatorilor online. Un operator nu ar trebui s rein datele cu caracter personal n scopul exclusiv de a fi n msur s reacioneze la cereri poteniale. (65)O persoan vizat ar trebui s aib dreptul la rectificarea datelor cu caracter personal care o privesc i "dreptul de a fi uitat", n cazul n care pstrarea acestor date ncalc prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidena cruia intr operatorul. n special, persoanele vizate ar trebui s aib dreptul ca datele lor cu caracter personal s fie terse i s nu mai fie prelucrate, n cazul n care datele cu caracter personal nu mai sunt necesare pentru scopurile n care sunt colectate sau sunt prelucrate, n cazul n care persoanele vizate i-au retras consimmntul pentru prelucrare sau n cazul n care acestea se opun prelucrrii datelor cu caracter personal care le privesc sau n cazul n care

19

prelucrarea datelor cu caracter personal ale acestora nu este conform cu prezentul regulament. Acest drept este relevant n special n cazul n care persoana vizat i-a dat consimmntul cnd era copil i nu cunotea pe deplin riscurile pe care le implic prelucrarea, iar ulterior dorete s elimine astfel de date cu caracter personal, n special de pe internet. Persoana vizat ar trebui s aib posibilitatea de a-i exercita acest drept n pofida faptului c nu mai este copil. Cu toate acestea, pstrarea n continuare a datelor cu caracter personal ar trebui s fie legal n cazul n care este necesar pentru exercitarea dreptului la libertatea de exprimare i de informare, pentru respectarea unei obligaii legale, pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, din motive de interes public n domeniul sntii publice, n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice sau pentru constatarea, exercitarea sau aprarea unui drept n instan. (66)Pentru a se consolida "dreptul de a fi uitat" n mediul online, dreptul de tergere ar trebui s fie extins astfel nct un operator care a fcut publice date cu caracter personal ar trebui s aib obligaia de a informa operatorii care prelucreaz respectivele date cu caracter personal s tearg orice linkuri ctre datele respective sau copii sau reproduceri ale acestora. n acest scop, operatorul n cauz ar trebui s ia msuri rezonabile, innd seama de tehnologia disponibil i de mijloacele aflate la dispoziia lui, inclusiv msuri tehnice, pentru a informa operatorii care prelucreaz datele cu caracter personal n ceea ce privete cererea persoanei vizate. (67)Metodele de restricionare a prelucrrii de date cu caracter personal ar putea include, printre altele, mutarea temporar a datelor cu caracter personal selectate ntr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau nlturarea temporar a datelor publicate de pe un site. n ceea ce privete sistemele automatizate de eviden a datelor, restricionarea prelucrrii ar trebui, n principiu, asigurat prin mijloace tehnice n aa fel nct datele cu caracter personal s nu fac obiectul unor operaiuni de prelucrare ulterioar i s nu mai poat fi schimbate. Faptul c prelucrarea datelor cu caracter personal este restricionat ar trebui indicat n mod clar n sistem. (68)Pentru a spori suplimentar controlul asupra propriilor date, persoana vizat ar trebui, n cazul n care datele cu caracter personal sunt prelucrate prin mijloace automate, s poat primi datele cu caracter personal care o privesc i pe care le-a furnizat unui operator, ntr-un format structurat, utilizat n mod curent, prelucrabil automat i interoperabil i s le poat transmite unui alt operator. Operatorii de date ar trebui s fie ncurajai s dezvolte formate interoperabile care s permit portabilitatea datelor. Acest drept ar trebui s se aplice n cazul n care persoana vizat a furnizat datele cu caracter personal pe baza propriului consimmnt sau n cazul n care prelucrarea datelor este necesar pentru executarea unui contract. Acest drept nu ar trebui s se aplice n cazul n care prelucrarea se bazeaz pe un alt temei juridic dect consimmntul sau contractul. Prin nsi natura sa, acest drept nu ar trebui exercitat mpotriva operatorilor care prelucreaz date cu caracter personal n cadrul exercitrii funciilor lor publice. Acesta nu ar trebui s se aplice n special n cazul n care prelucrarea de date cu caracter personal este necesar n vederea respectrii unei obligaii legale creia i este supus operatorul sau n cazul ndeplinirii unei sarcini care servete unui interes public sau care rezult din

20

exercitarea unei autoriti publice cu care este nvestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui s creeze pentru operatori obligaia de a adopta sau de a menine sisteme de prelucrare care s fie compatibile din punct de vedere tehnic. n cazul n care, ntr-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui s aduc atingere drepturilor i libertilor altor persoane vizate, n conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui s aduc atingere dreptului persoanei vizate de a obine tergerea datelor cu caracter personal i limitrilor dreptului respectiv, astfel cum sunt prevzute n prezentul regulament, i nu ar trebui, n special, s implice tergerea acelor date cu caracter personal referitoare la persoana vizat care au fost furnizate de ctre aceasta n vederea executrii unui contract, n msura n care i att timp ct datele respective sunt necesare pentru executarea contractului. Persoana vizat ar trebui s aib dreptul ca datele cu caracter personal s fie transmise direct de la un operator la altul, dac acest lucru este fezabil din punct de vedere tehnic. (69)n cazurile n care datele cu caracter personal ar putea fi prelucrate n mod legal deoarece prelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei pri tere, o persoan vizat ar trebui s aib totui dreptul de a se opune prelucrrii oricror date cu caracter personal care se refer la situaia sa particular. Ar trebui s revin operatorului sarcina de a demonstra c interesele sale legitime i imperioase prevaleaz asupra intereselor sau a drepturilor i libertilor fundamentale ale persoanei vizate. (70)n cazul n care datele cu caracter personal sunt prelucrate n scopuri de marketing direct, persoana vizat ar trebui s aib dreptul de a se opune unei astfel de prelucrri, inclusiv crerii de profiluri n msura n care aceasta are legtur cu marketingul direct, indiferent dac prelucrarea n cauz este cea iniial sau una ulterioar, n orice moment i n mod gratuit. Acest drept ar trebui adus n mod explicit n atenia persoanei vizate i prezentat n mod clar i separat de orice alte informaii. (71)Persoana vizat ar trebui s aib dreptul de a nu face obiectul unei decizii, care poate include o msur, care evalueaz aspecte personale referitoare la persoana vizat, care se bazeaz exclusiv pe prelucrarea automat i care produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronic, fr intervenie uman. O astfel de prelucrare include "crearea de profiluri", care const n orice form de prelucrare automat a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoan fizic, n special n vederea analizrii sau preconizrii anumitor aspecte privind randamentul la locul de munc al persoanei vizate, situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau comportamentul, locaia sau deplasrile, atunci cnd aceasta produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrri, inclusiv crearea de profiluri, ar trebui permis n cazul n care este autorizat n mod expres n dreptul Uniunii sau n dreptul intern care se aplic

21

operatorului, inclusiv n scopul monitorizrii i prevenirii fraudei i a evaziunii fiscale, desfurate n conformitate cu reglementrile, standardele i recomandrile instituiilor Uniunii sau ale organismelor naionale de supraveghere, i n scopul asigurrii securitii i fiabilitii unui serviciu oferit de operator sau n cazul n care este necesar pentru ncheierea sau executarea unui contract ntre persoana vizat i un operator sau n cazul n care persoana vizat i-a dat n mod explicit consimmntul. n orice caz, o astfel de prelucrare ar trebui s fac obiectul unor garanii corespunztoare, care ar trebui s includ o informare specific a persoanei vizate i dreptul acesteia de a obine intervenie uman, de a-i exprima punctul de vedere, de a primi o explicaie privind decizia luat n urma unei astfel de evaluri, precum i dreptul de a contesta decizia. O astfel de msur nu ar trebui s se refere la un copil. Pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoana vizat, avnd n vedere circumstanele specifice i contextul n care sunt prelucrate datele cu caracter personal, operatorul ar trebui s utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, s implementeze msuri tehnice i organizatorice adecvate pentru a asigura n special faptul c factorii care duc la inexactiti ale datelor cu caracter personal sunt corectai i c riscul de erori este redus la minimum, precum i s securizeze datele cu caracter personal ntr-un mod care s in seama de pericolele poteniale la adresa intereselor i drepturilor persoanei vizate i care s previn, printre altele, efectele discriminatorii mpotriva persoanelor pe motiv de ras sau origine etnic, opinii politice, religie sau convingeri, apartenen sindical, caracteristici genetice, stare de sntate sau orientare sexual sau care s duc la msuri care s aib astfel de efecte. Procesul decizional automatizat i crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai n condiii specifice. (72)Crearea de profiluri este supus normelor prezentului regulament care reglementeaz prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrrii sau principiile de protecie a datelor. Comitetul european pentru protecia datelor instituit prin prezentul regulament ("comitetul") ar trebui s poat emite orientri n acest context. (73)Dreptul Uniunii sau dreptul intern poate impune restricii n privina unor principii specifice, n privina dreptului de informare, a dreptului de acces la datele cu caracter personal i de rectificare sau tergere a acestora, n privina dreptului la portabilitatea datelor, a dreptului la opoziie, a deciziilor bazate pe crearea de profiluri, precum i n privina comunicrii unei nclcri a securitii datelor cu caracter personal persoanei vizate i a anumitor obligaii conexe ale operatorilor, n msura n care acest lucru este necesar i proporional ntr-o societate democratic pentru a se garanta sigurana public, inclusiv protecia vieii oamenilor, n special ca rspuns la dezastre naturale sau provocate de om, prevenirea, investigarea i urmrirea penal a infraciunilor sau executarea pedepselor, inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice sau mpotriva nclcrii eticii n cazul profesiilor reglementate i prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, n special un interes economic sau financiar important al Uniunii sau al unui stat membru, meninerea de registre publice din motive de interes public general, prelucrarea ulterioar a datelor cu caracter personal arhivate pentru a transmite informaii specifice legate de comportamentul politic n perioada regimurilor fostelor state totalitare, protecia

22

persoanei vizate sau a drepturilor i libertilor unor teri, inclusiv protecia social, sntatea public i scopurile umanitare. Aceste restricii ar trebui s fie conforme cu cerinele prevzute de cart i de Convenia european pentru aprarea drepturilor omului i a libertilor fundamentale. (74)Ar trebui s se stabileasc responsabilitatea i rspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuat de ctre acesta sau n numele su. n special, operatorul ar trebui s fie obligat s implementeze msuri adecvate i eficace i s fie n msur s demonstreze conformitatea activitilor de prelucrare cu prezentul regulament, inclusiv eficacitatea msurilor. Aceste msuri ar trebui s in seama de natura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i de riscul pentru drepturile i libertile persoanelor fizice. (75)Riscul pentru drepturile i libertile persoanelor fizice, prezentnd grade diferite de probabilitate de materializare i de gravitate, poate fi rezultatul unei prelucrri a datelor cu caracter personal care ar putea genera prejudicii de natur fizic, material sau moral, n special n cazurile n care: prelucrarea poate conduce la discriminare, furt sau fraud a identitii, pierdere financiar, compromiterea reputaiei, pierderea confidenialitii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizat a pseudonimizrii sau la orice alt dezavantaj semnificativ de natur economic sau social; persoanele vizate ar putea fi private de drepturile i libertile lor sau mpiedicate s-i exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvluie originea rasial sau etnic, opiniile politice, religia sau convingerile filozofice, apartenena sindical; sunt prelucrate date genetice, date privind sntatea sau date privind viaa sexual sau privind condamnrile penale i infraciunile sau msurile de securitate conexe; sunt evaluate aspecte de natur personal, n special analizarea sau previzionarea unor aspecte privind randamentul la locul de munc, situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau comportamentul, locaia sau deplasrile, n scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, n special ale unor copii; sau prelucrarea implic un volum mare de date cu caracter personal i afecteaz un numr larg de persoane vizate. (76)Probabilitatea de a se materializa i gravitatea riscului pentru drepturile i libertile persoanei vizate ar trebui s fie determinate n funcie de natura, domeniul de aplicare, contextul i scopurile prelucrrii datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluri obiective prin care se stabilete dac operaiunile de prelucrare a datelor prezint un risc sau un risc ridicat. (77)Orientri pentru implementarea unor msuri adecvate i pentru demonstrarea conformitii de ctre operator sau persoana mputernicit de operator, mai ales n ceea ce privete identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilitii de a se materializa i al gravitii, precum i identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite n special prin coduri de conduit aprobate, certificri aprobate, orientri ale comitetului sau prin indicaii furnizate de un responsabil cu protecia datelor. Comitetul poate, de asemenea, s emit orientri cu privire la operaiunile de prelucrare care sunt considerate puin susceptibile de a genera un risc ridicat pentru drepturile i libertile persoanelor fizice i s indice msurile care se pot dovedi suficiente n asemenea cazuri pentru a aborda un astfel de risc.

https://idrept.ro/12014007.htmhttps://idrept.ro/00067035.htmhttps://idrept.ro/00067035.htm

23

(78)Protecia drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal necesit adoptarea de msuri tehnice i organizatorice corespunztoare pentru a se asigura ndeplinirea cerinelor din prezentul regulament. Pentru a fi n msur s demonstreze conformitatea cu prezentul regulament, operatorul ar trebui s adopte politici interne i s pun n aplicare msuri care s respecte n special principiul proteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor. Astfel de msuri ar putea consta, printre altele, n reducerea la minimum a prelucrrii datelor cu caracter personal, pseudonimizarea acestor date ct mai curnd posibil, transparena n ceea ce privete funciile i prelucrarea datelor cu caracter personal, abilitarea persoanei vizate s monitorizeze prelucrarea datelor, abilitarea operatorului s creeze elemente de siguran i s le mbunteasc. Atunci cnd elaboreaz, proiecteaz, selecteaz i utilizeaz aplicaii, servicii i produse care se bazeaz pe prelucrarea datelor cu caracter personal sau care prelucreaz date cu caracter personal pentru a-i ndeplini rolul, productorii acestor produse i furnizorii acestor servicii i aplicaii ar trebui s fie ncurajai s aib n vedere dreptul la protecia datelor la momentul elaborrii i proiectrii unor astfel de produse, servicii i aplicaii i, innd cont de stadiul actual al dezvoltrii, s se asigure c operatorii i persoanele mputernicite de operatori sunt n msur s i ndeplineasc obligaiile referitoare la protecia datelor. Principiul proteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor ar trebui s fie luate n considerare i n contextul licitaiilor publice. (79)Protecia drepturilor i libertilor persoanelor vizate, precum i responsabilitatea i rspunderea operatorilor i a persoanelor mputernicite de operator, inclusiv n ceea ce privete monitorizarea de ctre autoritile de supraveghere i msurile adoptate de acestea, necesit o atribuire clar a responsabilitilor n temeiul prezentului regulament, inclusiv n cazul n care un operator stabilete scopurile i mijloacele prelucrrii mpreun cu ali operatori sau n cazul n care o operaiune de prelucrare este efectuat n numele unui operator. (80)Atunci cnd un operator sau o persoan mputernicit de operator care nu este stabilit n Uniune prelucreaz date cu caracter personal ale unor persoane vizate care se afl pe teritoriul Uniunii, iar activitile sale de prelucrare au legtur cu oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dac se solicit sau nu efectuarea unei pli de ctre persoana vizat, sau cu monitorizarea comportamentului unor persoane vizate dac acesta se manifest n cadrul Uniunii, operatorul sau persoana mputernicit de operator ar trebui s desemneze un reprezentant, cu excepia cazului n care prelucrarea are caracter ocazional, nu include prelucrarea pe scar larg a unor categorii speciale de date cu caracter personal i nici prelucrarea de date referitoare la condamnri penale i la infraciuni, i este puin susceptibil s genereze un risc pentru drepturile i libertile persoanelor fizice, avnd n vedere natura, contextul, domeniul de aplicare i scopurile prelucrrii, precum i a cazului n care operatorul este o autoritate public sau un organism public. Reprezentantul ar trebui s acioneze n numele operatorului sau al persoanei mputernicite de operator, putnd fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat n mod explicit, printr-un mandat scris al operatorului sau al persoanei mputernicite de operator, s acioneze n numele acestuia (acesteia) n ceea ce privete obligaiile lor n temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu

24

aduce atingere responsabilitii sau rspunderii operatorului sau a persoanei mputernicite de operator n temeiul prezentului regulament. Un astfel de reprezentant ar trebui s i ndeplineasc sarcinile n conformitate cu mandatul primit de la operator sau de la persoana mputernicit de operator, inclusiv s coopereze cu autoritile de supraveghere competente n ceea ce privete orice aciune ntreprins pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui s fie supus unor proceduri de asigurare a respectrii legii n cazul nerespectrii prezentului regulament de ctre operator sau de ctre persoana mputernicit de operator. (81)Pentru a asigura respectarea cerinelor impuse de prezentul regulament n ceea ce privete prelucrarea care trebuie efectuat n numele operatorului de ctre persoana mputernicit de operator, atunci cnd atribuie activiti de prelucrare unei persoane mputernicite de operator, acesta din urm ar trebui s utilizeze numai persoane mputernicite care ofer garanii suficiente, n special n ceea ce privete cunotinele de specialitate, fiabilitatea i resursele, pentru a implementa msuri tehnice i organizatorice care ndeplinesc cerinele impuse de prezentul regulament, inclusiv pentru securitatea prelucrrii. Aderarea de ctre persoana mputernicit de operator la un cod de conduit aprobat sau la un mecanism de certificare aprobat poate fi utilizat drept element care s demonstreze respectarea obligaiilor de ctre operator. Efectuarea prelucrrii de ctre o persoan mputernicit de un operator ar trebui s fie reglementat printr-un contract sau un alt tip de act juridic, n temeiul dreptului Uniunii sau al dreptului intern, care creeaz obligaii pentru persoana mputernicit de operator n raport cu operatorul i care stabilete obiectul i durata prelucrrii, natura i scopurile prelucrrii, tipul de date cu caracter personal i categoriile de persoane vizate, i ar trebui s in seama de sarcinile i responsabilitile specifice ale persoanei mputernicite de operator n contextul prelucrrii care trebuie efectuat, precum i de riscul pentru drepturile i libertile persoanei vizate. Operatorul i persoana mputernicit de operator pot alege s utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere n conformitate cu mecanismul de asigurare a coerenei i apoi adoptate de Comisie. Dup finalizarea prelucrrii n numele operatorului, persoana mputernicit de operator ar trebui s returneze sau s tearg, n funcie de opiunea operatorului, datele cu caracter personal, cu excepia cazului n care exist o cerin de stocare a datelor cu caracter personal n temeiul dreptului Uniunii sau al dreptului intern care instituie obligaii pentru persoana mputernicit de operator. (82)n vederea demonstrrii conformitii cu prezentul regulament, operatorul sau persoana mputernicit de operator ar trebui s pstreze evidene ale activitilor de prelucrare aflate n responsabilitatea sa. Fiecare operator i fiecare persoan mputernicit de operator ar trebui s aib obligaia de a coopera cu autoritatea de supraveghere i de a pune la dispoziia acesteia, la cerere, aceste evidene, pentru a putea fi utilizate n scopul monitorizrii operaiunilor de prelucrare respective. (83)n vederea meninerii securitii i a prevenirii prelucrrilor care ncalc prezentul regulament, operatorul sau persoana mputernicit de operator ar trebui s evalueze riscurile inerente prelucrrii i s implementeze msuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Msurile respective ar trebui s asigure un nivel corespunztor de securitate, inclusiv confidenialitatea, lund n considerare stadiul actual al dezvoltrii i costurile implementrii n raport cu

25

riscurile i cu natura datelor cu caracter personal a cror protecie trebuie asigurat. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui s se acorde atenie riscurilor pe care le prezint prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizat sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate n alt mod, n mod accidental sau ilegal, care pot duce n special la prejudicii fizice, materiale sau morale. (84)Pentru a favoriza respectarea dispoziiilor prezentului regulament n cazurile n care operaiunile de prelucrare sunt susceptibile s genereze un risc ridicat pentru drepturile i libertile persoanelor fizice, operatorul ar trebui s fie responsabil de efectuarea unei evaluri a impactului asupra proteciei datelor, care s estimeze, n special, originea, natura, specificitatea i gravitatea acestui risc. Rezultatul evalurii ar trebui luat n considerare la stabilirea msuril