|
|
EXPLANATORY MEMORANDUM
|
EXPUNERE DE
MOTIVE
|
|
1.
CONTEXT OF THE PROPOSAL
|
1.
CONTEXTUL PROPUNERII
|
|
This explanatory memorandum further details
the approach for the new legal framework for the protection of personal data in
the EU as presented in Communication COM (2012) 9 final. The legal framework
consists of two legislative proposals:
|
Prezenta expunere de motive descrie în detaliu
abordarea privind noul cadru juridic referitor la protecția datelor cu caracter
personal în UE, prevăzut în Comunicarea COM (2012) 9 final. Cadrul legislativ
constă în două propuneri legislative:
|
|
–
a proposal for a Regulation of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data and on the free movement of such data (General
Data Protection Regulation), and
|
–
o propunere de regulament al Parlamentului European
și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea
datelor cu caracter personal și libera circulație a acestor date (Regulament
general privind protecția datelor) și
|
|
–
a proposal for a Directive of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data by competent authorities for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and the free movement of such data.
|
–
o propunere de directivă a Parlamentului European
și a Consiliului privind protecția persoanelor fizice referitor la prelucrarea
datelor cu caracter personal de către autoritățile competente în scopul
prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor
sau al executării pedepselor și libera circulație a acestor date.
|
|
This explanatory memorandum concerns the
latter legislative proposal.
|
Prezenta expunere de motive se referă la cea
din urmă propunere legislativă.
|
|
The centrepiece of existing EU legislation
on personal data protection, Directive 95/46/EC[1], was
adopted in 1995 with two objectives in mind: to protect the fundamental right
to data protection and to guarantee the free flow of personal data between
Member States. It was complemented by several instruments providing specific
data protection rules in the area of police and judicial co-operation in
criminal matters[2] (ex-third pillar), including Framework Decision 2008/977/JHA[3].
|
Documentul care stă la baza legislației UE
existente privind protecția datelor cu caracter personal, Directiva 95/46/CE[1], a fost
adoptat în 1995, având două obiective: protejarea dreptului fundamental la
protecția datelor și garantarea liberei circulații a datelor cu caracter
personal între statele membre. Directiva a fost completată de o serie de
instrumente care prevăd norme specifice privind protecția datelor în domeniul
cooperării polițienești și judiciare în materie penală[2] (fostul
al treilea pilon), inclusiv Decizia-cadru 2008/977/JAI[3].
|
|
The European Council invited the Commission to evaluate the
functioning of EU instruments on data protection and to present, where
necessary, further legislative and non-legislative initiatives[4]. In its resolution on the Stockholm Programme, the European
Parliament[5] welcomed a comprehensive data protection scheme in the EU and among
others called for the revision of the Framework Decision. The Commission
stressed in its Action Plan implementing the Stockholm Programme[6] the need to ensure that the fundamental right to personal data
protection is consistently applied in the context of all EU policies. The
Action Plan underlined that “in a global
society characterised by rapid technological change where information exchange
knows no borders, it is particularly important that privacy must be preserved.
The Union must ensure that the fundamental right to data protection is
consistently applied. We need to strengthen the EU’s stance in protecting the
personal data of the individual in the context of all EU policies, including
law enforcement and crime prevention as well as in our international relations.”
|
Consiliul European
a invitat Comisia să evalueze funcționarea instrumentelor UE privind protecția
datelor și să prezinte, dacă este cazul, alte inițiative legislative și fără
caracter legislativ[4].
În rezoluția sa privind Programul de la Stockholm, Parlamentul European[5] a salutat
inițiativa unui regim cuprinzător de protecție a datelor în UE și, printre
altele, a solicitat revizuirea deciziei-cadru. Comisia a subliniat în planul
său de acțiune pentru punerea în aplicare a programului de la Stockholm[6],
necesitatea de a se asigura că dreptul fundamental la protecția datelor cu
caracter personal este aplicat în mod coerent în contextul tuturor politicilor
UE. Planul de acțiune a subliniat că „într-o societate globală caracterizată
de schimbări tehnologice rapide, în care schimbul de informații nu cunoaște
limite, este deosebit de important ca viața privată să fie protejată. Uniunea
trebuie să se asigure că dreptul fundamental la protecția datelor este aplicat
în mod coerent. Trebuie să consolidăm poziția UE cu privire la protecția
datelor cu caracter personal ale persoanelor în contextul tuturor politicilor
UE, inclusiv în contextul aplicării legii și al prevenirii criminalității,
precum și în relațiile noastre internaționale.”
|
|
In its Communication on “A comprehensive approach on personal data protection in the European
Union”[7], the Commission concluded that the
EU needs a more comprehensive and coherent policy on the fundamental right to
personal data protection.
|
În comunicarea sa privind „O abordare globală
a protecției datelor cu caracter personal în Uniunea Europeană”[7], Comisia
a concluzionat că UE are nevoie de o politică mai cuprinzătoare și mai coerentă
privind dreptul fundamental la protecția datelor cu caracter personal.
|
|
Framework Decision 2008/977/JHA has a
limited scope of application, since it only applies to cross-border data
processing and not to processing activities by the police and judiciary
authorities at purely national level. This is liable to create difficulties for
police and other competent authorities in the areas of judicial co-operation in
criminal matters and police co-operation. They are not always able to easily
distinguish between purely domestic and cross-border processing or to foresee
whether certain personal data may become the object of a cross-border exchange
at a later stage(see Section 2 below). Moreover, because of its nature and
content, the Framework Decision leaves a large room for manoeuvre to Member
States' national laws in implementing its provisions. Additionally, it does not
contain any mechanism or advisory group similar to the Article 29 Working Party
supporting common interpretation of its provisions, nor foresees any
implementing powers for the Commission to ensure a common approach in its
implementation.
|
Decizia-cadru 2008/977/JAI are un domeniu de
aplicare limitat, deoarece se aplică doar în cazul prelucrării datelor la nivel
transfrontalier și nu în cazul activităților de prelucrare realizate de către
poliție și autoritățile judiciare exclusiv la nivel național. Acest fapt poate
crea dificultăți pentru poliție și alte autorități competente în domeniul
cooperării judiciare în materie penală și al cooperării polițienești. Acestea
nu reușesc întotdeauna să facă distincție cu ușurință între prelucrarea
exclusiv la nivel național și cea la nivel transfrontalier sau să prevadă dacă
anumite date personale pot face obiectul unui schimb transfrontalier într-o
etapă ulterioară (a se vedea punctul 2 de mai jos). În plus, ca urmare a
naturii și conținutului său, decizia-cadru lasă legislațiilor naționale ale
statelor membre o amplă marjă de manevră privind punerea în aplicare a
dispozițiile sale. De asemenea, decizia-cadru nu include niciun mecanism sau
grup consultativ similar Grupului de lucru pentru protecția persoanelor în ceea
ce privește prelucrarea datelor cu caracter personal care să sprijine
interpretarea comună a dispozițiilor sale, și nici nu prevede competențe de
executare pentru Comisie în vederea asigurării unei abordări comune în punerea
sa în aplicare.
|
|
Article 16 (1) of the Treaty on the
Functioning of the European Union (TFEU) establishes the principle that
everyone has the right to the protection of personal data. Moreover, with
Article 16 (2) TFEU, the Lisbon Treaty introduces a specific legal basis for
the adoption of rules on the protection of personal data that also applies to judicial
co-operation in criminal matters and police co-operation. Article 8 of the
Charter of Fundamental Rights
of the EU enshrines protection of personal data as a
fundamental right. Article 16 TFEU requires the legislator to lay down rules
relating to the protection of individuals with regard to the processing of
personal data also in the areas of judicial co-operation in criminal matters
and police co-operation, covering both cross-border and domestic processing of
personal data. This will allow protecting the fundamental rights and freedoms
of natural persons and in particular their right to the protection of personal
data, ensuring at the same time the exchange of personal data for the purposes
of prevention, investigation, detection or prosecution of criminal offences or
the execution of criminal penalties. This will contribute to facilitating the co-operation
in the fight against crime in Europe.
|
Articolul 16 alineatul (1) din Tratatul
privind funcționarea Uniunii Europene (TFUE) stabilește principiul conform
căruia orice persoană are dreptul la protecția datelor cu caracter personal.
Mai mult, prin articolul 16 alineatul (2) din TFUE, Tratatul de la Lisabona
introduce un temei juridic specific pentru adoptarea de norme în materie de
protecție a datelor cu caracter personal care se aplică, de asemenea,
cooperării judiciare în materie penală și cooperării polițienești. Articolul 8
din Carta drepturilor fundamentale a Uniunii Europene consacră protecția
datelor cu caracter personal ca drept fundamental. Articolul 16 din TFUE impune
legiuitorului să prevadă norme privind protecția persoanelor fizice cu privire
la prelucrarea datelor cu caracter personal și în domeniul cooperării judiciare
în materie penală și al cooperării polițienești, care să acopere atât
prelucrarea datelor cu caracter personal la nivel transfrontalier, cât și cea
la nivel național. Acest lucru va permite protejarea drepturilor și a
libertăților fundamentale ale persoanelor fizice și, în special, al dreptului
acestora la protecția datelor cu caracter personal, asigurând, în același timp,
schimbul de date cu caracter personal în scopul prevenirii, identificării,
investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor
și contribuind la facilitarea cooperării în lupta împotriva criminalității în
Europa.
|
|
Due to the specific nature of the field of
police and judicial co-operation in criminal matters it was acknowledged in
Declaration 21[8] that specific rules on the protection of personal data and the free
movement of such data in the fields of judicial co-operation in criminal
matters and police co-operation based on Article 16 TFEU may prove necessary.
|
Ca urmare a naturii specifice a domeniului
cooperării polițienești și judiciare în materie penală, Declarația 21[8]
precizează că ar putea fi necesară elaborarea unor norme specifice privind
protecția datelor cu caracter personal și libera circulație a acestor date în
domeniul cooperării judiciare în materie penală și al cooperării polițienești
în temeiul articolului 16 din TFUE.
|
|
2.
RESULTS OF CONSULTATIONS WITH THE INTERESTED PARTIES
AND IMPACT ASSESSMENTS
|
2.
REZULTATELE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRII
IMPACTULUI
|
|
This initiative is the result of extensive
consultations with all major stakeholders on a review of the existing legal
framework for the protection of personal data, which included two phases of
public consultation:
|
Prezenta inițiativă este rezultatul unor ample
consultări cu principalele părți interesate referitoare la o revizuire a
cadrului juridic existent privind protecția datelor cu caracter personal, care
a inclus două faze ale consultării publice:
|
|
–
From 9 July to 31 December 2009, the Consultation
on the legal framework for the fundamental right to the protection of personal
data. The Commission received 168 responses, 127 from individuals, business
organisations and associations and 12 from public authorities. The
non-confidential contributions can be consulted on the Commission’s website[9].
|
–
în perioada 9 iulie - 31 decembrie 2009, consultarea
referitoare la cadrul juridic privind dreptul fundamental la protecția datelor
cu caracter personal. Comisia a primit 168 de răspunsuri, din care 127 de
la persoane fizice, organizații și asociații profesionale și 12 de la
autoritățile publice. Contribuțiile care nu au caracter confidențial pot fi
consultate pe site-ul internet al Comisiei[9];
|
|
–
From 4 November 2010 to 15 January 2011, the Consultation
on the Commission's comprehensive approach on personal data protection in the
European Union. The Commission received 305 responses, of which 54 from
citizens, 31 from public authorities and 220 from private organisations, in
particular business associations and non-governmental organisations. The
non-confidential contributions can be consulted on the Commission’s website[10].
|
–
în perioada 4 noiembrie 2010 - 15 ianuarie 2011, consultarea
privind abordarea cuprinzătoare a Comisiei cu privire la protecția datelor cu
caracter personal în Uniunea Europeană. Comisia a primit 305 de răspunsuri,
din care 54 de la cetățeni, 31 de la autoritățile publice și 220 de la
organizațiile private, în special asociații de afaceri și organizații
neguvernamentale. Contribuțiile care nu au caracter confidențial pot fi
consultate pe site-ul internet al Comisiei[10].
|
|
Whereas those consultations focused largely
on the review of Directive 95/46/EC, targeted consultations were conducted with
law enforcement stakeholders; in particular, a workshop was organised on 29
June 2010 with Member States' authorities on the application of data protection
rules to public authorities, including in the area of police co-operation and
judicial co-operation in criminal matters. Furthermore, on 2 February 2011, the
Commission convened a workshop with Member States' authorities to discuss the
implementation of Framework Decision 2008/977/JHA and, more generally, data
protection issues in the area of police co-operation and judicial co-operation
in criminal matters.
|
Întrucât aceste consultări s-au axat, în mare
parte, pe revizuirea Directivei 95/46/CE, au avut loc consultări specifice cu părțile
interesate din domeniul aplicării legii; în special, la 29 iunie 2010,
a fost organizat un atelier cu autoritățile statelor membre privind aplicarea
normelor în materie de protecție a datelor, inclusiv în domeniul cooperării
polițienești și judiciare în materie penală. Mai mult, la 2 februarie 2011,
Comisia a organizat un atelier cu autoritățile statelor membre pentru a discuta
punerea în aplicare a Decizieicadru 2008/977/JAI și, în sens mai general,
aspecte legate de protecția datelor în domeniul cooperării polițienești și
judiciare în materie penală.
|
|
EU citizens were consulted through a
Eurobarometer survey held in November-December 2010[11]. A
number of studies were also launched.[12] The
“Article 29 Working Party”[13] provided several opinions and useful input to the Commission[14]. The European Data Protection Supervisor also issued a
comprehensive opinion on the issues raised in the Commission's November 2010
Communication.[15]
|
Cetățenii UE au fost consultați prin
intermediul unui sondaj Eurobarometru organizat în perioada noiembrie-decembrie
2010[11].
De asemenea, a fost lansată a serie de studii[12]. Grupul de lucru pentru protecția
persoanelor în ceea ce privește prelucrarea datelor cu caracter personal[13] a
furnizat mai multe avize și informații utile Comisiei[14]. De
asemenea, Autoritatea Europeană pentru Protecția Datelor a emis un aviz
cuprinzător privind problemele ridicate în comunicarea Comisiei din noiembrie 2010[15].
|
|
The European Parliament approved by its
resolution of 6 July 2011 a report that supported the Commission’s approach to
reforming the data protection framework.[16] The
Council of the European Union adopted conclusions on 24 February 2011 in which
it broadly supports the Commission's intention to reform the data protection
framework and agrees with many elements of the Commission's approach. The
European Economic and Social Committee likewise supported the Commission's
general thrust to ensure a more consistent application of EU data protection
rules across all Member States and an appropriate revision of the Directive
95/46/EC.[17]
|
Parlamentul European a aprobat, prin rezoluția
sa din 6 iulie 2011, un raport care susținea abordarea Comisiei în legătură cu
reforma cadrului privind protecția datelor[16]. La 24 februarie 2011, Consiliul
Uniunii Europene a adoptat concluzii în care susține în mare măsură intenția
Comisiei de a reforma cadrul privind protecția datelor și aprobă numeroase
elemente ale abordării Comisiei. De asemenea, Comitetul Economic și Social
European s-a declarat în favoarea unei revizuiri corespunzătoare a Directivei 95/46/CE[17],
sprijinind obiectivul general al Comisiei de a asigura o aplicare mai coerentă
a normelor UE în materie de protecție a datelor în toate statele membre.
|
|
In line with its “Better Regulation”
policy, the Commission conducted an impact assessment of policy alternatives[18]. The impact assessment was based on the three policy objectives of
improving the internal market dimension of data protection, making the exercise
of data protection rights by individuals more effective and creating a
comprehensive and coherent framework covering all areas of Union competence,
including police co-operation and judicial co-operation in criminal matters. As
regards this latter objective in particular, two policy options were assessed:
a first one basically extending the scope of data protection rules in this area
and addressing the gaps and other issues raised by the Framework Decision, and
a second more far-reaching one with very prescriptive and stringent rules,
which would also entail the immediate amendment of all other "former third
pillar" instruments. A third "minimalistic" option based largely
on interpretative Communications and policy support measures, such as funding
programmes and technical tools, with minimum legislative intervention, was not
considered appropriate to address the issues identified in this area in
relation to data protection.
|
În conformitate cu politica sa privind „o mai
bună legiferare”, Comisia a realizat o evaluare a impactului privind politicile
alternative[18].
Studiul a avut la bază trei obiective de politică: îmbunătățirea dimensiunii
privind piața internă a protecției datelor, o exercitare mai eficientă de către
persoanele fizice a drepturilor pe care le au în materie de protecție a datelor
și elaborarea unui cadru cuprinzător și coerent care acoperă toate domeniile de
competență ale Uniunii, inclusiv cooperarea polițienească și judiciară în
materie penală. În special, în ceea ce privește ultimul obiectiv, au fost
evaluate două opțiuni de politică: o primă opțiune care, în principal, extinde
domeniul de aplicare a normelor în materie de protecție a datelor în acest
domeniu și abordează neajunsurile și alte probleme ridicate de decizia-cadru;
și o a doua opțiune, mai cuprinzătoare, cu norme foarte riguroase și stricte,
care ar conduce, de asemenea, la modificări imediate ale tuturor celorlalte
instrumente din cadrul „fostului al treilea pilon”. O a treia opțiune
„minimală”, în mare parte bazată pe comunicări interpretative și pe măsuri de
sprijin în materie de politici, cum ar fi programele de finanțare și
instrumentele tehnice, însoțită de o intervenție legislativă minimă, nu a fost
considerată ca fiind corespunzătoare în vederea abordării problemelor
identificate în acest domeniu, în ceea ce privește protecția datelor.
|
|
According to the Commission's established
methodology, each policy option was assessed, with the help of an inter-service
steering group, against its effectiveness to achieve the policy objectives, its
economic impact on stakeholders (including on the budget of the EU
institutions), its social impact and effect on fundamental rights.
Environmental impacts were not observed.
|
În conformitate cu metodologia consacrată a
Comisiei, fiecare opțiune de politică a fost evaluată cu ajutorul unui grup de
coordonare interservicii în ceea ce privește eficiența acesteia în vederea
îndeplinirii obiectivelor de politică, impactul său economic asupra părților
interesate (inclusiv asupra bugetului instituțiilor UE), impactul său social și
efectele acesteia asupra drepturilor fundamentale. Nu a fost analizat impactul
asupra mediului.
|
|
The analysis of the overall impact led to
the development of the preferred policy option which is incorporated in the
present proposal. According to the assessment, its implementation will lead to
further strengthening data protection in this policy area in particular by
including domestic data processing, thereby also enhancing legal certainty for competent
authorities in the areas of judicial co-operation in criminal matters and police
co-operation.
|
Analiza impactului global a condus la
elaborarea opțiunii de politică preferate care este încorporată în prezenta
propunere. În conformitate cu evaluarea, punerea în aplicare a opțiunii
menționate anterior va duce la consolidarea în continuare a protecției datelor
în acest domeniu de politică, în special prin includerea prelucrării datelor la
nivel național, contribuind astfel la consolidarea securității juridice pentru
autoritățile competente în domeniul cooperării judiciare în materie penală și
al cooperării polițienești.
|
|
The Impact Assessment Board (IAB) delivered
an opinion on the draft impact assessment on 9 September 2011. Following the
IAB’s opinion, in particular the following changes were made to the impact
assessment:
|
Comitetul de evaluare a impactului (IAB) a
emis, la 9 septembrie 2011, un aviz cu privire la proiectul de evaluare a
impactului, pe baza căruia i-au fost aduse proiectului, în special, următoarele
modificări:
|
|
–
The objectives of the current legal framework
(to what extent they were achieved and to what extent they were not), as well
as the objectives of the envisaged reform, were clarified;
|
–
au fost clarificate obiectivele cadrului juridic
actual (măsura în care au fost atinse sau nu), precum și obiectivele reformei
preconizate;
|
|
–
More evidence and additional
explanations/clarifications were added to the problems' definition section.
|
–
au fost adăugate mai multe dovezi și
explicații/clarificări suplimentare la secțiunea privind definirea problemelor.
|
|
The Commission also prepared an
Implementation Report related to Framework Decision 2008/977/JHA, based on its
Article 29(2), which is to be adopted as part of the present data protection
package[19]. The findings of the report, based on input from Member States,
also fed into the preparation of the Impact Assessment.
|
De asemenea, Comisia a pregătit un raport
privind punerea în aplicare a Decizieicadru 2008/977/JAI, pe baza
articolului 29 alineatul (2), care urmează să fie adoptat ca parte a
prezentului pachet legislativ privind protecția datelor[19].
Concluziile prezentate în raport pe baza informațiilor transmise de statele
membre au fost, de asemenea, luate în considerare la elaborarea evaluării
impactului.
|
|
3.
LEGAL ELEMENTS OF THE PROPOSAL
3.1.
Legal Basis
|
3.
ELEMENTELE JURIDICE ALE PROPUNERII
3.1.
Temei juridic
|
|
The proposal is based on Article 16(2)
TFEU, which is a new, specific legal basis introduced by the Lisbon Treaty for
the adoption of rules relating to the protection of individuals with regard to
the processing of personal data by Union institutions, bodies, offices and
agencies, and by the Member States when carrying out activities which fall
within the scope of Union law, and the rules relating to the free movement of
such data.
|
Propunerea se bazează pe articolul 16
alineatul (2) din TFUE, care constituie un nou temei juridic specific, introdus
prin Tratatul de la Lisabona, pentru adoptarea normelor privind protecția
persoanelor fizice referitor la prelucrarea datelor cu caracter personal de
către instituțiile, organismele, oficiile și agențiile Uniunii, precum și de
către statele membre atunci când desfășoară activități care intră în domeniul
de aplicare a dreptului Uniunii, și normele privind libera circulație a acestor
date.
|
|
The proposal aims to ensure a consistent
and high level of data protection in this field, thereby enhancing mutual trust
between police and judicial authorities of different Member States and
facilitating the free flow of data and co-operation between police and judicial
authorities.
|
Scopul propunerii este acela de a asigura un
nivel ridicat și coerent de protecție a datelor în acest domeniu, sporind
astfel încrederea reciprocă între autoritățile polițienești și cele judiciare
din diferitele state membre și facilitând libera circulație a datelor și
cooperarea între aceste autorități.
|
|
3.2.
Subsidiarity and proportionality
|
3.2.
Subsidiaritate și proporționalitate
|
|
According to the principle of subsidiarity
(Article 5(3) TEU), action at Union level shall be taken only if and in so far
as the objectives envisaged cannot be achieved sufficiently by Member States,
but can rather, by reason of the scale or effects of the proposed action, be
better achieved by the Union. In the light of the problems outlined above, the
analysis of subsidiarity indicates the necessity of EU-level action in the
areas of police and criminal justice on the following grounds:
|
În conformitate cu principiului
subsidiarității [articolul 5 alineatul (3) din TUE], se iau măsuri la nivelul
Uniunii numai dacă obiectivele urmărite nu pot fi realizate suficient de bine
de către statele membre și, prin urmare, având în vedere amploarea și efectele
măsurilor propuse, obiectivele pot fi realizate mai bine la nivelul Uniunii. În
lumina problemelor subliniate mai sus, analiza principiului subsidiarității
indică necesitatea unor măsuri la nivelul UE în domenii precum poliția și
justiția penală, pe baza următoarelor motive:
|
|
–
The right to the protection of personal data,
enshrined in Article 8 of the Charter of Fundamental Rights and in Article 16(1)
TFEU, requires the same level of data protection throughout the Union. It
requires the same level of protection for data exchanged and data processed at
domestic level.
|
–
dreptul la protecția datelor cu caracter personal,
prevăzut la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene
și la articolul 16 alineatul (1) din TFUE, necesită același nivel de protecție
a datelor pe tot cuprinsul Uniunii. De asemenea, necesită același nivel de
protecție în ceea ce privește datele schimbate și datele prelucrate la nivel
național.
|
|
–
There is a growing need for law enforcement
authorities in Member States to process and exchange at rapidly increasing
rates for the purposes of preventing and combating transnational crime and
terrorism. In this context, clear and consistent rules on data protection at EU
level will help fostering co-operation between such authorities.
|
–
este din ce în ce mai important ca autoritățile de
aplicare a legii din statele membre să prelucreze și să facă schimb de date în
mod tot mai rapid, în scopul prevenirii și al combaterii criminalității
transfrontaliere și a terorismului. În acest context, existența unor norme
clare și coerente privind protecția datelor la nivelul UE va contribui la
încurajarea cooperării între astfel de autorități.
|
|
–
In addition, there are practical challenges to
enforcing data protection legislation and a need for co-operation between
Member States and their authorities, which need to be organised at EU level to
ensure unity of application of Union law. In certain situations, the EU is best
placed to ensure effectively and consistently the same level of protection for
individuals when their personal data are transferred to third countries.
|
–
în plus, există dificultăți practice în aplicarea
legislației privind protecția datelor, fiind necesară o mai bună cooperare
între statele membre și autoritățile acestora, care trebuie organizată la
nivelul UE pentru a se asigura aplicarea uniformă a dreptului Uniunii. În
anumite situații, UE este cea mai în măsură să asigure în mod efectiv și
consecvent același nivel de protecție a persoanelor atunci când datele lor cu
caracter personal sunt transferate către țări terțe.
|
|
–
Member States cannot alone reduce the problems
in the current situation, particularly those due to the fragmentation in
national legislations. Thus, there is a specific need to establish a harmonised
and coherent framework allowing for a smooth transfer of personal data across
borders within the EU while ensuring effective protection for all individuals
across the EU.
|
–
statele membre nu pot atenua în mod individual
problemele care apar în situația actuală, în special cele legate de
fragmentarea legislațiilor naționale. Prin urmare, apare necesitatea specifică
de a institui un cadru armonizat și coerent, care să permită transferarea cu
ușurință a datelor cu caracter personal dintr-un stat membru în altul, în
cadrul UE, asigurându-se în același timp o protecție eficientă pentru toate
persoanele fizice pe întreg teritoriul UE;
|
|
–
The proposed EU legislative action is likely to
be more effective than similar actions at the level of Member States because of
the nature and scale of the problems, which are not confined to the level of
one or several Member States.
|
–
acțiunile legislative propuse la nivelul UE pot fi
mai eficace decât acțiuni similare la nivelul statelor membre, datorită naturii
și amplorii problemelor, care nu sunt limitate la unul sau mai multe state
membre.
|
|
The principle of proportionality requires
that any intervention is targeted and does not go beyond what is necessary to
achieve the objectives. This principle has guided the preparation of this
proposal, from the identification and evaluation of alternative policy options
to the drafting of the legislative proposal.
|
Principiul proporționalității prevede ca
fiecare intervenție să vizeze un obiectiv și să nu depășească ceea ce este
necesar pentru îndeplinirea sa. Acest principiu a stat la baza elaborării
prezentei propuneri, începând cu identificarea și evaluarea opțiunilor de
politică alternative și până la redactarea propunerii legislative.
|
|
A Directive is therefore the best
instrument to ensure harmonisation at EU level in this area while at the same
time leaving the necessary flexibility to Member States when implementing the
principles, the rules and their exemptions at national level. Given the
complexity of the current national rules for the protection of personal data
processed in the area of police co-operation and judicial co-operation in
criminal matters, and the objective of comprehensive harmonisation of these
rules by way of this Directive, the Commission will need to request Member
States to provide explanatory documents explaining the relationship between the
components of the Directive and the corresponding parts of national
transposition instruments in order to be able to carry out its task of
overseeing the transposition of this Directive.
|
Prin urmare, directiva este instrumentul cel
mai potrivit pentru asigurarea armonizării la nivelul UE în acest domeniu,
acordând, în același timp, statelor membre flexibilitatea necesară atunci când
pun în aplicare principiile, normele și derogările la nivel național. Având în
vedere complexitatea normelor naționale în vigoare privind protecția datelor cu
caracter personal în domeniul cooperării polițienești și judiciare în materie
penală, precum și obiectivul armonizării globale a acestor norme prin
intermediul prezentei directive, Comisia va trebui să solicite statelor membre
să furnizeze documente care să explice relația dintre componentele directivei
și părțile corespondente din instrumente naționale de transpunere, pentru a fi
în măsură să își îndeplinească sarcina de a monitoriza transpunerea prezentei
directive.
|
|
3.3.
Summary of fundamental rights issues
|
3.3.
Rezumat al aspectelor legate de drepturile
fundamentale
|
|
The right to protection of personal data is
established by Article 8 of the Charter on Fundamental Rights of the EU and
Article 16 TFEU as well in Article 8 of the ECHR. As underlined by the Court of
Justice of the EU[20], the right to the protection of personal data is not an absolute
right, but must be considered in relation to its function in society[21]. Data protection is closely linked to respect for private and
family life protected by Article 7 of the Charter. This is reflected in Article
1(1) of Directive 95/46/EC, which provides that Member States shall protect
fundamental rights and freedoms of natural persons and in particular their
right to privacy with respect of the processing of personal data.
|
Dreptul la protecția datelor cu caracter
personal este prevăzut la articolul 8 din Carta drepturilor fundamentale a
Uniunii Europene, articolul 16 din TFUE și articolul 8 din Convenția europeană
a drepturilor omului. Așa cum subliniază Curtea de Justiție a UE[20], dreptul
la protecția datelor cu caracter personal nu este, totuși, un drept absolut, ci
trebuie să fie luat în considerare în raport cu funcția sa în societate[21].
Protecția datelor este strâns legată de respectarea vieții private și a celei
de familie, protejate prin articolul 7 din cartă. Acest lucru este reflectat în
articolul 1 alineatul (1) din Directiva 95/46/CE care prevede că statele membre
trebuie să protejeze drepturile și libertățile fundamentale ale persoanelor
fizice și, în special, dreptul acestora la respectarea vieții private cu
privire la prelucrarea datelor cu caracter personal.
|
|
Other potentially affected fundamental
rights enshrined in the Charter are the prohibition of any discrimination
amongst others on grounds such as race, ethnic origin, genetic features,
religion or belief, political opinion or any other opinion, disability or
sexual orientation (Article 21); the rights of the child (Article 24) and the right
to an effective remedy before a tribunal and a fair trial (Article
47).
|
Alte drepturi fundamentale consacrate în
cartă, care ar putea fi potențial afectate, sunt interzicerea oricărei
discriminări bazate, printre altele, pe motive de rasă, origine etnică,
caracteristici genetice, religie sau convingeri, opinii politice sau de orice
altă natură, un handicap sau orientare sexuală (articolul 21); drepturile
copilului (articolul 24), dreptul la o cale de atac eficientă în fața unei
instanțe judecătorești și la un proces echitabil (articolul 47).
|
|
3.4.
Detailed explanation of the proposal
3.4.1.
CHAPTER I – GENERAL PROVISIONS
|
3.4.
Explicarea detaliată a propunerii
3.4.1.
CAPITOLUL I - DISPOZIȚII GENERALE
|
|
Article 1 defines the subject matter of the
Directive, i.e. rules relating to processing of personal data for the purposes
of prevention, investigation, detection or prosecution of criminal offences or
the execution of criminal offences, and sets out the Directive's two-fold
objective, i.e. to protect the fundamental rights and freedoms of natural
persons and in particular their right to the protection of personal data while
guaranteeing a high level of public safety, and to ensure the exchange of
personal data between competent authorities within the Union.
|
Articolul 1 definește obiectul directivei, și
anume prevederea de norme referitoare la prelucrarea datelor cu caracter
personal în scopul prevenirii, identificării, investigării sau urmăririi penale
a infracțiunilor sau al executării pedepselor, și stabilește dublul obiectiv al
directivei, și anume protecția drepturilor și a libertăților fundamentale ale
persoanelor fizice și, în special, a dreptului acestora la protecția datelor cu
caracter personal, garantând în același timp un nivel ridicat de siguranță
publică, și asigurarea schimbului de date cu caracter personal între
autoritățile competente în cadrul Uniunii.
|
|
Article 2 defines the scope of application
of the Directive. The scope of the Directive is not limited to cross-border
data processing but applies to all processing activities carried out by
'competent authorities' (as defined in Article 3(14)) for the purposes of the
Directive. The Directive applies neither to processing in the course of an
activity which falls outside the scope of Union law, nor to processing by Union
institutions, bodies, offices and agencies, which is subject to Regulation (EC)
No 45/2001 and other specific legislation.
|
Articolul 2 definește domeniul de aplicare a
directivei. Domeniul de aplicare a directivei nu este limitat la prelucrarea
datelor la nivel transfrontalier, însă se aplică tuturor activitățile de
prelucrare efectuate de „autoritățile competente” [astfel cum sunt definite la
articolul 3 alineatul (14)], în sensul directivei. Directiva nu se aplică nici
în cazul prelucrării în cadrul unei activități care nu intră în domeniul de
aplicare a dreptului Uniunii, nici în cazul prelucrării de către instituțiile,
organele, oficiile și agențiile Uniunii, care intră sub incidența
Regulamentului (CE) nr. 45/2001 și a altor norme specifice.
|
|
Article 3 contains definitions of terms
used in the Directive. While some definitions are taken over from Directive
95/46/EC and Framework Decision 2008/977/JHA, others are modified, complemented
with additional or newly introduced elements. New definitions are those of
‘personal data breach’, ‘genetic data’ and ‘biometric data’, ‘competent
authorities’ (based on Article 87 TFEU and Article 2(h) of Framework Decision
2008/977/JHA) and, of a 'child’, based on the UN Convention on the Rights of
the Child[22].
|
Articolul 3 conține definițiile termenilor
utilizați în directivă. În timp ce unele definiții sunt preluate din Directiva 95/46/CE
și din Decizia-cadru 2008/977/JAI, altele sunt modificate, completate cu
elemente suplimentare sau nou introduse. Noile definiții introduse sunt cele
privind „încălcarea securității datelor cu caracter personal”, „datele
genetice”, „datele biometrice”, „autoritățile competente” [bazată pe articolul 87
din TFUE și pe articolul 2 litera (h) din Decizia-cadru 2008/977/JAI] și
„copilul”, bazată pe Convenția ONU privind drepturile copilului[22].
|
|
3.4.2.
CHAPTER II – PRINCIPLES
|
3.4.2.
CAPITOLUL II – PRINCIPII
|
|
Article 4 sets out the principles relating
to processing of personal data reflecting Article 6 of Directive 95/46/EC and
Article 3 of Framework Decision 2008/977/JHA, while adjusting them to the
particular context of this Directive.
|
Articolul 4 stabilește principiile cu privire
la prelucrarea datelor cu caracter personal, pe baza articolului 6 din
Directiva 95/46/CE și a articolului 3 din Decizia-cadru 2008/977/JAI, adaptând
dispozițiile acestora la contextul specific al prezentei directive.
|
|
Article 5 requires the distinction, as far
as possible; between personal data of different categories of data subjects. This
is a new provision, included neither in Directive 95/46/EC nor in Framework
Decision 2008/977/JHA, but which had been proposed by the Commission in its original
proposal for the Framework Decision[23]. It is
inspired by the Council of Europe's Recommendation No R (87)15. Similar rules
already exist for Europol[24] and Eurojust[25].
|
Articolul 5 prevede necesitatea unei
distincții cât mai clare între datele cu caracter personal ale diferitelor
categorii de persoane vizate. Aceasta este o nouă dispoziție, care nu este
inclusă nici în Directiva 95/46/CE, nici în Decizia-cadru 2008/977/JAI, dar
care a fost propusă de Comisie în propunerea sa inițială de decizie-cadru[23].
Prevederile articolului se inspiră din Recomandarea Consiliului Europei nr. R (87)15.
Există deja norme similare pentru Europol[24] și Eurojust[25].
|
|
Article 6 on different degrees of accuracy
and reliability reflects principle 3.2 of Council of Europe Recommendation No R
(87)15. Similar rules, as also included in the Commission's proposal for the
Framework Decision, exist for Europol[26].
|
Articolul 6 privind gradele diferite de
precizie și de fiabilitate a datelor reflectă principiul 3.2 din Recomandarea
Consiliului Europei nr. R (87)15. Norme similare, incluse, de asemenea, în
propunerea de decizie-cadru a Comisiei, există pentru Europol[26].
|
|
Article 7 sets out the grounds for lawful
processing, when necessary for the performance of a task carried out by a
competent authority based on national law, to comply with a legal obligation to
which the data controller is subject, in order to protect the vital interests
of the data subject or another person or to prevent an immediate and serious
threat to public security. The other grounds for lawful processing in Article 7
of Directive 95/46/EC are not appropriate for the processing in the area of
police and criminal justice.
|
Articolul 7 stabilește criteriile privind
prelucrarea legală, în cazul în care este necesară pentru îndeplinirea unei
sarcini de către o autoritate competentă, în temeiul legislației naționale,
pentru a respecta o obligație legală pe care o are operatorul de date, în
scopul protejării intereselor vitale ale persoanei vizate sau ale unei alte
persoane sau în scopul prevenirii unei amenințări imediate și grave la adresa
securității publice. Celelalte motive pentru prelucrarea legală prevăzute la
articolul 7 din Directiva 95/46/CE nu sunt adecvate pentru prelucrarea datelor
în domeniul poliției și al justiției penale.
|
|
Article 8 sets out a general prohibition of
processing special categories of personal data and the exceptions from this
general rule, building on Article 8 of Directive 95/46/EC and adding genetic
data, following ECtHR case law[27].
|
Articolul 8 prevede, pe baza articolului 8 din
Directiva 95/46/CE, interdicția generală privind prelucrarea categoriilor
speciale de date cu caracter personal și excepțiile de la această regulă
generală, la care se adaugă datele genetice, în conformitate cu jurisprudența
CEDO[27].
|
|
Article 9 establishes a prohibition of
measures based solely on automated processing of personal data if not
authorised by law providing appropriate safeguards, in line with Article 7 of
Framework Decision 2008/977/JHA.
|
Articolul 9 prevede o interdicție a măsurilor
care se bazează exclusiv pe prelucrarea automată a datelor cu caracter personal
în cazul în care aceasta nu este autorizată printr-o prevedere legală care
oferă garanții corespunzătoare, în conformitate cu articolul 7 din Deciziacadru 2008/977/JAI.
|
|
3.4.3.
CHAPTER III - RIGHTS OF THE DATA SUBJECT
|
3.4.3.
CAPITOLUL III - DREPTURILE PERSOANEI VIZATE
|
|
Article 10 introduces the obligation for
Member States to ensure easily accessible and understandable information,
inspired in particular by principle 10 of the Madrid Resolution on international
standards on the protection of personal data and privacy[28], and to
oblige controllers to provide procedures and mechanisms for facilitating the
exercise of the data subject's rights. This includes the requirement that the
exercise of the rights shall be in principle free of charge.
|
Articolul 10 introduce obligația statelor
membre de a furniza informații ușor accesibile și inteligibile, această
dispoziție fiind inspirată, în special, de principiul numărul 10 prevăzut în
Rezoluția de la Madrid privind standardele internaționale în materie de
protecție a datelor cu caracter personal și a vieții private[28], precum
și de a impune operatorilor să prevadă proceduri și mecanisme pentru
facilitarea exercitării de către persoana vizată a drepturile sale. Aceasta
include cerința ca exercitarea drepturilor să fie, în principiu, gratuită.
|
|
Article 11 specifies the obligation for
Member States to ensure the information towards the data subject. These
obligations are building on Articles 10 and 11 of Directive 95/46/EC, without
separate articles differentiating whether the information is collected from the
data subject or not, and enlarging the information to be provided. It lays down
exemptions from the obligation to inform, when such exemptions are
proportionate and necessary in a democratic society for the exercise of the
tasks of competent authorities (inspired by Article 13 of Directive 95/46/EC
and Article 17 Framework Decision 2008/977/JHA).
|
Articolul 11 prevede obligația statelor membre
de a asigura informarea persoanei vizate. Aceste obligații sunt întemeiate pe
articolele 10 și 11 din Directiva 95/46/CE, fără să fie prevăzute articole
separate care să precizeze dacă informațiile sunt colectate sau nu de la
persoana vizată, articolul extinzând informațiile care trebuie furnizate.
Articolul prevede excepții de la obligația de informare, în cazul în care
acestea sunt proporționale și necesare într-o societate democratică pentru
exercitarea sarcinilor de către autoritățile competente (fiind bazate pe
articolul 13 din Directiva 95/46/CE și pe articolul 17 din Deciziacadru 2008/977/JAI).
|
|
Article 12 provides the obligation for
Member States to ensure the data subject's right of access to their personal
data. It follows Article 12(a) of Directive 95/46/EC, adding new elements for
the information of the data subjects (on the storage period, their rights to
rectification, erasure, or restriction and to lodge a complaint).
|
Articolul 12 prevede obligația statelor membre
de a asigura dreptul persoanei vizate de a avea acces la datele sale cu
caracter personal. Acesta se bazează pe articolul 12 litera (a) din Directiva 95/46/CE,
la care adaugă noi elemente de informare a persoanei vizate (privind perioada
de stocare a datelor, drepturile persoanelor privind rectificarea, ștergerea
sau restricționarea și dreptul de a depune o plângere).
|
|
Article 13 provides that Member States may
adopt legislative measures restricting the right of access if required by the specific
nature of data processing in the areas of police and criminal justice, and on
the information of the data subject on a restriction of access, following
Article 17(2) and (3) of Framework Decision 2008/977/JHA.
|
Articolul 13 prevede, pe baza articolului 17
alineatele (2) și (3) din Deciziacadru 2008/977/JAI, că statele membre
pot adopta măsuri legislative care limitează dreptul de acces în cazul în care
acest lucru este necesar datorită naturii specifice a prelucrării datelor în
domeniul poliției și al justiției penale, precum și cu privire la informarea
persoanei vizate cu privire la o limitare a accesului.
|
|
Article 14 introduces the rule that in
cases where direct access is restricted, the data subject must be informed on the
possibility of indirect access via the supervisory authority, which should
exercise the right on their behalf and must inform the data subject on the
outcome of its verifications.
|
Articolul 14 introduce dispoziția conform
căreia, în cazurile în care accesul direct este restricționat, persoana vizată
trebuie să fie informată cu privire la posibilitățile de acces indirect, prin
intermediul autorității de supraveghere care ar trebui să exercite acest drept
în numele persoanei vizate și să o informeze cu privire la rezultatul
verificărilor sale.
|
|
Article 15 on the right to rectification
follows Article 12(b) of Directive 95/46/EC, and, as regards the obligations in
case of a refusal, Article 18(1) of Framework Decision 2008/977/JHA.
|
Articolul 15 privind dreptul la rectificare se
bazează pe articolul 12 litera (b) din Directiva 95/46/CE și, în ceea ce
privește obligațiile în cazul unui refuz, pe articolul 18 alineatul (1) din
Decizia-cadru 2008/977/JAI.
|
|
Article 16 on the right to erasure follows
Article 12(b) of Directive 95/46, and, as regards the obligations in case of a
refusal, Article 18(1) of Framework Decision 2008/977/JHA. It integrates also
the right to have the processing marked in certain cases, replacing the
ambiguous terminology "blocking", used by Article 12(b) of Directive
95/46/EC and Article 18(1) of Framework Decision 2008/977/JHA.
|
Articolul 16 privind dreptul la ștergerea
datelor se bazează pe articolul 12 litera (b) din Directiva 95/46/CE și, în
ceea ce privește obligațiile în cazul unui refuz, pe articolul 18 alineatul (1)
din Decizia-cadru 2008/977/JAI. De asemenea, acesta include dreptul de marcare
a datelor în anumite cazuri, evitând termenul echivoc de „blocare” utilizat la
articolul 12 litera (b) din Directiva 95/46/CE și la articolul 18 alineatul
(1) din Deciziacadru 2008/977/JAI.
|
|
Article 17 on the rectification, erasure
and restriction of processing in judicial proceedings provides clarification
based on Article 4(4) of Framework Decision 2008/977/JHA.
|
Articolul 17 cu privire la rectificarea,
ștergerea și restricționarea prelucrării datelor în cadrul procedurilor
judiciare oferă clarificări pe baza articolului 4 alineatul (4) din Deciziacadru 2008/977/JAI.
|
|
3.4.4.
CHAPTER IV - CONTROLLER AND PROCESSOR
3.4.4.1.
SECTION 1 GENERAL OBLIGATIONS
|
3.4.4.
CAPITOLUL IV - OPERATORUL ȘI PERSOANA ÎMPUTERNICITĂ
DE CĂTRE OPERATOR
3.4.4.1.
SECȚIUNEA 1 - OBLIGAȚII GENERALE
|
|
Article 18 describes the responsibility of
the controller to comply with this Directive and to ensure compliance,
including the adoption of policies and mechanisms for ensuring compliance.
|
Articolul 18 descrie responsabilitatea
operatorului de a respecta dispozițiile prezentei directive și de a asigura
conformitatea cu aceasta, inclusiv adoptarea de politici și mecanisme în acest
scop.
|
|
Article 19 sets out that the Member States
must ensure the compliance of the controller with the obligations arising from
the principles of data protection by design and by default.
|
Articolul 19 prevede că statele membre trebuie
să asigure respectarea de către operator a obligațiilor care rezultă din
principiile protecției datelor începând cu momentul conceperii și protecției
implicite a datelor.
|
|
Article 20 on joint controllers clarifies
the status of joint controllers as regards their internal relationship.
|
Articolul 20 privind operatorii asociați
clarifică statutul acestora în ceea ce privește relațiile lor interne.
|
|
Article 21 clarifies the position and
obligation of processors, following partly Article 17(2) of Directive 95/46/EC,
and adding new elements, including that a processor that processes data beyond
the controller's instructions is to be considered a co-controller.
|
Articolul 21 clarifică poziția și obligațiile
persoanelor împuternicite de către operator, reluând, în parte, prevederile
articolului 17 alineatul (2) din Directiva 95/46/CE, la care adaugă elemente
noi, inclusiv faptul că o persoană împuternicită de către operator care
prelucrează date într-un alt mod decât cel prevăzut în instrucțiunile date de
operator trebuie considerată ca fiind un operator asociat.
|
|
Article 22 on processing under the
authority of the controller and processor follows Article 16 of Directive 95/46/EC.
|
Articolul 22 privind prelucrarea sub
autoritatea operatorului și a persoanei împuternicite de către operator reia
articolul 16 din Directiva 95/46/CE.
|
|
Article 23 introduces the obligation for
controllers and processors to maintain documentation of all processing systems
and procedures under their responsibility.
|
Articolul 23 introduce obligația pentru
operatori și persoanele împuternicite de către operator de a păstra
documentația referitoare la toate sistemele și procedurile de prelucrare aflate
în responsabilitatea lor.
|
|
Article 24 concerns the keeping of records,
in line with Article 10(1) of Framework Decision 2008/977, whilst providing further
clarifications.
|
Articolul 24 se referă la păstrarea
evidențelor, în conformitate cu articolul 10 alineatul (1) din Decizia-cadru 2008/977,
oferind, totodată, clarificări suplimentare.
|
|
Article 25 clarifies the obligations of the
controller and the processor regarding co-operation with the supervisory
authority.
|
Articolul 25 clarifică obligațiile
operatorului și ale persoanei împuternicite de către operator în ceea ce
privește cooperarea cu autoritatea de supraveghere.
|
|
Article 26 concerns the cases where
consultation with the supervisory authority is mandatory prior to the
processing, based on Article 23 of Framework Decision 2008/977/JHA.
|
Articolul 26 se referă la cazurile în care
consultarea cu autoritatea de supraveghere este obligatorie înainte de
prelucrare, în baza articolului 23 din Decizia-cadru 2008/977/JAI.
|
|
3.4.4.2.
SECTION 2 DATA SECURITY
|
3.4.4.2.
SECȚIUNEA 2 - SECURITATEA DATELOR
|
|
Article 27 on the security of processing is
based on the current Article 17(1) of Directive 95/46 on the security of
processing, and Article 22 of Framework Decision 2008/977/JHA, extending the
related obligations to processors, irrespective of their contract with the
controller.
|
Articolul 27 privind securitatea prelucrării
se bazează pe actualul articol 17 alineatul (1) din Directiva 95/46, care se
referă la securitatea prelucrării, și pe articolul 22 din Deciziacadru 2008/977/JAI,
care extinde obligațiile aferente la persoanele împuternicite de către
operator, indiferent de tipul de contract încheiat cu operatorul.
|
|
Articles 28 and 29 introduce an obligation
to notify personal data breaches, inspired by the personal data breach
notification in Article 4(3) of the e-Privacy Directive 2002/58/EC, clarifying
and separating the obligations to notify the supervisory authority (Article 28)
and to communicate, in qualified circumstances, to the data subject (Article 29).
Article 29 also provides for exemptions by referring to Article 11(4).
|
Articolele 28 și 29 introduc obligația de a
notifica încălcarea securității datelor cu caracter personal, inspirată de
notificarea încălcării securității datelor cu caracter personal prevăzută la
articolul 4 alineatul (3) din Directiva 2002/58/CE asupra confidențialității și
comunicațiilor electronice, care clarifică și separă obligațiile de a notifica
autoritatea de supraveghere (articolul 28) și de a informa, în anumite
circumstanțe, persoana vizată (articolul 29). Articolul 29 prevede, de
asemenea, derogări, făcându-se referire la articolul 11 alineatul (4).
|
|
3.4.4.3.
SECTION 3 DATA PROTECTION OFFICER
|
3.4.4.3.
SECȚIUNEA 3 - RESPONSABILUL CU PROTECȚIA DATELOR
|
|
Article 30 introduces an obligation for the
controller to appoint a mandatory data protection officer who should fulfil the
tasks listed in Article 32. Where several competent authorities are acting
under the supervision of a central authority, functioning as controller, at
least this central authority should designate such a data protection officer. Article
18(2) of Directive 95/46/EC provided the possibility for Member States to
introduce such requirement as a surrogate to the general notification
requirement of that Directive.
|
Articolul 30 introduce obligația operatorului
de a desemna un responsabil cu protecția datelor care ar trebui să
îndeplinească sarcinile enumerate la articolul 32. În cazul în care mai multe
autorități competente acționează sub supravegherea unei autorități centrale,
care are calitatea de operator, cel puțin această autoritate centrală ar trebui
să desemneze un astfel de responsabil cu protecția datelor. Articolul 18
alineatul (2) din Directiva 95/46/CE prevedea posibilitatea ca statele membre
să introducă o astfel de cerință în locul obligației de notificare generală
prevăzută de directiva menționată.
|
|
Article 31 sets out the standing of the
data protection officer.
|
Articolul 31 stabilește statutul
responsabilului cu protecția datelor.
|
|
Article 32 provides the tasks of the data
protection officer.
|
Articolul 32 prevede sarcinile responsabilului
cu protecția datelor.
|
|
3.4.5.
CHAPTER V - TRANSFER OF PERSONAL DATA TO THIRD
COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
3.4.5.
CAPITOLUL V - TRANSFERUL DATELOR CU CARACTER
PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE
|
|
Article 33 sets out the general principles
for data transfers to third countries or international organisations in the
area of police co-operation and judicial co-operation in criminal matters, including
onward transfers. It clarifies that transfers to third countries may take place
only if the transfer is necessary for the prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties..
|
Articolul 33 stabilește principiile generale
pentru transferurile de date către țări terțe sau organizații internaționale în
domeniul cooperării polițienești și judiciare în materie penală, inclusiv
transferurile ulterioare. Articolul clarifică faptul că transferurile către
țările terțe nu pot avea loc decât dacă acestea sunt necesare în scopul
prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor
sau al executării pedepselor.
|
|
Article 34 lays down that transfers to a
third country may take place in relation to which the Commission has adopted an
adequacy decision under Regulation …./../201X or specifically in the area of
police co-operation and judicial co-operation in criminal matters, or, in the
absence of such decisions, where appropriate safeguards are in place. As long
as adequacy decisions do not exist, the Directive ensures that transfers can
continue to take place on the basis of appropriate safeguards and derogations. It
furthermore sets out the criteria for the Commission’s assessment of an
adequate or not adequate level of protection, and expressly includes the rule
of law, judicial redress and independent supervision. The article also provides
for the possibility for the Commission to assess the level of protection
afforded by a territory or a processing sector within a third country. It
introduces that a general adequacy decision adopted, following the procedures
under Article 38 of the General Data Protection Regulation, shall be applicable
within the scope of this Directive. Alternatively an adequacy decision can be adopted
by the Commission exclusively for the purposes of this Directive.
|
Articolul 34 autorizează transferurile către o
țară terță în privința căreia Comisia a adoptat o decizie privind caracterul
adecvat al nivelului de protecție în temeiul Regulamentului …./../201X sau, în
mod specific, în domeniul cooperării polițienești și judiciare în materie
penală sau, în absența unei astfel de decizii, în cazul instituirii unor
garanții corespunzătoare. Atât timp cât nu există decizii privind caracterul
adecvat al nivelului de protecție, directiva asigură că transferurile pot
continua să aibă loc pe baza unor garanții și derogări corespunzătoare. În
plus, articolul stabilește criteriile pentru evaluarea Comisiei cu privire la
caracterul adecvat sau neadecvat al nivelului de protecție și include, în mod
expres, statul de drept, accesul la justiție și supravegherea independentă.
Articolul prevede, de asemenea, posibilitatea Comisiei de a evalua nivelul de
protecție asigurat de un teritoriu sau de un sector de prelucrare a datelor
într-o țară terță. Acesta introduce dispoziția conform căreia o decizie
generală privind caracterul adecvat al nivelului de protecție, adoptată în
conformitate cu procedurile prevăzute la articolul 38 din Regulamentul general
privind protecția datelor, este aplicabilă în cadrul domeniului de acțiune a
prezentei directive. Alternativ, o decizie privind caracterul adecvat al
nivelului de protecție poate fi adoptată de către Comisie doar în sensul prezentei
directive.
|
|
Article 35 defines the appropriate
safeguards needed prior to international transfers, in the absence of a
Commission adequacy decision. These safeguards may be adduced by a legally
binding instrument such as an international agreement. Alternatively, the data
controller may on the basis of an assessment of the circumstances surrounding
the transfer conclude that they exist.
|
Articolul 35 definește garanțiile
corespunzătoare necesare înainte de efectuarea transferurilor internaționale,
în absența unei decizii a Comisiei privind caracterul adecvat al nivelului de
protecție. Aceste garanții pot fi asigurate printr-un instrument cu forță
juridică obligatorie, cum ar fi un acord internațional. Alternativ, operatorul
de date poate concluziona că acestea există pe baza unei evaluări a
circumstanțelor aferente transferului.
|
|
Article 36 spells out the derogations for
data transfer based on Article 26 of Directive 95/46/EC and Article 13 of
Framework Decision 2008/977/JHA.
|
Articolul 36 definește derogările pentru transferul
de date efectuat în baza articolului 26 din Directiva 95/46/CE și a articolului
13 din Decizia-cadru 2008/977/JAI.
|
|
Article 37 obliges Member States to provide
that the controller informs the recipient of any processing restrictions and
takes all reasonable steps to ensure that these restrictions are met by
recipients of the personal data in the third country or international
organisation.
|
Articolul 37 obligă statele membre să prevadă
că operatorul informează destinatarul cu privire la orice restricții de
prelucrare și ia toate măsurile rezonabile pentru a se asigura că aceste
restricții sunt respectate de către destinatarii datelor cu caracter personal
în țara terță sau organizația internațională.
|
|
Article 38 explicitly provides for
international co-operation mechanisms for the protection of personal data
between the Commission and the supervisory authorities of third countries, in
particular those considered offering an adequate level of protection, taking
into account the OECD’s Recommendation on Cross-border Co-operation in the
Enforcement of Laws Protecting Privacy of 12 June 2007.
|
Articolul 38 prevede în mod explicit
instituirea unor mecanisme de cooperare internațională pentru protecția datelor
cu caracter personal între Comisie și autoritățile de supraveghere ale țărilor
terțe, în special cele considerate ca asigurând un nivel adecvat de protecție,
luând în considerare recomandarea din 12 iunie 2007 a Organizației pentru
Cooperare și Dezvoltare Economică (OCDE) privind cooperarea transfrontalieră în
aplicarea legislației privind protejarea confidențialității.
|
|
CHAPTER VI - NATIONAL SUPERVISORY
AUTHORITIES
|
CAPITOLUL VI
- AUTORITĂȚILE NAȚIONALE DE SUPRAVEGHERE
|
|
3.4.5.1.
SECTION 1 INDEPENDENT STATUS
|
3.4.5.1.
SECȚIUNEA 1 - STATUTUL INDEPENDENT
|
|
Article 39 obliges Member States to
establish supervisory authorities, following Article 28(1) of Directive
95/46/EC and Article 25 Framework Decision 2008/977/JHA, enlarging the mission
of these authorities to contribute to the consistent application of the Directive
throughout the Union, which may be the supervisory authority established under the
General Data Protection Regulation.
|
Articolul 39 prevede obligația statelor membre
de a institui autorități de supraveghere, în conformitate cu articolul 28
alineatul (1) din Directiva 95/46/CE și cu articolul 25 din Decizia-cadru 2008/977/JAI,
extinzând misiunea acestora pentru a contribui la aplicarea uniformă a
directivei în întreaga Uniune; această autoritate de supraveghere poate fi cea
instituită în temeiul Regulamentului general privind protecția datelor.
|
|
Article 40 clarifies the conditions for the
independence of supervisory authorities, implementing case law of the Court of
Justice of the EU[29], inspired also by Article 44 of Regulation (EC) No 45/2001[30].
|
Articolul 40 aduce clarificări cu privire la
condițiile de garantare a independenței autorităților de supraveghere, prin
aplicarea jurisprudenței Curții de Justiție a UE[29] și
inspirându-se, de asemenea, din articolul 44 din Regulamentul (CE) nr. 45/2001[30].
|
|
Article 41 provides general conditions for
the members of the supervisory authority, implementing the relevant case law[31], inspired also by Article 42(2)-(6) of Regulation (EC) 45/2001.
|
Articolul 41 prevede condițiile generale
aplicabile membrilor autorității de supraveghere, prin aplicarea jurisprudenței
relevante[31]
și inspirându-se, de asemenea, din articolul 42 alineatele (2) - (6) din
Regulamentul (CE) nr. 45/2001.
|
|
Article 42 sets out rules on the
establishment of the supervisory authority, including on conditions for its
members, to be provided by the Member States by law.
|
Articolul 42 stabilește norme privind
instituirea autorității de supraveghere, inclusiv privind condițiile aplicabile
membrilor săi, pe care statele membre trebuie să le prevadă pe cale
legislativă.
|
|
Article 43 on professional secrecy of the
members and staff of the supervisory authority follows Article 28(7) of
Directive 95/46/EC and Article 25(4) Framework Decision 2008/977/JHA.
|
Articolul 43 privind păstrarea secretului
profesional de către membrii și personalul autorității de supraveghere se
inspiră din articolul 28 alineatul (7) din Directiva 95/46/CE și din articolul 25
alineatul (4) Decizia-cadru 2008/977/JAI.
|
|
3.4.5.2.
SECTION 2 DUTIES AND POWERS
|
3.4.5.2.
SECȚIUNEA 2 - ATRIBUȚII ȘI COMPETENȚE
|
|
Article 44 sets out the competence of the
supervisory authorities, based on Article 28(6) of Directive 95/46/EC and
Article 25(1) Framework Decision 2008/977/JHA. Courts, when acting in their judicial
authority, are exempted from the monitoring by the supervisory authority, but
not from the application of the substantive rules on data protection.
|
Articolul 44 definește competența
autorităților de supraveghere, în baza articolului 28 alineatul (6) din
Directiva 95/46/CE și a articolului 25 alineatul (1) din Deciziacadru 2008/977/JAI.
Atunci când acționează în capacitatea lor judiciară, instanțele sunt exceptate
de la monitorizarea exercitată de către autoritatea de supraveghere, însă nu de
aplicarea normelor de fond în materie de protecție a datelor.
|
|
Article 45 provides the obligation of
Member States to provide for the duties of the supervisory authority, including
hearing and investigating complaints and promoting the awareness of the public
on risk, rules, safeguards and rights. A particular duty of the supervisory
authorities in the context of this Directive is, where direct access is refused
or restricted, to exercise the right of access on behalf of data subjects and
to check the lawfulness of the data processing.
|
Articolul 45 prevede obligația statelor membre
de a defini atribuțiile autorității de supraveghere, inclusiv primirea de
plângeri și investigarea acestora, precum și promovarea unor acțiuni de
sensibilizare a publicului cu privire la riscuri, norme, garanții și drepturi.
O atribuție specială a autorităților de supraveghere în contextul
prezentei directive este aceea conform căreia, în cazul în care accesul direct
este refuzat sau restricționat, exercită dreptul de acces în numele persoanelor
vizate și verifică legalitatea prelucrării datelor.
|
|
Article 46 provides the powers of the
supervisory authority, based on Article 28(3) of Directive 95/46/EC, Article
25(2) and (3) of Framework Decision 2008/977/JHA.Article 47 obliges the
supervisory authorities to draw up annual activity reports, based on Article
28(5) of Directive 95/46/EC.
|
Articolul 46 prevede competențele autorității
de supraveghere, în baza articolului 28 alineatul (3) din Directiva 95/46/CE,
a articolului 25 alineatele (2) și (3) din Deciziacadru 2008/977JAI.
Articolul 47 prevede obligația autorităților de supraveghere de a elabora
rapoarte anuale de activitate, în baza articolului 28 alineatul (5) din
Directiva 95/46/CE.
|
|
3.4.6.
CHAPTER VII – CO-OPERATION
|
3.4.6.
CAPITOLUL VII - COOPERAREA
|
|
Article 48 introduces rules on mandatory
mutual assistance whereas Article 28 (6)2 of Directive 95/46/EC provided simply
a general obligation to co-operate, without specifying further.
|
Articolul 48 introduce norme privind asistența
reciprocă obligatorie, în timp ce articolul 28 alineatul (6) paragraful al
doilea din Directiva 95/46/CE prevedea doar o obligație generală de a coopera,
fără a se aduce alte precizări.
|
|
Article 49 provides that the European Data
Protection Advisory Board, established by the General Data Protection
Regulation, exercises its tasks also in relation to processing activities within
the scope of this Directive. In order to provide complementary support, the
Commission will seek the advice of representatives of authorities competent for
the prevention, investigation, detection and prosecution of criminal penalties
of the Member States, as well as representatives of Europol and Eurojust, by
means of an expert group on the law-enforcement related aspects of data
protection.
|
Conform articolului 49, Comitetul european
pentru protecția datelor, instituit prin Regulamentul general privind protecția
datelor, își exercită, de asemenea, sarcinile în ceea ce privește activitățile
de prelucrare care intră în domeniul de aplicare a prezentei directive. În
vederea asigurării unui sprijin complementar, Comisia se va consulta cu
reprezentanți ai autorităților competente în materie de prevenire, detectare,
investigare și urmărire penală a infracțiunilor din statele membre, precum și
cu reprezentanți ai Europol și Eurojust, prin intermediul unui grup de experți
privind aspecte referitoare la aplicarea legii în domeniul protecției datelor.
|
|
3.4.7.
CHAPTER VIII - REMEDIES, LIABILITY AND SANCTIONS
|
3.4.7.
CAPITOLUL VIII - CĂI DE ATAC, RĂSPUNDERE ȘI
SANCȚIUNI
|
|
Article 50 provides the right of any data
subject to lodge a complaint with a supervisory authority, based on Article
28(4) of Directive 95/46/EC, and relates to any infringement of the Directive
in relation to the complainant. It also specifies the bodies, organisations or
associations which may lodge a complaint on behalf of the data subject and also
in case of a personal data breach independently of a data subject's complaint.
|
Articolul 50 prevede dreptul oricărei persoane
vizate de a depune o plângere la o autoritate de supraveghere, în baza
articolului 28 alineatul (4) din Directiva 95/46/CE, și se referă la orice
încălcare a directivei în raport cu reclamantul. De asemenea, acest articol
specifică organismele, organizațiile sau asociațiile care pot depune o plângere
în numele persoanei vizate și, de asemenea, în cazul unei încălcări a
securității datelor cu caracter personal, independent de plângerea înaintată de
o persoană vizată.
|
|
Article 51 concerns the right to a judicial
remedy against a supervisory authority. It builds on the general provision of
Article 28(3) of Directive 95/46/EC and provides specifically that the data
subject may launch a court action for obliging the supervisory authority to act
on a complaint.
|
Articolul 51 se referă la dreptul la o cale de
atac împotriva unei autorități de supraveghere. Acesta se bazează pe dispoziția
generală prevăzută la articolul 28 alineatul (3) din Directiva 95/46/CE și
prevede, în mod specific, că persoana vizată poate iniția o acțiune judiciară
pentru a obliga autoritatea de supraveghere să dea curs unei plângeri.
|
|
Article 52 concerns the right to a judicial
remedy against a controller or processor, based on Article 22 of Directive
95/46/EC and Article 20 of Framework Decision 2008/977/JHA.
|
Articolul 52 se referă la dreptul la o cale de
atac împotriva unui operator sau unei persoane împuternicite de către operator,
în baza articolului 22 din Directiva 95/46/CE și a articolului 20 din
Decizia-cadru 2008/977/JAI.
|
|
Article 53 introduces common rules for
court proceedings, including the rights of bodies, organisations or
associations to represent data subjects before the courts, and the right of
supervisory authorities to engage in legal proceedings. The obligation of
Member States to ensure rapid court actions is inspired by Article 18(1) of the
e-Commerce Directive 2000/31/EC[32].
|
Articolul 53 introduce norme comune aplicabile
acțiunilor în instanță, inclusiv dreptul organismelor, organizațiilor sau
asociațiilor de a reprezenta persoanele vizate în fața instanțelor și dreptul
autorităților de supraveghere de a acționa în justiție. Obligația statelor
membre de a asigura o soluționare rapidă a acțiunilor în justiție este
inspirată de articolul 18 alineatul (1) din Directiva 2000/31/CE privind
comerțul electronic[32].
|
|
Article 54 obliges Member States to provide
for the right to compensation. It builds on Article 23 of Directive 95/46/EC
and Article 19(1) of Framework Decision 2008/977/JHA, extends this right on
damages caused by processors and clarifies the liability of co-controllers and
co-processors.
|
Articolul 54 obligă statele membre să prevadă
dreptul la despăgubiri. Acesta se bazează pe articolul 23 din Directiva 95/46/CE
și pe articolul 19 alineatul (1) din Deciziacadru 2008/977/JAI, extinzând
acest drept pentru a cuprinde prejudiciile cauzate de operatori și clarifică
responsabilitatea operatorilor asociați și a persoanelor asociate împuternicite
de către operator.
|
|
Article 55 obliges Member States to lay
down rules on penalties, to sanction infringements of the Directive, and to
ensure their implementation.
|
Articolul 55 prevede obligația statelor membre
de a stabili norme privind sancțiunile aplicabile în cazul încălcării
dispozițiilor directivei și de a se asigura că acestea sunt puse în aplicare.
|
|
3.4.8.
CHAPTER IX – DELEGATED ACTS AND IMPLEMENTING
ACTS
|
3.4.8.
CAPITOLUL IX - ACTE DELEGATE ȘI ACTE DE PUNERE ÎN
APLICARE
|
|
Article 56 contains standard provisions for
the exercise of delegations in line with Article 290 TFEU. This allows the
legislator to delegate to the Commission the power to adopt non-legislative
acts of general application to supplement or amend certain non-essential
elements of a legislative act (quasi-legislative acts).
|
Articolul 56 conține dispoziții standard
privind exercitarea delegării în conformitate cu articolul 290 din TFUE. Acesta
din urmă autorizează legiuitorul să delege Comisiei competența de a adopta acte
fără caracter legislativ și cu domeniu de aplicare general, care completează sau
modifică anumite elemente neesențiale ale unui act legislativ (acte
„cvasilegislative”).
|
|
Article 57 contains the provision for the
Committee procedure needed for conferring implementing powers on the Commission
in cases where, in accordance with Article 291 TFEU, uniform conditions for
implementing legally binding acts of the Union are needed. The examination
procedure applies.
|
Articolul 57 cuprinde dispoziții privind
procedura comitetului necesară pentru a se acorda Comisiei competențe de
executare, în cazurile în care, în conformitate cu articolul 291 din TFUE, sunt
necesare condiții unitare de punere în aplicare a actelor obligatorii din punct
de vedere juridic ale Uniunii. În acest caz, se aplică procedura de examinare.
|
|
3.4.9.
CHAPTER X – FINAL PROVISIONS
|
3.4.9.
CAPITOLUL X - DISPOZIȚII FINALE
|
|
Article 58 repeals Framework Decision
2008/977/JHA.
|
Articolul 58 abrogă Decizia-cadru 2008/977/JAI.
|
|
Article 59 sets out that specific
provisions with regard to the processing of personal data by competent authorities
for the purposes of prevention, investigation,
detection or prosecution of criminal offences or the execution of criminal
penalties in Union acts, regulating the processing of
personal data or the access to information systems within the scope of the
Directive, and adopted prior to the adoption of this Directive, remain
unaffected.
|
Articolul 59 prevede că dispozițiile specifice
cu privire la prelucrarea datelor cu caracter personal de către autoritățile
competente în scopul prevenirii, identificării, investigării sau urmăririi
penale a infracțiunilor sau al executării pedepselor, prevăzute în acte ale
Uniunii, care reglementează prelucrarea datelor cu caracter personal sau
accesul la sisteme de informații care intră în domeniul de aplicare a prezentei
directive, și care au fost adoptate înainte de adoptarea prezentei directive,
rămân neschimbate.
|
|
Article 60 clarifies the relationship of
this Directive with previously concluded international agreements by Member
States in the field of judicial co-operation in criminal matters and police
co-operation.
|
Articolul 60 clarifică relația dintre prezenta
directivă și acordurile internaționale încheiate anterior cu statele membre în
domeniul cooperării judiciare în materie penală și al cooperării polițienești.
|
|
Article 61 provides for the obligation of
the Commission to evaluate and report on the implementation of the Directive,
in order to assess the need to align the previously adopted specific provisions
referred to in Article 59 with this Directive.
|
Articolul 61 prevede obligația Comisiei de a
evalua punerea în aplicare a directivei și de a prezenta rapoarte cu privire la
aceasta, în vederea evaluării necesității de a alinia dispozițiile specifice
adoptate anterior, menționate la articolul 59, la prezenta directivă.
|
|
Article 62 sets out the obligation of the
Member States to transpose the Directive in their national law and notify to
the Commission the provisions adopted pursuant to the Directive.
|
Articolul 62 prevede obligația statelor membre
de a transpune directiva în legislația lor națională și de a informa Comisia cu
privire la dispozițiile adoptate în temeiul directivei.
|
|
Article 63 determines the date of the entry
into force of the Directive.
|
Articolul 63 stabilește data intrării în
vigoare a directivei.
|
|
Article 64 lays down the addressees of this
Directive.
|
Articolul 64 desemnează destinatarii prezentei
directive.
|
|
4. BUDGETARY IMPLICATIONS
|
4. IMPLICAȚII BUGETARE
|
|
The legislative financial statement
accompanying the proposal for the General Data Protection Regulation covers the
budgetary impacts for the Regulation and this Directive.
|
Fișa financiară legislativă care însoțește
propunerea de regulament general privind protecția datelor acoperă impacturile
bugetare ale regulamentului și ale prezentei directive.
|
|
2012/0010 (COD)
|
2012/0010 (COD)
|
|
Proposal for a
|
Propunere de
|
|
DIRECTIVE OF THE EUROPEAN PARLIAMENT
AND OF THE COUNCIL
|
DIRECTIVĂ A PARLAMENTULUI EUROPEAN ŞI A
CONSILIULUI
|
|
on the protection of individuals with
regard to the processing of personal data by competent authorities for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties, and the free movement of such
data
|
privind protecția persoanelor fizice
referitor la prelucrarea datelor cu caracter personal de către autoritățile
competente în scopul prevenirii, identificării, investigării sau urmăririi
penale a infracțiunilor sau al executării pedepselor și la libera circulație a
acestor date
|
|
THE EUROPEAN PARLIAMENT AND THE
COUNCIL OF THE EUROPEAN EUROPEAN UNION,
|
PARLAMENTUL EUROPEAN ȘI CONSILIUL
UNIUNII EUROPENE,
|
|
Having regard to the Treaty on the
Functioning of the European Union, and in particular Article 16(2) thereof,
|
având în vedere Tratatul privind funcționarea
Uniunii Europene, în special articolul 16 alineatul (2),
|
|
Having regard to the proposal from the
European Commission,
|
având în vedere propunerea Comisiei Europene,
|
|
After transmission of the draft legislative
act to the national Parliaments,
|
după transmiterea proiectului de act
legislativ către parlamentele naționale,
|
|
After consulting the European Data
Protection Supervisor[33],
|
după consultarea Autorității Europene pentru
Protecția Datelor[33],
|
|
Acting in accordance with the ordinary
legislative procedure,
|
hotărând în conformitate cu procedura
legislativă ordinară,
|
|
Whereas:
|
întrucât:
|
|
(1)
The protection of natural persons in relation to
the processing of personal data is fundamental right. Article 8(1) of the
Charter of Fundamental Rights of the European Union and Article 16(1) of the
Treaty of the Functioning of the European Union lay down that everyone has the
right to the protection of personal data concerning him or her.
|
(1)
Protecția persoanelor fizice în ceea ce privește
prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8
alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene și
articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene
prevăd că orice persoană are dreptul la protecția datelor cu caracter personal
care o privesc.
|
|
(2)
The processing of personal data is designed to
serve man; the principles and rules on the protection of individuals with
regard to the processing of their personal data should, whatever the
nationality or residence of natural persons, respect their fundamental rights
and freedoms, notably their right to the protection of personal data. It should
contribute to the accomplishment of an area of freedom, security and justice.
|
(2)
Prelucrarea datelor cu caracter personal este în
serviciul cetățeanului; principiile și normele privind protecția persoanelor
fizice referitor la prelucrarea datelor cu caracter personal ar trebui,
indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să
respecte drepturile și libertățile fundamentale ale acestora, în special
dreptul la protecția datelor cu caracter personal. Aceasta ar trebui să
contribuie la realizarea unui spațiu de libertate, securitate și justiție.
|
|
(3)
Rapid technological developments and
globalisation have brought new challenges for the protection of personal data.
The scale of data collection and sharing has increased spectacularly.
Technology allows competent authorities to make use of personal data on an
unprecedented scale in order to pursue their activities.
|
(3)
Evoluțiile tehnologice rapide și globalizarea au
generat noi provocări pentru protecția datelor cu caracter personal. Amploarea
colectării și a schimbului și de date a crescut spectaculos. Tehnologia permite
autorităților competente să utilizeze date cu caracter personal la un nivel
fără precedent în cadrul activităților lor.
|
|
(4)
This requires facilitating the free flow of data
between competent authorities within the Union and the transfer to third
countries and international organisations, while ensuring a high level of
protection of personal data. These developments require building a strong and
more coherent data protection framework in the Union, backed by strong
enforcement.
|
(4)
Această evoluție necesită facilitarea liberei
circulații a datelor între autoritățile competente în cadrul Uniunii și a
transferului către țări terțe și organizații internaționale, asigurând,
totodată, un nivel ridicat de protecție a datelor cu caracter personal. Aceste
evoluții impun construirea unui cadru solid și mai coerent în materie de protecție
a datelor în Uniune, însoțit de o aplicare riguroasă a normelor.
|
|
(5)
Directive 95/46/EC of the European Parliament
and of the Council of 24 October 1995 on the protection of individuals with
regard to the processing of personal data and on the free movement of such data[34] applies to all personal data
processing activities in Member States in both the public and the private
sectors. However, it does not apply to the processing of personal data 'in the
course of an activity which falls outside the scope of Community law', such as
activities in the areas of judicial co-operation in criminal matters and police
co-operation.
|
(5)
Directiva 95/46/CE a Parlamentului European și a
Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea
ce privește prelucrarea datelor cu caracter personal și libera circulație a
acestor date[34]
se aplică tuturor activităților de prelucrare a datelor cu caracter personal în
statele membre, atât în sectorul public, cât și în cel privat. Cu toate
acestea, directiva menționată nu se aplică prelucrării datelor cu caracter
personal „puse în practică pentru exercitarea activităților din afara
domeniului de aplicare a dreptului comunitar”, cum ar fi activitățile în
domeniul cooperării judiciare în materie penală și al cooperării polițienești.
|
|
(6)
Council Framework Decision 2008/977/JHA of 27
November 2008 on the protection of personal data processed in the framework of
police and judicial co-operation in criminal matters[35] applies in the areas of
judicial co-operation in criminal matters and police co-operation. The scope of
application of this Framework Decision is limited to the processing of personal
data transmitted or made available between Member States.
|
(6)
Decizia-cadru 2008/977/JAI a Consiliului din 27
noiembrie 2008 privind protecția datelor cu caracter personal prelucrate în
cadrul cooperării polițienești și judiciare în materie penală[35] se
aplică în domeniul cooperării judiciare în materie penală și al cooperării
polițienești. Domeniul de aplicare a prezentei decizii-cadru este limitat la
prelucrarea datelor cu caracter personal transmise sau puse la dispoziție între
statele membre.
|
|
(7)
Ensuring a consistent and high level of
protection of the personal data of individuals and facilitating the exchange of
personal data between competent authorities of Members States is crucial in
order to ensure effective judicial co-operation in criminal matters and police
cooperation. To that aim, the level of protection of the rights and freedoms of
individuals with regard to the processing of personal data by competent
authorities for the purposes of prevention, investigation, detection or
prosecution of criminal offences or the execution of criminal penalties must be
equivalent in all Member States. Effective protection of personal data
throughout the Union requires strengthening the rights of data subjects and the
obligations of those who process personal data, but also equivalent powers for
monitoring and ensuring compliance with the rules for the protection of
personal data in the Member States.
|
(7)
Asigurarea unui nivel omogen și ridicat de
protecție a datelor cu caracter personal ale persoanelor fizice și facilitarea
schimbului de date cu caracter personal între autoritățile competente ale
statelor membre sunt esențiale pentru a se garanta eficacitatea cooperării
judiciare în materie penală și a cooperării polițienești. În acest scop,
nivelul de protecție a drepturilor și libertăților persoanelor fizice în ceea
ce privește prelucrarea datelor cu caracter personal de către autoritățile
competente în scopul prevenirii, identificării, investigării sau urmăririi
penale a infracțiunilor sau al executării pedepselor trebuie să fie echivalent
în toate statele membre. Protecția efectivă a datelor cu caracter personal în
întreaga Uniune necesită nu numai consolidarea drepturilor persoanelor vizate
și a obligațiilor celor care prelucrează date cu caracter personal, ci și
competențe echivalente pentru monitorizarea și asigurarea conformității cu
normele în materie de protecție a datelor cu caracter personal în statele
membre.
|
|
(8)
Article 16(2) of the Treaty on the Functioning
of the European Union provides that the European Parliament and the Council should
lay down the rules relating to the protection of individuals with regard to the
processing of personal data and the rules relating to the free movement of
personal data.
|
(8)
Articolul 16 alineatul (2) din Tratatul privind
funcționarea Uniunii Europene prevede că Parlamentul European și Consiliul ar
trebui să stabilească normele privind protecția persoanelor fizice referitor la
prelucrarea datelor cu caracter personal, precum și normele privind libera
circulație a acestor date.
|
|
(9)
On that basis, Regulation EU …../2012 of the
European Parliament and of the Council on the protection of individuals with
regard to the processing of personal data and on the free movement of such data
(General Data Protection Regulation) lays down general rules to protect of
individuals in relation to the processing of personal data and to ensure the
free movement of personal data within the Union.
|
(9)
Pe această bază, Regulamentul UE …../2012 al
Parlamentului European și al Consiliului privind protecția persoanelor fizice
referitor la prelucrarea datelor cu caracter personal și libera circulație a
acestor date (Regulament general privind protecția datelor) stabilește normele
generale pentru protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și garantarea liberei circulații a acestor date în
cadrul Uniunii.
|
|
(10)
In Declaration 21 on the protection of personal
data in the fields of judicial co-operation in criminal matters and police co-operation,
annexed to the final act of the intergovernmental conference which adopted the
Treaty of Lisbon, the Conference acknowledged that specific rules on the
protection of personal data and the free movement of such data in the fields of
judicial co-operation in criminal matters and police co-operation based on
Article 16 of the Treaty on the Functioning of the European Union may prove
necessary because of the specific nature of these fields.
|
(10)
În Declarația 21 cu privire la protecția datelor cu
caracter personal în domeniul cooperării judiciare în materie penală și al
cooperării polițienești, anexată la actul final al Conferinței
interguvernamentale care a adoptat Tratatul de la Lisabona, Conferința a
recunoscut că normele specifice privind protecția datelor cu caracter personal
și libera circulație a acestor date în domeniul cooperării judiciare în materie
penală și al cooperării polițienești în temeiul articolului 16 din Tratatul
privind funcționarea Uniunii Europene s-ar putea dovedi necesare, având în
vedere natura specifică a acestor domenii.
|
|
(11)
Therefore a distinct Directive should meet the
specific nature of these fields and lay down the rules relating to the
protection of individuals with regard to the processing of personal data by
competent authorities for the purposes of prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties.
|
(11)
Prin urmare, o directivă distinctă ar trebui să fie
adaptată naturii specifice a acestor domenii și să stabilească normele privind
protecția persoanelor fizice referitor la prelucrarea datelor cu caracter
personal, de către autoritățile competente în scopul prevenirii, identificării,
investigării sau urmăririi penale a infracțiunilor sau al executării
pedepselor.
|
|
(12)
In order to ensure the same level of protection
for individuals through legally enforceable rights throughout the Union and to
prevent divergences hampering the exchange of personal data between competent
authorities, the Directive should provide harmonised rules for the protection
and the free movement of personal data in the areas of judicial co-operation in
criminal matters and police co-operation.
|
(12)
În vederea asigurării aceluiași nivel de protecție
pentru persoanele fizice prin drepturi garantate din punct de vedere juridic în
întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică schimbul de
date cu caracter personal între autoritățile competente, directiva ar trebui să
prevadă norme armonizate pentru protecția și libera circulație a datelor cu
caracter personal în domeniul cooperării judiciare în materie penală și al
cooperării polițienești.
|
|
(13)
This Directive allows the principle of public
access to official documents to be taken into account when applying the
provisions set out in this Directive.
|
(13)
Prezenta directivă permite luarea în considerare a
principiului accesului publicului la documentele oficiale, în aplicarea
dispozițiilor prevăzute de aceasta.
|
|
(14)
The protection afforded by this Directive should
concern natural persons, whatever their nationality or place of residence, in
relation to the processing of personal data.
|
(14)
Protecția conferită de prezenta directivă ar trebui
să vizeze persoanele fizice, indiferent de cetățenia sau de locul de reședință
al acestora, în ceea ce privește prelucrarea datelor cu caracter personal.
|
|
(15)
The protection of individuals should be
technological neutral and not depend on the techniques used; otherwise this
would create a serious risk of circumvention. The protection of individuals
should apply to processing of personal data by automated means, as well as to
manual processing if the data are contained or are intended to be contained in
a filing system. Files or sets of files as well as their cover pages, which are
not structured according to specific criteria, should not fall within the scope
of this Directive. This Directive should not apply to the processing of
personal data in the course of an activity which falls outside the scope of
Union law, in particular concerning national security, or to data processed by
the Union institutions, bodies, offices and agencies, such as Europol or
Eurojust.
|
(15)
Protecția persoanelor fizice ar trebui să fie
neutră din punct de vedere tehnologic și să nu depindă de tehnicile utilizate,
în caz contrar, creându-se un risc serios de eludare. Protecția persoanelor
fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin
mijloace automate, precum și prelucrării manuale, în cazul în care datele sunt
cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau
seturile de dosare, precum și copertele acestora, care nu sunt structurate în
conformitate cu criterii specifice, nu ar trebui să intre în domeniul de
aplicare a prezentei directive. Aceasta nu ar trebui să se aplice prelucrării
datelor cu caracter personal în cadrul unei activități care nu intră în
domeniul de aplicare a dreptului Uniunii, în special privind securitatea
națională, nici prelucrării datelor efectuate de către instituțiile,
organismele, oficiile și agențiile Uniunii, cum ar fi Europol sau Eurojust.
|
|
(16)
The principles of protection should apply to any
information concerning an identified or identifiable natural person. To
determine whether a natural person is identifiable, account should be taken of all
the means likely reasonably to be used either by the controller or by any other
person to identify the individual. The principles of data protection should not
apply to data rendered anonymous in such a way that the data subject is no
longer identifiable.
|
(16)
Principiile protecției ar trebui să se aplice
oricărei informații referitoare la o persoană identificată sau identificabilă.
Pentru a se stabili dacă o persoană fizică este identificabilă, ar trebui să se
ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie
de către operator, fie de către orice altă persoană în scopul identificării
persoanei fizice respective. Principiile protecției datelor nu ar trebui să se
aplice datelor anonimizate astfel încât persoana vizată să nu mai fie
identificabilă.
|
|
(17)
Personal data relating to health should include
in particular all data pertaining to the health status of a data subject,
information about the registration of the individual for the provision of
health services; information about payments or eligibility for healthcare with
respect to the individual; a number, symbol or particular assigned to an
individual to uniquely identify the individual for health purposes; any
information about the individual collected in the course of the provision of
health services to the individual; information derived from the testing or
examination of a body part or bodily substance, including biological samples;
identification of a person as provider of healthcare to the individual; or any
information on, for example; a disease, disability, disease risk, medical
history, clinical treatment, or the actual physiological or biomedical state of
the data subject independent of its source, e.g. from a physician or other
health professional, a hospital, a medical device, or an in vitro diagnostic
test.
|
(17)
Datele cu caracter personal referitoare la sănătate
ar trebui să includă, în special, toate datele având legătură cu starea de
sănătate a persoanei vizate; informații privind înscrierea persoanei pentru
acordarea de servicii medicale; informații privind plățile pentru asistență
medicală efectuate de persoana fizică sau privind eligibilitatea acesteia
pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv
atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri
medicale; orice informații privind persoana fizică respectivă colectate în
cadrul furnizării de servicii de sănătate pentru aceasta; informații rezultate
din testarea sau examinarea unei părți a corpului sau a unei substanțe
corporale, inclusiv eșantioane de material biologic; identificarea unei
persoane ca furnizor de asistență medicală pentru persoana fizică respectivă
sau orice informații privind, de exemplu, o boală, un handicap, un risc de
îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul
clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate,
indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru
medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
|
|
(18)
Any processing of personal data must be fair and
lawful in relation to the individuals concerned. In particular, the specific
purposes for which the data are processed should be explicit.
|
(18)
Orice prelucrare a datelor cu caracter personal
trebuie să fie echitabilă și legală în raport cu persoanele vizate. În special,
scopul specific pentru care sunt prelucrate datele ar trebui să fie explicit.
|
|
(19)
For the prevention, investigation and
prosecution of criminal offences, it is necessary for competent authorities to
retain and process personal data, collected in the context of the prevention,
investigation, detection or prosecution of specific criminal offences beyond
that context to develop an understanding of criminal phenomena and trends, to
gather intelligence about organised criminal networks, and to make links
between different offences detected.
|
(19)
Pentru prevenirea, cercetarea și urmărirea penală a
infracțiunilor, autoritățile competente trebuie să păstreze și să prelucreze
datele cu caracter personal colectate în contextul prevenirii, identificării,
investigării sau urmăririi penale a anumitor infracțiuni penale dincolo de
acest context pentru a înțelege mai bine fenomenele și tendințele
infracționale, pentru a culege informații despre rețelele de crimă organizată
și pentru a face legături între diferitele infracțiuni constatate.
|
|
(20)
Personal data should not be processed for
purposes incompatible with the purpose for which it was collected. Personal
data should be adequate, relevant and not excessive for the purposes for which
the personal data are processed. Every reasonable step should be taken to
ensure that personal data which are inaccurate should be rectified or erased.
|
(20)
Datele cu caracter personal nu ar trebui prelucrate
în scopuri considerate incompatibile cu scopul în care au fost colectate.
Datele cu caracter personal ar trebui să fie adecvate, relevante și neexcesive
în ceea ce privește scopurile în care sunt prelucrate datele cu caracter
personal. Ar trebui luate toate măsurile rezonabile pentru a se asigura
rectificarea sau ștergerea datelor cu caracter personal care sunt inexacte.
|
|
(21)
The principle of accuracy of data should be
applied taking account of the nature and purpose of the processing concerned.
In particular in judicial proceedings, statements containing personal data are
based on the subjective perception of individuals and are in some cases not
always verifiable. Consequently, the requirement of accuracy should not
appertain to the accuracy of a statement but merely to the fact that a specific
statement has been made.
|
(21)
Principiul exactității datelor ar trebui aplicat
luând în considerare natura și scopul prelucrării în cauză. În special în
cadrul procedurilor judiciare, declarațiile care conțin date cu caracter
personal se bazează pe o percepție subiectivă a persoanelor fizice și nu sunt
întotdeauna verificabile. În consecință, acest principiu nu ar trebui să se
aplice exactității unei declarații, ci doar faptului că o anumită declarație a
fost făcută.
|
|
(22)
In the interpretation and application of the
general principles relating to personal data processing by competent
authorities for the purposes of prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties, account should be taken of the
specificities of the sector, including the specific objectives pursued.
|
(22)
În interpretarea și aplicarea principiilor generale
referitoare la prelucrarea datelor cu caracter personal de către autoritățile
competente în scopul prevenirii, identificării, investigării sau urmăririi
penale a infracțiunilor sau al executării pedepselor, ar trebui să se țină
seama de specificul sectorului, inclusiv de obiectivele specifice urmărite.
|
|
(23)
It is inherent to the processing of personal data
in the areas of judicial co-operation in criminal matters and police
co-operation that personal data relating to different categories of data
subjects are processed. Therefore a clear distinction should as far as possible
be made between personal data of different categories of data subjects such as suspects,
persons convicted of a criminal offence, victims and third parties, such as
witnesses, persons possessing relevant information or contacts and associates
of suspects and convicted criminals.
|
(23)
Prelucrarea datelor cu caracter personal în
domeniul cooperării judiciare în materie penală și al cooperării polițienești
presupune prelucrarea datelor cu caracter personal referitoare la diferite
categorii de persoane. Prin urmare, ar trebui să se facă o distincție cât mai
clară între datele cu caracter personal ale diferitelor categorii de persoane
vizate, cum ar fi suspecții, persoanele condamnate pentru comiterea unei
infracțiuni, victimele și părțile terțe, cum ar fi martorii, persoanele care
dețin informații sau contacte relevante și complicii suspecților și ai
infractorilor condamnați.
|
|
(24)
As far as possible personal data should be
distinguished according to the degree of their accuracy and reliability. Facts
should be distinguished from personal assessments, in order to ensure both the
protection of individuals and the quality and reliability of the information
processed by the competent authorities.
|
(24)
Pe cât posibil, datele cu caracter personal ar
trebui diferențiate în funcție de gradul de exactitate și fiabilitate. Ar
trebui să se facă diferența între fapte și evaluări cu caracter personal,
pentru a garanta atât protecția persoanelor fizice, cât și calitatea și
fiabilitatea informațiilor prelucrate de autoritățile competente.
|
|
(25)
In order to be lawful, the processing of
personal data should be necessary for compliance with a legal obligation to
which the controller is subject, for the performance of a task carried out in
the public interest by a competent authority based on law or in order to
protect the vital interests of the data subject or of another person, or for
the prevention of an immediate and serious threat to public security.
|
(25)
Pentru a fi legală, prelucrarea datelor cu caracter
personal ar trebui să fie necesară pentru respectarea unei obligații legale
care incumbă operatorului, pentru îndeplinirea unei sarcini de interes public
de către o autoritate competentă în temeiul legii sau în scopul protejării
intereselor vitale ale persoanei vizate sau ale unei alte persoane, sau în
scopul prevenirii unei amenințări imediate și grave la adresa securității
publice.
|
|
(26)
Personal data which are, by their nature,
particularly sensitive in relation to fundamental rights or privacy, including
genetic data, deserve specific protection. Such data should not be processed,
unless processing is specifically authorised by a law which provides for
suitable measures to safeguard the data subject's legitimate interests; or
processing is necessary to protect the vital interests of the data subject or
of another person; or the processing
relates to data which are manifestly made public by the data subject.
|
(26)
Datele cu caracter personal care sunt, prin natura
lor, deosebit de sensibile în ceea ce privește drepturile fundamentale sau
viața privată, inclusiv datele genetice, necesită o protecție specifică. Astfel
de date nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este
în mod expres permisă de o lege care prevede măsuri corespunzătoare pentru
protejarea intereselor legitime ale persoanei vizate; sau prelucrarea este
necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale
altei persoane; sau prelucrarea se referă la date care sunt făcute publice în
mod manifest de persoana vizată.
|
|
(27)
Every natural person should have the right not
to be subject to a measure which is based solely on automated processing if it produces
an adverse legal effect for that person, unless authorised by law and subject
to suitable measures to safeguard the data subject’s legitimate interests.
|
(27)
Fiecare persoană fizică ar trebui să aibă dreptul
de a nu face obiectul unei măsuri care se bazează exclusiv pe prelucrarea
automată dacă aceasta aduce prejudicii în plan juridic pentru persoana
respectivă, cu excepția cazului în care respectiva măsură este permisă de lege
și sub rezerva unor măsuri adecvate de protejare a intereselor legitime ale
persoanei vizate.
|
|
(28)
In order to exercise their rights, any
information to the data subject should be easily accessible and easy to
understand, including the use of clear and plain language.
|
(28)
Pentru ca persoanele vizate să își poată exercita
drepturile, toate informațiile care le sunt adresate trebuie să fie ușor
accesibile și ușor de înțeles, limbajul folosit fiind simplu și clar.
|
|
(29)
Modalities should be provided for facilitating
the data subject’s exercise of their rights under this Directive, including
mechanisms to request, free of charge, in particular access to data,
rectification and erasure. The controller should be obliged to respond to
requests of the data subject without undue delay.
|
(29)
Ar trebui prevăzute modalități pentru a facilita
exercitarea, de către persoana vizată, a drepturilor pe care i le conferă
prezenta directivă, printre care se numără în special mecanismele prin care
poate solicita, în mod gratuit, accesul la date, rectificarea și ștergerea
acestora. Operatorul ar trebui să fie obligat să răspundă cererilor persoanei
vizate fără întârzieri nejustificate.
|
|
(30)
The principle of fair processing requires that
the data subjects should be informed in particular of the existence of the
processing operation and its purposes, how long the data will be stored, on the
existence of the right of access, rectification or erasure and on the right to
lodge a complaint. Where the data are collected from the data subject, the data
subject should also be informed whether they are obliged to provide the data
and of the consequences, in cases they do not provide such data.
|
(30)
Conform principiului prelucrării echitabile,
persoanele vizate ar trebui să fie informate, în special, cu privire la
existența unei operațiuni de prelucrare și la scopurile acesteia, la durata
stocării datelor, la existența dreptului de acces, de rectificare sau ștergere
a datelor și la dreptul de a înainta o plângere. Atunci când datele sunt
colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă
are obligația de a furniza datele și care sunt consecințele în cazul unui
refuz.
|
|
(31)
The information in relation to the processing of
personal data relating to the data subject should be given to them at the time
of collection, or, where the data are not obtained from the data subject, at
the time of the recording or within a reasonable period after the collection
having regard to the specific circumstances in which the data are processed.
|
(31)
Informațiile în legătură cu prelucrarea datelor cu
caracter personal ar trebui oferite persoanei vizate în momentul colectării
acestor date, sau, în cazul în care datele nu sunt obținute de la persoana
vizată, în momentul în care sunt înregistrate sau într-o perioadă de timp
rezonabilă după colectare, având în vedere circumstanțele specifice ale
prelucrării datelor.
|
|
(32)
Any person should have the right of access to
data which has been collected concerning them, and to exercise this right
easily, in order to be aware of and verify the lawfulness of the processing.
Every data subject should therefore have the right to know about and obtain
communication in particular of the purposes for which the data are processed,
for what period, which recipients receive the data, including in third
countries Data subjects should be allowed to receive a copy of their personal data
which are being processed.
|
(32)
Orice persoană ar trebui să aibă drept de acces la
datele colectate care o privesc și ar trebui să își exercite acest drept cu
ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica
legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă
dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt
prelucrate datele, pentru ce perioadă, care este identitatea destinatarilor
datelor, inclusiv în țările terțe. Persoanele vizate ar trebui să aibă dreptul
de a primi o copie a datelor lor cu caracter personal care sunt prelucrate.
|
|
(33)
Member States should be allowed to adopt
legislative measures delaying, restricting or omitting the information of data
subjects or the access to their personal data to the extent that and as long as
such partial or complete restriction constitutes a necessary and proportionate
measure in a democratic society with due regard for the legitimate interests of
the person concerned, to avoid obstructing official or legal inquiries,
investigations or procedures, to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or for the execution of
criminal penalties, to protect public security or national security, or, to
protect the data subject or the rights and freedoms of others.
|
(33)
Statele membre ar trebui să aibă posibilitatea de a
adopta măsuri legislative în vederea amânării, a restricționării parțiale sau
totale a informării persoanelor vizate sau a accesului la datele lor cu caracter
personal în măsura în care o astfel de restricționare parțială sau totală
constituie o măsură necesară și proporțională într-o societate democratică,
ținând seama de interesele legitime ale persoanei vizate, pentru a se evita
obstrucționarea cercetărilor, a anchetelor sau a procedurilor oficiale sau
judiciare, pentru a nu se afecta măsurile de prevenire, identificare,
investigare sau urmărire penală a infracțiunilor sau executarea pedepselor,
pentru a se proteja securitatea publică sau securitatea națională ori pentru a
se proteja persoana vizată sau drepturile și libertățile altor persoane.
|
|
(34)
Any refusal or restriction of access should be
set out in writing to the data subject including the factual or legal reasons
on which the decision is based.
|
(34)
Orice refuz sau restricționare a accesului ar
trebui prezentat în scris persoanei vizate, precizându-se motivele de fapt și
de drept pe care se bazează decizia.
|
|
(35)
Where Member States have adopted legislative
measures restricting wholly or partly the right to access, the data subject should
have the right to request that the competent national supervisory authority
checks the lawfulness of the processing. The data subject should be informed of
this right. When access is exercised by the supervisory authority on behalf of
the data subject, the data subject should be informed by the supervisory
authority at least that all necessary verifications by the supervisory
authority have taken place and of the result as regards to the lawfulness of
the processing in question.
|
(35)
În cazul în care statele membre au adoptat măsuri
legislative care limitează total sau parțial dreptul de acces, persoana vizată
ar trebui să aibă dreptul de a solicita autorității naționale de supraveghere
competente să verifice legalitatea prelucrării datelor. Persoana vizată trebuie
să fie informată cu privire la acest drept. Atunci când dreptul de acces este
exercitat de către autoritatea de supraveghere în numele persoanei vizate,
autoritatea de supraveghere ar trebui cel puțin să informeze persoana vizată că
toate verificările necesare au avut loc și să îi comunice dacă prelucrarea
respectivă este legală sau nu.
|
|
(36)
Any person should have the right to have inaccurate
personal data concerning them rectified and the right of erasure where the
processing of such data is not in compliance with the main principles laid down
in this Directive. Where the personal data are processed in the course of a criminal
investigation and proceedings,, rectification, the rights of information,
access, erasure and restriction of processing may be carried out in accordance
with national rules on judicial proceedings.
|
(36)
Orice persoană ar trebui să aibă dreptul de a
obține rectificarea datelor cu caracter personal inexacte care o privesc și
dreptul de eliminare a datelor în cazul în care prelucrarea datelor respective
nu este în conformitate cu principiile de bază prevăzute în prezenta directivă.
În cazul în care datele cu caracter personal sunt prelucrate în cadrul unei
anchete și a unor proceduri judiciare, rectificarea, dreptul la informare,
dreptul de acces, dreptul de ștergere și de restricționare a prelucrării pot fi
exercitate în conformitate cu normele naționale privind procedurile judiciare.
|
|
(37)
Comprehensive responsibility and liability of
the controller for any processing of personal data carried out by the
controller or on the controller's behalf should be established. In particular,
the controller should ensure the compliance of processing operations with the
rules adopted pursuant to this Directive.
|
(37)
Ar trebui prevăzută responsabilitatea și
răspunderea generală a operatorului pentru orice prelucrare a datelor cu
caracter personal efectuată de către acesta sau în numele său. În special,
operatorul ar trebui să asigure conformitatea operațiunilor de prelucrare cu
normele adoptate în conformitate cu prezenta directivă.
|
|
(38)
The protection of the rights and freedoms of
data subjects with regard to the processing of personal data requires that
appropriate technical and organisational measures be taken to ensure that the
requirements of the Directive are met. In order to ensure compliance with the
provisions adopted pursuant to this Directive, the controller should adopt
policies and implement appropriate measures, which meet in particular the
principles of data protection by design and data protection by default.
|
(38)
Protecția drepturilor și libertăților persoanelor vizate în ceea ce
privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri
tehnice și organizatorice corespunzătoare pentru a se asigura îndeplinirea
cerințelor din prezenta directivă. Pentru a asigura respectarea dispozițiilor
adoptate în conformitate cu prezenta directivă, controlorul ar trebui să adopte
politici și să pună în aplicare măsuri adecvate, care respectă, în special,
principiile de protecție a datelor începând cu momentul conceperii și protecție
implicită a datelor.
|
|
(39)
The protection of the rights and freedoms of
data subjects as well as the responsibility and liability of controllers and
processors requires a clear attribution of the responsibilities under this
Directive, including where a controller determines the purposes, conditions and
means of the processing jointly with other controllers or where a processing
operation is carried out on behalf of a controller.
|
(39)
Protecția drepturilor și a libertăților
persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și
a persoanelor împuternicite de către operator necesită o atribuire clară a
responsabilităților în temeiul prezentei directive, inclusiv în cazul în care
un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună
cu alți operatori sau în cazul în care o operațiune de prelucrare este
efectuată în numele unui operator.
|
|
(40)
Processing activities should be documented by
the controller or processor, in order to monitor compliance with this
Directive. Each controller and processor should be obliged to co-operate with
the supervisory authority and make this documentation available upon request,
so that it might serve for monitoring processing operations. .
|
(40)
Activitățile de prelucrare ar trebui să fie
înregistrate de către operator sau de către persoana împuternicită de către
operator, în scopul de a monitoriza conformitatea cu prezenta directivă.
Fiecare operator și fiecare persoană împuternicită de către operator ar trebui
să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la
dispoziția acesteia, la cerere, documentația disponibilă, pentru a putea fi
utilizată în scopul monitorizării operațiunilor de prelucrare.
|
|
(41)
In order to ensure effective protection of the
rights and freedoms of data subjects by way of preventive actions, the
controller or processor should consult with the supervisory authority in
certain cases prior to the processing.
|
(41)
Pentru a garanta protecția eficientă a drepturilor
și libertăților persoanelor vizate prin intermediul unor acțiuni preventive,
operatorul sau persoana împuternicită de către operator ar trebui să se
consulte cu autoritatea de supraveghere în anumite cazuri înainte de prelucrare.
|
|
(42)
A personal data breach may, if not addressed in
an adequate and timely manner, result in harm, including reputational damage to
the individual concerned. Therefore, as soon as the controller becomes aware
that such a breach has occurred, it should notify the breach to the competent
national authority. The individuals whose personal data or privacy could be
adversely affected by the breach should be notified without undue delay in
order to allow them to take the necessary precautions. A breach should be
considered as adversely affecting the personal data or privacy of an individual
where it could result in, for example, identity theft or fraud, physical harm,
significant humiliation or damage to reputation in connection with the
processing of personal data.
|
(42)
Dacă nu este soluționată la timp și într-un mod
adecvat, o încălcare a securității datelor cu caracter personal poate produce
efecte negative, inclusiv asupra reputației persoanei fizice vizate. Prin
urmare, de îndată ce un operator află că a avut loc o astfel de încălcare,
aceasta ar trebui să notifice respectiva încălcare autorității naționale
competente. Persoanele fizice ale căror date cu caracter personal sau a căror
viață privată ar putea fi afectate negativ de încălcare ar trebui să fie
înștiințate fără întârzieri nejustificate, pentru a putea să ia măsurile de
precauție necesare. Ar trebui să se considere că o încălcare afectează în mod
negativ datele cu caracter personal sau viața privată a unei persoane vizate în
cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau
fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea
reputației în legătură cu prelucrarea datelor cu caracter personal.
|
|
(43)
In setting detailed rules concerning the format
and procedures applicable to the notification of personal data breaches, due
consideration should be given to the circumstances of the breach, including
whether or not personal data had been protected by appropriate technical
protection measures, effectively limiting the likelihood of misuse. Moreover,
such rules and procedures should take into account the legitimate interests of
competent authorities in cases where early disclosure could unnecessarily
hamper the investigation of the circumstances of a breach.
|
(43)
La stabilirea de norme detaliate privind formatul
și procedurile aplicabile notificării referitoare la încălcările securității
datelor cu caracter personal, ar trebui să se acorde atenția cuvenită
circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă
protecția datelor cu caracter personal a fost sau nu a fost asigurată prin
măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv
probabilitatea utilizării incorecte. În plus, astfel de norme și proceduri ar
trebui să țină cont de interesele legitime ale autorităților competente în
cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil
investigarea circumstanțelor în care a avut loc o încălcare.
|
|
(44)
The controller or the processor should designate
a person who would assist the controller or processor to monitor compliance
with the provisions adopted pursuant to this Directive. A data protection
officer may be appointed jointly by several entities of the competent authority.
The data protection officers must be in a position to perform their duties and
tasks independently and effectively.
|
(44)
Operatorul sau persoana împuternicită de către
operator ar trebui să desemneze o persoană care să ajute operatorul sau
persoana împuternicită de către operator să monitorizeze respectarea
dispozițiilor adoptate în temeiul prezentei directive. Un responsabil cu
protecția datelor poate fi numit în comun de mai multe entități ale autorității
competente. Responsabilii cu protecția datelor trebuie să fie în măsură să își
îndeplinească îndatoririle și sarcinile în mod independent și eficient.
|
|
(45)
Member States should ensure that a transfer to a
third country only takes place if it is necessary for the prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties, and the controller in the third country or international
organisation is an authority competent within the meaning of this Directive. A
transfer may take place in cases where the Commission has decided that the
third country or international organisation in question ensures an adequate
level or protection, or when appropriate safeguards have been adduced.
|
(45)
Statele membre ar trebui să asigure că transferul
către o țară terță nu are loc decât în cazul în care acesta este necesar pentru
prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor
sau pentru executarea pedepselor, iar autoritatea de control din țara terță sau
dintr-o organizație internațională competentă este o autoritate competentă în
sensul prezentei directive. Un transfer poate avea loc în cazul în care Comisia
decide că țara terță sau organizația internațională în cauză asigură un nivel
adecvat de protecție sau că oferă garanții corespunzătoare.
|
|
(46)
The Commission may decide with effect for the
entire Union that certain third countries, or a territory or a processing
sector within a third country, or an international organisation, offer an
adequate level of data protection, thus providing legal certainty and
uniformity throughout the Union as regards the third countries or international
organisations which are considered to provide such level of protection. In
these cases, transfers of personal data to these countries may take place without
needing to obtain any further authorisation.
|
(46)
Comisia poate decide, cu efect în întreaga Uniune,
că anumite țări terțe sau un teritoriu ori un sector de prelucrare dintr-o țară
terță sau o organizație internațională oferă un nivel adecvat de protecție a
datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea
ce privește țările terțe sau organizațiile internaționale care sunt considerate
a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de
date cu caracter personal către țările respective pot avea loc fără a fi
necesar să se obțină o autorizație suplimentară.
|
|
(47)
In line with the fundamental values on which the
Union is founded, in particular the protection of human rights, the Commission
should take into account how the rule of law, access to justice, as well as international
human rights norms and standards, in that third country are respected.
|
(47)
În conformitate cu valorile fundamentale pe care se întemeiază Uniunea,
în special protecția drepturilor omului, Comisia ar trebui să ia în considerare
modul în care aceasta respectă statul de drept, accesul la justiție, precum și
normele și standardele internaționale în materie de drepturi ale omului.
|
|
(48)
The Commission should equally be able to
recognise that a third country, or a territory or a processing sector within a
third country, or an international organisation, does not offer an adequate
level of data protection. Consequently the transfer of personal data to that
third country should be prohibited except when they are based on an
international agreement, appropriate safeguards or a derogation. Provision
should be made for procedures for consultations between the Commission and such
third countries or international organisations. However, such a Commission
decision shall be without prejudice to the possibility to undertake transfers
on the basis of appropriate safeguards or on the basis of a derogation laid
down in the Directive.
|
(48)
Comisia ar trebui, de asemenea, să poată recunoaște
că o țară terță, un teritoriu sau un sector de prelucrare a datelor dintr-o
țară terță ori o organizație internațională nu oferă un nivel corespunzător de
protecție a datelor. În acest caz, transferul de date cu caracter personal
către țări terțe ar trebui interzis, cu excepția cazurilor în care acesta se
bazează pe un acord internațional, garanții corespunzătoare sau o derogare. Ar
trebui să se prevadă proceduri de consultare între Comisie și astfel de țări
terțe sau organizații internaționale. Cu toate acestea, o astfel de decizie a
Comisiei nu trebuie să aducă atingere posibilității de a efectua transferuri pe
baza unor garanții adecvate sau a unei derogări prevăzute în directivă.
|
|
(49)
Transfers not based on such an adequacy decision
should only be allowed where appropriate safeguards have been adduced in a
legally binding instrument, which ensure the protection of the personal data or
where the controller or processor has assessed all the circumstances
surrounding the data transfer operation or the set of data transfer operations
and, based on this assessment, considers that appropriate safeguards with
respect to the protection of personal data exist. In cases where no grounds for
allowing a transfer exist, derogations should be allowed if necessary in order
to protect the vital interests of the data subject or another person, or to
safeguard legitimate interests of the data subject where the law of the Member
State transferring the personal data so provides, or where it is essential for
the prevention of an immediate and serious threat to the public security of a
Member State or a third country, or in individual cases for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, or in individual cases for the establishment,
exercise or defence of legal claims.
|
(49)
Transferurile care nu se bazează pe o decizie
privind caracterul adecvat al nivelului de protecție ar trebui să fie permise
numai în cazul în care au fost prezentate garanții corespunzătoare într-un
instrument obligatoriu din punct de vedere juridic, care asigură protecția
datelor cu caracter personal în cazul în care operatorul sau persoana
împuternicită de către operator a evaluat toate condițiile legate de
operațiunea de transfer de date sau de setul de operațiuni de transfer de date
și, pe baza acestei evaluări, consideră că există garanții adecvate în ceea ce
privește protecția datelor cu caracter personal. În cazul în care nu există
motive pentru autorizarea transferului, ar trebui să se permită derogări, dacă
este necesar, în vederea protejării intereselor vitale ale persoanei în cauză
sau ale unei alte persoane, sau în vederea protejării intereselor legitime ale
persoanei vizate, în cazul în care legislația statului membru care transferă
datele cu caracter personal prevede acest lucru, sau în cazul în care acestea
sunt indispensabile pentru prevenirea unei amenințări imediate și grave la
adresa siguranței publice a unui stat membru sau a unei țări terțe, sau în
cazuri specifice, în scopul prevenirii, investigării, identificării sau
urmăririi penale a infracțiunilor sau al executării pedepselor sau, în anumite
cazuri, pentru constatarea, exercitarea sau apărarea unui drept în instanță.
|
|
(50)
When personal data moves across borders it may put
at increased risk the ability of individuals to exercise data protection rights
to protect themselves from the unlawful use or disclosure of that data. At the
same time, supervisory authorities may find that they are unable to pursue
complaints or conduct investigations relating to the activities outside their
borders. Their efforts to work together in the cross-border context may also be
hampered by insufficient preventative or remedial powers, inconsistent legal
regimes. Therefore, there is a need to promote closer co-operation among data
protection supervisory authorities to help them exchange information with their
foreign counterparts.
|
(50)
Fluxul transfrontalier de date cu caracter personal
poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita
drepturile în materie de protecție a datelor, pentru a-și asigura protecția
împotriva utilizării sau a divulgării ilegale a acestor date. În același timp,
autoritățile de supraveghere pot constata că se află în imposibilitatea de a
trata plângeri sau de a efectua investigații referitoare la activitățile
desfășurate în afara frontierelor lor. Eforturile lor de a conlucra în context
transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor
de prevenire sau remediere ori de caracterul eterogen al regimurilor juridice.
Prin urmare, este necesar să se promoveze o cooperare mai strânsă între
autoritățile de supraveghere a protecției datelor pentru a putea face schimb de
informații cu omologii lor străini.
|
|
(51)
The establishment of supervisory authorities in
Member States, exercising their functions with complete independence, is an
essential component of the protection of individuals with regard to the
processing of their personal data. The supervisory authorities should monitor
the application of the provisions pursuant to this Directive and contribute to
its consistent application throughout the Union, in order to protect natural
persons in relation to the processing of their personal data. For that purpose,
the supervisory authorities should co-operate with each other and the
Commission.
|
(51)
Instituirea în statele membre a unor autorități de
supraveghere care să își exercite atribuțiile în deplină independență este un
element esențial al protecției persoanelor fizice în ceea ce privește
prelucrarea datelor lor cu caracter personal. Autoritățile de supraveghere ar
trebui să monitorizeze aplicarea dispozițiilor prevăzute de prezenta directivă
și să contribuie la aplicarea consecventă a acesteia în întreaga Uniune, în
scopul asigurării protecției persoanele fizice în ceea ce privește prelucrarea
datelor lor cu caracter personal. În acest sens, autoritățile de supraveghere
ar trebui să coopereze între ele și cu Comisia.
|
|
(52)
Member States may entrust a supervisory
authority already established in Member States under Regulation (EU)…./2012 with
the responsibility for the tasks to be performed by the national supervisory
authorities to be established under this Directive.
|
(52)
Statele membre pot încredința unei autorități de
supraveghere deja existente din statele membre, în conformitate cu Regulamentul
(CE) …./2012, responsabilitatea pentru sarcinile care urmează să fie
îndeplinite de către autoritățile naționale de supraveghere care urmează a fi
înființate în temeiul prezentei directive.
|
|
(53)
Member States should be allowed to establish
more than one supervisory authority to reflect their constitutional,
organisational and administrative structure. Each supervisory authority should
be provided with adequate financial and human resources, premises and
infrastructure, which are necessary for the effective performance of their
tasks, including for the tasks related to mutual assistance and co-operation
with other supervisory authorities throughout the Union.
|
(53)
Statele membre ar trebui să aibă posibilitatea de a
institui mai multe autorități de supraveghere, pentru a reflecta structura lor
constituțională, organizatorică și administrativă. Fiecare autoritate de
supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate,
de localuri și de infrastructura necesară pentru îndeplinirea cu eficacitate a
sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu
alte autorități de supraveghere în întreaga Uniune.
|
|
(54)
The general conditions for the members of the
supervisory authority should be laid down by law in each Member State and should
in particular provide that those members should be either appointed by the
parliament or the government of the Member State, and include rules on the
personal qualification of the members and the position of those members.
|
(54)
Condițiile generale pentru membrii autorității de
supraveghere ar trebui stabilite prin lege în fiecare stat membru și ar trebui,
în special, să prevadă condiția ca acești membri să fie numiți de parlamentul
sau de guvernul statului membru și să includă dispoziții privind calificarea
personală și funcția membrilor respectivi.
|
|
(55)
While this Directive applies also to the
activities of national courts, the competence of the supervisory authorities
should not cover the processing of personal data when they are acting in their
judicial capacity, in order to safeguard the independence of judges in the
performance of their judicial tasks. However, this exemption should be limited
to genuine judicial activities in court cases and not apply to other activities
where judges might be involved in accordance with national law.
|
(55)
Cu toate că prezenta directivă se aplică, de asemenea,
activităților instanțelor naționale, prelucrarea datelor cu caracter personal
nu ar trebui să fie de competența autorităților de supraveghere atunci când
instanțele își exercită atribuțiile judiciare, în scopul asigurării
independenței judecătorilor în îndeplinirea sarcinilor lor judiciare. Cu toate
acestea, derogarea ar trebui să se limiteze la activități pur judiciare în
cadrul acțiunilor în instanță și să nu se aplice altor activități în care
judecătorii ar putea fi implicați, în conformitate cu legislația națională.
|
|
(56)
In order to ensure consistent monitoring and
enforcement of this Directive throughout the Union, the supervisory authorities
should have the same duties and effective powers in each Member State,
including powers of investigation, legally binding intervention, decisions and
sanctions, particularly in cases of complaints from individuals, and to engage
in legal proceedings.
|
(56)
Pentru a se asigura consecvența monitorizării și a
aplicării prezentei directive în întreaga Uniune, autoritățile de supraveghere
ar trebui să aibă aceleași atribuții și competențe efective în fiecare stat
membru, inclusiv competențe de investigare, de intervenție obligatorie conform
legii, de decizie și sancționare, în special în cazul plângerilor înaintate de
persoane fizice, precum și de acționare în justiție.
|
|
(57)
Each supervisory authority should hear
complaints lodged by any data subject and should investigate the matter. The
investigation following a complaint should be carried out, subject to judicial
review, to the extent that is appropriate in the specific case. The supervisory
authority should inform the data subject of the progress and the outcome of the
complaint within a reasonable period. If the case requires further
investigation or coordination with another supervisory authority, intermediate
information should be given to the data subject.
|
(57)
Fiecare autoritate de supraveghere ar trebui să
răspundă plângerilor depuse de orice persoană vizată și ar trebui să
investigheze cazul. Investigația în urma unei plângeri ar trebui să fie
efectuată doar dacă se dovedește necesară în respectivul caz și trebuie să
poată face obiectul căilor de atac judiciare. Autoritatea de supraveghere ar
trebui să informeze persoana vizată cu privire la evoluția și soluționarea
plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o
investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere,
ar trebui să se furnizeze informații intermediare persoanei vizate.
|
|
(58)
The supervisory authorities should assist one
another in performing their duties and provide mutual assistance, so as to
ensure the consistent application and enforcement of the provisions adopted
pursuant to this Directive.
|
(58)
Autoritățile de supraveghere ar trebui să își
acorde reciproc asistență în îndeplinirea atribuțiilor care le revin, pentru a
se asigura coerența aplicării și a asigurării aplicării dispozițiilor adoptate
în temeiul prezentei directive.
|
|
(59)
The European Data Protection Board established
by Regulation (EU)…./2012 should contribute to the consistent application of
this Directive throughout the Union, including advising the Commission and
promoting the co-operation of the supervisory authorities throughout the Union.
|
(59)
Comitetul european pentru protecția datelor,
instituit prin Regulamentul (UE) …/2012, ar trebui să contribuie la aplicarea
coerentă a prezentei directive în întreaga Uniune, inclusiv prin oferirea de
consultanță Comisiei și prin promovarea cooperării autorităților de
supraveghere în întreaga Uniune.
|
|
(60)
Every data subject should have the right to
lodge a complaint with a supervisory authority in any Member State and have the
right to a judicial remedy if they consider that their rights under this
Directive are infringed or where the supervisory authority does not act on a
complaint or does not act where such action is necessary to protect the rights
of the data subject.
|
(60)
Orice persoană vizată ar trebui să aibă dreptul de
a depune o plângere la o autoritate de supraveghere în orice stat membru și
dreptul la exercitarea unei căi de atac, în cazul în care consideră că
drepturile pe care i le conferă prezenta directivă sunt încălcate sau în cazul
în care autoritatea de supraveghere nu reacționează la o plângere sau nu
acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției
drepturilor persoanei vizate.
|
|
(61)
Any body, organisation or association which aims
to protects the rights and interests of data subjects in relation to the
protection of their data and is constituted according to the law of a Member
State should have the right to lodge a complaint or exercise the right to a
judicial remedy on behalf of data subjects if duly mandated by them, or to
lodge, independently of a data subject's complaint, its own complaint where it
considers that a personal data breach has occurred.
|
(61)
Orice organism, organizație sau asociație care are
drept obiectiv asigurarea protecției drepturilor și a intereselor persoanelor
vizate în ceea ce privește protecția datelor acestora și este constituit(ă) în
conformitate cu legislația unui stat membru ar trebui să aibă dreptul să depună
o plângere, să își exercite dreptul la o cale de atac în numele persoanelor
vizate, dacă au primit mandat corespunzător din partea acestora, sau să depună,
independent de plângerea înaintată de o persoană vizată, o plângere în nume
propriu în cazul în care consideră că a avut loc o încălcare a securității
datelor cu caracter personal.
|
|
(62)
Each natural or legal person should have the
right to a judicial remedy against decisions of a supervisory authority
concerning them. Proceedings against a supervisory authority should be brought
before the courts of the Member State where the supervisory authority is
established.
|
(62)
Orice persoană fizică sau juridică ar trebui să
aibă dreptul la exercitarea unei căi de atac împotriva deciziilor unei
autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei
autorități de supraveghere ar trebui să fie înaintate instanțelor statului
membru în care se află autoritatea de supraveghere.
|
|
(63)
Member States should ensure that court actions,
in order to be effective, allow the rapid adoption of measures to remedy or
prevent an infringement of this Directive.
|
(63)
Statele membre ar trebui să se asigure că acțiunile
în justiție, pentru a fi eficiente, permit adoptarea rapidă de măsuri în scopul
remedierii sau al prevenirii încălcării prezentei directive.
|
|
(64)
Any damage which a person may suffer as a result
of unlawful processing should be compensated by the controller or processor,
who may be exempted from liability if they prove that they are not responsible
for the damage, in particular where they establish fault on the part of the
data subject or in case of force majeure.
|
(64)
Orice daună pe care o persoană o poate suferi ca
urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau
de persoana împuternicită de către operator, care pot fi exonerați de
răspundere dacă dovedesc că nu sunt răspunzători pentru prejudiciu, în special
în cazul în care aceștia dovedesc că s-a produs din culpa persoanei vizate sau este
rezultatul unui caz de forță majoră.
|
|
(65)
Penalties should be imposed on any natural or
legal person, whether governed by private or public law, that fails to comply
with this Directive. Member States should ensure that the penalties are
effective, proportionate and dissuasive and must take all measures to implement
the penalties.
|
(65)
Ar trebui impuse sancțiuni oricărei persoane fizice sau juridice, de
drept privat sau public, care nu respectă prezenta directivă. Statele membre ar
trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de
descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a
sancțiunilor.
|
|
(66)
In order to fulfil the objectives of this
Directive, namely to protect the fundamental rights and freedoms of natural
persons and in particular their right to the protection of personal data and to
ensure the free exchange of personal data by competent authorities within the
Union, the power to adopt acts in accordance with Article 290 of the Treaty on
the Functioning of the European Union should be delegated to the Commission. In
particular, delegated acts should be adopted in respect of notifications of a
personal data breach to the supervisory authority. It is of particular
importance that the Commission carry out appropriate consultations during its
preparatory work, including at expert level. The Commission, when preparing and
drawing-up delegated acts, should ensure a simultaneous, timely and appropriate
transmission of relevant documents to the European Parliament and Council.
|
(66)
Pentru a se realiza obiectivele prezentei
directive, și anume protejarea drepturilor și libertăților fundamentale ale
persoanelor fizice și, în special, dreptul acestora la protecția datelor cu
caracter personal, și pentru a se garanta liberul schimb de date cu caracter
personal de către autoritățile competente pe teritoriul Uniunii, competența de
a adopta acte în conformitate cu articolul 290 din Tratatul privind
funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. Ar trebui
adoptate în special acte delegate în ceea ce privește notificarea autorității
de supraveghere în cazul încălcării securității datelor cu caracter personal.
Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să
desfășoare consultări adecvate, inclusiv la nivel de experți. Atunci când
pregătește și elaborează acte delegate, Comisia trebuie să asigure transmiterea
simultană, la timp și în mod corespunzător a documentelor relevante către
Parlamentul European și către Consiliu.
|
|
(67)
In order to ensure uniform conditions for the
implementation of this Directive as regards documentation by controllers and
processors, security of processing, notably in relation to encryption
standards, notification of a personal data breach to the supervisory authority,
and the adequate level of protection afforded by a third country or a territory
or a processing sector within that third country or an international
organisation, implementing powers should be conferred on the Commission. Those
powers should be exercised in
accordance with Regulation (EU) No 182/2011 of the European Parliament and of
the Council of 16 February 2011 laying down the rules and general principles
concerning mechanisms for control by the Member States of the Commission's
exercise of implementing powers[36].
|
(67)
Pentru a se asigura condiții uniforme de punere în
aplicare a prezentei directive în ceea ce privește documentația deținută de
operatori și de persoanele împuternicite de către operatori, securitatea
prelucrării, în special în ceea ce privește standardele de criptare,
notificarea autorității de supraveghere în cazul încălcării securității datelor
cu caracter personal și nivelul adecvat de protecție oferit de o țară terță, un
teritoriu sau un sector de prelucrare în țara terță respectivă sau de o
organizație internațională, ar trebui să i se confere Comisiei competențe de
executare. Competențele respective ar trebui să fie exercitate în conformitate
cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului
din 16 februarie 2011 de stabilire a normelor și principiilor generale privind
mecanismele de control de către statele membre al exercitării competențelor de
executare de către Comisie[36].
|
|
(68)
The examination procedure should be used for the
adoption of measures as regards documentation by controllers and processors,
security of processing, notification of a personal data breach to the
supervisory authority, and the adequate level of protection afforded by a third
country or a territory or a processing sector within that third country or an
international organisation, given that those acts are of general scope.
|
(68)
Procedura de examinare ar trebui să fie utilizată
pentru adoptarea de măsuri în ceea ce privește documentația deținută de
operatori și de persoane împuternicite de către operatori, securitatea
prelucrării, notificarea autorității de supraveghere în cazul încălcării
securității datelor cu caracter personal și nivelul adecvat de protecție oferit
de o țară terță, un teritoriu sau un sector de prelucrare în țara terță
respectivă sau de o organizație internațională, ținând seama de faptul că
actele respective au un caracter general.
|
|
(69)
The Commission should adopt immediately
applicable implementing acts where, in duly justified cases relating to a third
country or a territory or a processing sector within that third country or an
international organisation which does not ensure an adequate level of
protection, imperative grounds of urgency so require.
|
(69)
Comisia ar trebui să adopte acte de punere în
aplicare imediat aplicabile atunci când acest lucru se impune din motive
imperative de urgență, în cazuri justificate în mod corespunzător referitoare
la o țară terță, un teritoriu sau un sector de prelucrare din țara terță
respectivă sau o organizație internațională care nu asigură un nivel de
protecție adecvat.
|
|
(70)
Since the objectives of this Directive, namely
to protect the fundamental rights and freedoms of natural persons and in
particular their right to the protection of personal data and to ensure the
free exchange of personal data by competent authorities within the Union,
cannot be sufficiently achieved by the Member States and can therefore, by
reason of the scale or effects of the action, be better achieved at Union
level, the Union may adopt measures, in accordance with the principle of
subsidiarity as set out in Article 5 of the Treaty on European Union. In
accordance with the principle of proportionality as set out in that Article,
this Directive does not go beyond what is necessary in order to achieve that
objective
|
(70)
Întrucât obiectivele prezentei directive, și anume
protejarea drepturilor și a libertăților fundamentale ale persoanelor fizice,
în special dreptul acestora la protecția datelor cu caracter personal și
asigurarea liberului schimb de date cu caracter personal de către autoritățile
competente în cadrul Uniunii, nu pot fi realizate în mod satisfăcător de către
statele membre și, prin urmare, din cauza dimensiunilor sau a efectelor
acțiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate adopta
măsuri, în conformitate cu principiul subsidiarității, astfel cum se prevede la
articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul
proporționalității, astfel cum este enunțat la articolul respectiv, prezenta
directivă nu depășește ceea ce este necesar pentru atingerea acestui obiectiv.
|
|
(71)
Framework Decision 2008/977/JHA should be
repealed by this Directive.
|
(71)
Decizia-cadru 2008/977/JAI a Consiliului ar trebui
abrogată prin prezenta directivă.
|
|
(72)
Specific provisions with regard to the
processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties in acts
of the Union which were adopted prior to the date of the adoption of this
Directive, regulating the processing of personal data between Member States or
the access of designated authorities of Member States to information systems
established pursuant to the Treaties, should remain unaffected. The Commission should
evaluate the situation with regard to the relation between this Directive and
the acts adopted prior to the date of adoption of this Directive regulating the
processing of personal data between Member States or the access of designated
authorities of Member States to information systems established pursuant to the
Treaties, in order to assess the need for alignment of these specific
provisions with this Directive.
|
(72)
Dispoziții specifice cu privire la prelucrarea
datelor cu caracter personal de către autoritățile competente în scopul
prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor
sau al executării pedepselor în actele Uniunii adoptate înainte de data
adoptării prezentei directive, care reglementează prelucrarea datelor cu
caracter personal între statele membre și accesul autorităților desemnate de
statele membre la sistemele informatizate instituite în temeiul tratatelor, ar
trebui să rămână neschimbate. Comisia ar trebui să evalueze situația în ceea ce
privește relația dintre prezenta directivă și actele adoptate înainte de data
adoptării prezentei directive care reglementează prelucrarea datelor cu
caracter personal între statele membre și accesul autorităților desemnate de
statele membre la sistemele informatizate instituite în conformitate cu
tratatele, pentru a evalua necesitatea alinierii acestor dispoziții specifice
cu prezenta directivă.
|
|
(73)
In order to ensure a comprehensive and coherent protection
of personal data in the Union, international agreements concluded by Member
States prior to the entry force of this Directive should be amended in line
with this Directive.
|
(73)
În vederea asigurării unei protecții globale și coerente
a datelor cu caracter personal în cadrul Uniunii, ar trebui modificate
acordurile internaționale încheiate de statele membre înainte de intrarea în
vigoare a prezentei directive în vederea armonizării cu prezenta directivă.
|
|
(74)
This Directive is without prejudice to the rules
on combating the sexual abuse and sexual exploitation of children and child
pornography as laid down in Directive 2011/92/EU of the European Parliament and
of the Council of 13 December 2011.[37]
|
(74)
Prezenta directivă se aplică fără a aduce atingere
normelor privind combaterea abuzului sexual, a exploatării sexuale a copiilor
și a pornografiei infantile, astfel cum se prevede în Directiva 2011/92/UE a
Parlamentului European și a Consiliului din 13 decembrie 2011[37].
|
|
(75)
In accordance with Article 6a of the Protocol on
the position of the United Kingdom and Ireland in respect of the area of
freedom, security and justice, as annexed to the Treaty on European Union and
to the Treaty on the Functioning of the European Union, the United Kingdom and
Ireland shall not be bound by the rules laid down in this Directive where the
United Kingdom and Ireland are not bound by the rules governing the forms of
judicial co-operation in criminal matters or police co-operation which require
compliance with the provisions laid down on the basis of Article 16 of the
Treaty on the Functioning of the European Union.
|
(75)
În conformitate cu articolul 6a din Protocolul
privind poziția Regatului Unit și a Irlandei în ceea ce privește spațiul de
libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană
și la Tratatul privind funcționarea Uniunii Europene, Regatul Unit și Irlanda
nu sunt obligate să aplice normele stabilite în prezenta directivă întrucât
Regatul Unit și Irlanda nu sunt obligate să aplice normele care reglementează
formele de cooperare judiciară în materie penală sau de cooperare
polițienească, care necesită respectarea dispozițiilor stabilite pe baza
articolului 16 din Tratatul privind funcționarea Uniunii Europene.
|
|
(76)
In accordance with Articles 2 and 2a of the
Protocol on the position of Denmark, as annexed to the Treaty on European Union
and to the Treaty on the Functioning of the European Union, Denmark is not
bound by this Directive or subject to its application. Given that this
Directive builds upon the Schengen acquis, under Title V of Part Three of the
Treaty on the Functioning of the European Union, Denmark shall, in accordance
with Article 4 of that Protocol, decide within six months after adoption of
this Directive whether it will implement it in its national law.
|
(76)
În conformitate cu articolele 2 și 2a din
Protocolul privind poziția Danemarcei, anexat la Tratatul privind Uniunea
Europeană și la Tratatul privind funcționarea Uniunii Europene, Danemarca nu
este obligată de prezenta directivă și nici nu face obiectul aplicării
acesteia. Având în vedere faptul că prezenta directivă reprezintă o completare
a acquis-ului Schengen, în temeiul titlului V partea a treia din Tratatul
privind funcționarea Uniunii Europene, Danemarca, în conformitate cu articolul 4
din protocolul menționat, decide, în termen de șase luni de la adoptarea
prezentei directive, dacă o va transpune în legislația sa națională.
|
|
(77)
As regards Iceland and Norway, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Agreement concluded by the Council of the European Union and the
Republic of Iceland and the Kingdom of Norway concerning the association of
those two States with the implementation, application and development of the
Schengen acquis[38].
|
(77)
În ceea ce privește Islanda și Norvegia, prezenta
directivă constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în
conformitate cu acordul încheiat de Consiliul Uniunii Europene și de Republica
Islanda și Regatul Norvegiei privind asocierea acestor două state la
implementarea, aplicarea și dezvoltarea acquis-ului Schengen[38].
|
|
(78)
As regards Switzerland, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Agreement between the European Union, the European Community and the
Swiss Confederation concerning the association of the Swiss Confederation with
the implementation, application and development of the Schengen acquis[39].
|
(78)
În ceea ce privește Elveția, prezenta directivă
constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în conformitate
cu Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația
Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare,
respectarea și dezvoltarea acquis-ului Schengen[39].
|
|
(79)
As regards Liechtenstein, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Protocol between the European Union, the European Community, the Swiss
Confederation and the Principality of Liechtenstein on the accession of the
Principality of Liechtenstein to the Agreement between the European Union, the
European Community and the Swiss Confederation on the Swiss Confederation’s
association with the implementation, application and development of the
Schengen acquis[40].
|
(79)
În ceea ce privește Liechtenstein, prezenta
directivă reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, astfel
cum se prevede în Protocolul dintre Uniunea Europeană, Comunitatea Europeană,
Confederația Elvețiană și Principatul Liechtenstein privind aderarea
Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea
Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene
la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen[40].
|
|
(80)
This Directive respects the fundamental rights
and observes the principles recognised in the Charter of Fundamental Rights of
the European Union as enshrined in the Treaty, notably the right to respect for
private and family life, the right to the protection of personal data, the right
to an effective remedy and to a fair trial. Limitations placed on these rights
are in accordance with Article 52(1) of the Charter as they are necessary to meet
objectives of general interest recognised by the Union or the need to protect
the rights and freedoms of others.
|
(80)
Prezenta directivă respectă drepturile fundamentale
și principiile recunoscute de Carta drepturilor fundamentale a Uniunii
Europene, astfel cum sunt consacrate în tratat, în special dreptul la respectarea
vieții private și de familie, dreptul la protecția datelor cu caracter
personal, dreptul la o cale de atac eficientă și la un proces echitabil.
Limitările aduse acestor drepturi sunt în conformitate cu articolul 52
alineatul (1) din cartă întrucât sunt necesare pentru atingerea obiectivelor de
interes general recunoscute de Uniune sau pentru a proteja drepturile și
libertățile celorlalți.
|
|
(81)
In accordance with the Joint Political
Declaration of Member States and the Commission on explanatory documents of 28
September 2011, Member States have undertaken to accompany, in justified cases,
the notification of their transposition measures with one or more documents
explaining the relationship between the components of a directive and the
corresponding parts of national transposition instruments. With regard to this
Directive, the legislator considers the transmission of such documents to be
justified.
|
(81)
În conformitate cu declarația politică comună a
statelor membre și a Comisiei privind documentele explicative din 28 septembrie
2011, statele membre s-au angajat să atașeze la notificarea măsurilor de
transpunere, în cazuri justificate, unul sau mai multe documente care explică
relația dintre elementele unei directive și părțile corespunzătoare ale
instrumentelor naționale de transpunere. În ceea ce privește această directivă,
legiuitorul consideră că transmiterea unor astfel de documente este
justificată.
|
|
(82)
This Directive should not preclude Member States
from implementing the exercise of the rights of data subjects on information, access,
rectification, erasure and restriction of their personal data processed in the
course of criminal proceedings, and their possible restrictions thereto, in
national rules on criminal procedure.
|
(82)
Prezenta directivă nu ar trebui să împiedice
statele membre să pună în aplicare exercitarea drepturilor persoanelor vizate
cu privire la informare, acces, rectificare, ștergere și limitarea prelucrării
datelor lor cu caracter personal în cadrul procedurilor penale, precum și
eventualele limitări ale acestor drepturi în normele naționale privind
procedura penală,
|
|
HAVE ADOPTED THIS DIRECTIVE:
|
ADOPTĂ PREZENTA DIRECTIVĂ:
|
|
CHAPTER I
|
CAPITOLUL I
|
|
GENERAL PROVISIONS
|
DISPOZIȚII GENERALE
|
|
Article 1
Subject matter and objectives
|
Articolul 1
Obiect și obiective
|
|
1. This Directive lays down
the rules relating to the protection of individuals with regard to the
processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties.
|
1. Prezenta
directivă stabilește normele referitoare la protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile
competente în scopul prevenirii, identificării, investigării sau urmăririi
penale a infracțiunilor sau al executării pedepselor.
|
|
2. In accordance with this Directive,
Member States shall:
|
2. În
conformitate cu prezenta directivă, statele membre:
|
|
(a) protect the fundamental rights and
freedoms of natural persons and in particular their right to the protection of
personal data; and
|
(a) protejează drepturile și libertățile fundamentale ale persoanelor
fizice, în special dreptul acestora la protecția datelor cu caracter personal; și
|
|
(b) ensure that the exchange of personal
data by competent authorities within the Union is neither restricted nor
prohibited for reasons connected with the protection of individuals with regard
to the processing of personal data.
|
(b) se asigură că schimbul de date cu caracter personal de către
autoritățile competente în cadrul Uniunii nu este limitat sau interzis din
motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal.
|
|
Article 2
Scope
|
Articolul 2
Domeniu de aplicare
|
|
1. This Directive applies to the
processing of personal data by competent authorities for the purposes referred
to in Article 1(1).
|
1. Prezenta
directivă se aplică prelucrării datelor cu caracter personal de către
autoritățile competente în scopurile prevăzute la articolul 1 alineatul (1).
|
|
2. This Directive applies to
the processing of personal data wholly or partly by automated means, and to the
processing other than by automated means of personal data which form part of a
filing system or are intended to form part of a filing system.
|
2. Prezenta
directivă se aplică prelucrării datelor cu caracter personal, realizate
integral sau parțial prin mijloace automatizate, precum și prelucrării prin
alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte
dintr-un sistem de evidență a datelor sau care urmează să facă parte dintr-un
sistem de evidență a datelor.
|
|
3. This Directive shall not
apply to the processing of personal data:
|
3. Prezenta
directivă nu se aplică prelucrării datelor cu caracter personal:
|
|
(a) in the course of an activity which
falls outside the scope of Union law, in particular concerning national
security;
|
(a) în cadrul unei activități care nu intră în sfera dreptului Uniunii, în
ceea ce privește, mai ales, securitatea națională;
|
|
(b) by the Union institutions, bodies,
offices and agencies.
|
(b) de către instituțiile, organele, oficiile și agențiile Uniunii.
|
|
Article 3
Definitions
|
Articolul 3
Definiții
|
|
For the purposes of this Directive:
|
În sensul prezentei directive:
|
|
(1)
'data subject' means an identified natural
person or a natural person who can be identified, directly or indirectly, by
means reasonably likely to be used by the controller or by any other natural or
legal person, in particular by reference to an identification number, location
data, online identifiers or to one or more factors specific to the physical,
physiological, genetic, mental, economic, cultural or social identity of that
person;
|
(1)
„persoană vizată” înseamnă o persoană fizică
identificată sau o persoană fizică ce poate fi identificată, în mod direct sau
indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă,
de operator sau de orice altă persoană fizică sau juridică, în special prin
referire la un număr de identificare, la date de localizare, la identificatori
online sau la unul sau mai mulți factori specifici identității fizice,
fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei
respective;
|
|
(2)
'personal data' means any information relating
to a data subject;
|
(2)
„date cu caracter personal” înseamnă orice
informație privind o persoană vizată;
|
|
(3)
'processing' means any operation or set of
operations which is performed upon personal data or sets of personal data,
whether or not by automated means, such as collection, recording, organization,
structuring, storage, adaptation or alteration, retrieval, consultation, use,
disclosure by transmission, dissemination or otherwise making available,
alignment or combination, restriction, erasure or destruction;
|
(3)
„prelucrare” înseamnă orice operațiune sau set de
operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date
cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar
fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau
modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere,
diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau
combinarea, restricționarea, ștergerea sau distrugerea;
|
|
(4)
'restriction of processing' means the marking of
stored personal data with the aim of limiting their processing in the future;
|
(4)
„restricționarea prelucrării” înseamnă marcarea
datelor cu caracter personal stocate, cu scopul de a limita prelucrarea
viitoare a acestora;
|
|
(5)
'filing system' means any structured set of
personal data which are accessible according to specific criteria, whether
centralized, decentralized or dispersed on a functional or geographical basis;
|
(5)
„sistem de evidență a datelor” înseamnă orice set
structurat de date cu caracter personal accesibile conform unor criterii
specifice, fie ele centralizate, descentralizate sau repartizate după criterii
funcționale sau geografice;
|
|
(6)
'controller' means the competent public authority which alone or jointly with
others determines the purposes, conditions and means of the processing of
personal data; where the purposes, conditions and means of processing are
determined by Union law or Member State law, the controller or the specific
criteria for his nomination may be designated by Union law or by Member State
law;
|
(6)
„operator” înseamnă autoritatea publică competentă
care, singură sau împreună cu alte autorități, stabilește scopurile, condițiile
și mijloacele de prelucrare a datelor cu caracter personal; atunci când
scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul
Uniunii sau prin legislația unui stat membru, operatorul sau criteriile
specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau
prin legislația unui stat membru;
|
|
(7)
'processor' means a natural or legal person, public authority, agency or any
other body which processes personal data on behalf of the controller;
|
(7)
„persoana împuternicită de către operator” înseamnă
persoana fizică sau juridică, autoritatea publică, agenția sau orice alt
organism care prelucrează datele cu caracter personal în numele operatorului;
|
|
(8)
'recipient' means a natural or legal person,
public authority, agency or any other body to which the personal data are
disclosed;
|
(8)
„destinatar” înseamnă persoana fizică sau juridică,
autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise
datele cu caracter personal;
|
|
(9)
'personal data breach' means a breach of security leading to the accidental or unlawful
destruction, loss, alteration, unauthorised disclosure of, or access to,
personal data transmitted, stored or otherwise processed;
|
(9)
„încălcarea securității datelor cu caracter
personal” înseamnă o încălcare a securității care duce, în mod accidental sau
ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau
accesul neautorizat la datele cu caracter personal transmise, stocate sau
prelucrate în alt mod;
|
|
(10)
'genetic data' means all data, of whatever type,
concerning the characteristics of an individual which are inherited or acquired
during early prenatal development;
|
(10)
„date genetice” înseamnă toate datele, indiferent de
tipul acestora, referitoare la caracteristicile unei persoane, care sunt
moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală;
|
|
(11)
'biometric data' means any data relating to the
physical, physiological or behavioural characteristics of an individual which
allow their unique identification, such as facial images, or dactyloscopic
data;
|
(11)
„date biometrice” înseamnă orice date referitoare
la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane,
care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau
datele dactiloscopice;
|
|
(12)
‘data concerning health’ means any information
which relates to the physical or mental health of an individual, or to the
provision of health services to the individual;
|
(12)
„date privind sănătatea” înseamnă orice informații
legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de
servicii medicale persoanei respective;
|
|
(13)
'child' means any person below the age of 18
years;
|
(13)
„minor” înseamnă orice persoană cu vârsta sub 18
ani;
|
|
(14)
'competent authorities’ means any public authority
competent for the prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties;
|
(14)
„autorități competente” înseamnă orice autoritate
publică abilitată în vederea prevenirii, identificării, investigării sau
urmăririi penale a infracțiunilor sau al executării pedepselor;
|
|
(15)
'supervisory authority' means a public authority
which is established by a Member State in accordance with Article 39.
|
(15)
„autoritate de supraveghere” înseamnă o autoritate
publică instituită de un stat membru în conformitate cu articolul 39.
|
|
CHAPTER II
|
CAPITOLUL II
|
|
PRINCIPLES
|
PRINCIPII
|
|
Article 4
Principles relating to personal data processing
|
Articolul 4
Principii legate de prelucrarea datelor cu caracter personal
|
|
Member States shall provide that personal
data must be:
|
Statele membre prevăd dispoziții potrivit
cărora datele cu caracter personal trebuie:
|
|
(a) processed fairly and lawfully;
|
(a) prelucrate în mod corect și în
conformitate cu dispozițiile legale;
|
|
(b) collected for specified, explicit and
legitimate purposes and not further processed in a way incompatible with those
purposes;
|
(b) colectate în scopuri determinate,
explicite și legitime și nu trebuie prelucrate ulterior într-un mod incompatibil
cu aceste scopuri;
|
|
(c) adequate, relevant, and not excessive in relation to the purposes for
which they are processed;
|
(c) să fie adecvate, relevante și neexcesive
în ceea ce privește scopurile în care sunt prelucrate;
|
|
(d) accurate and, where necessary, kept up
to date; every reasonable step must be taken to ensure that personal data that
are inaccurate, having regard to the purposes for which they are processed, are
erased or rectified without delay;
|
(d) să fie exacte și, dacă este necesar,
actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că
datele cu caracter personal care sunt inexacte, având în vedere scopurile
pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;
|
|
(e) kept in a form which permits
identification of data subjects for no longer than it is necessary for the
purposes for which the personal data are processed;
|
(e) să fie păstrate într-o formă care permite
identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară
îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter
personal;
|
|
(f) processed under the responsibility and liability of the controller,
who shall ensure compliance with the provisions adopted pursuant to this
Directive.
|
(f) prelucrate sub responsabilitatea și
răspunderea operatorului, care asigură respectarea dispozițiilor adoptate în
conformitate cu prezenta directivă.
|
|
.
|
.
|
|
Article 5
Distinction between different categories of data subjects
|
Articolul 5
Distincția între diferitele categorii de persoane vizate
|
|
1. Member States shall provide
that, as far as possible, the controller makes a clear distinction between
personal data of different categories of data subjects, such as:
|
1. Statele membre prevăd
dispoziții potrivit cărora, în măsura posibilului, operatorul face distincție
clară între datele cu caracter personal ale diferitelor categorii de persoane
vizate, precum:
|
|
(a) persons with regard to whom there are
serious grounds for believing that they have committed or are about to commit a
criminal offence;
|
(a) persoane în privința cărora există
motive serioase să se creadă că au săvârșit sau că urmează să săvârșească o
infracțiune;
|
|
(b) persons convicted of a criminal
offence;
|
(b) persoane condamnate pentru comiterea
unei infracțiuni;
|
|
(c) victims of a criminal offence, or
persons with regard to whom certain facts give reasons for believing that he or
she could be the victim of a criminal offence;
|
(c) victime ale unei infracțiuni sau
persoane în privința cărora, în baza anumitor fapte, există motive să se creadă
că persoanele respective ar putea fi victimele unei infracțiuni;
|
|
(d) third parties to the criminal offence,
such as persons who might be called on to testify in investigations in
connection with criminal offences or subsequent criminal proceedings, or a
person who can provide information on criminal offences, or a contact or
associate to one of the persons mentioned in (a) and (b); and
|
(d) părți terțe la infracțiune, ca de
exemplu persoane care ar putea fi chemate să depună mărturie în cadrul
anchetelor legate de infracțiuni sau în cadrul procedurilor penale ulterioare
sau persoane care pot oferi informații cu privire la infracțiuni sau persoane
care sunt în legătură sau asociate cu persoanele menționate la literele (a) și
(b); și
|
|
(e) persons who do not fall within any of
the categories referred to above.
|
(e) persoane care nu se încadrează în
niciuna dintre categoriile menționate mai sus.
|
|
Article 6
Different degrees of accuracy and reliability of personal data
|
Articolul 6
Grade diferite de precizie și de fiabilitate a datelor cu caracter personal
|
|
1. Member States shall ensure that,
as far as possible, the different categories of personal data undergoing
processing are distinguished in accordance with their degree of accuracy and
reliability.
|
1. Statele membre
se asigură că, pe cât posibil, se face distincție între diferitele categorii de
date cu caracter personal care fac obiectul prelucrării în funcție de gradul de
precizie și de fiabilitate.
|
|
2. Member States shall ensure that, as
far as possible, personal data based on facts are distinguished from personal
data based on personal assessments.
|
2. Statele membre
se asigură că, pe cât posibil, se face distincție între datele cu caracter
personal bazate pe fapte și datele cu caracter personal bazate pe evaluări
personale.
|
|
Article 7
Lawfulness of processing
|
Articolul 7
Legalitatea prelucrării
|
|
Member States shall provide that the
processing of personal data is lawful only if and to the extent that processing
is necessary:
|
Statele membre prevăd dispoziții potrivit
cărora prelucrarea datelor cu caracter personal este conformă dispozițiilor
legale doar în cazul în care și în măsura în care prelucrarea este necesară:
|
|
(a)
for the performance of a task carried out by a
competent authority, based on law for the purposes set out in Article 1(1); or
|
(a)
pentru executarea unei sarcini de către o
autoritate competentă, conform legislației, în scopurile prevăzute la articolul
1 alineatul (1); sau
|
|
(b)
for compliance with a legal obligation to which
the controller is subject; or
|
(b)
pentru respectarea unei obligații legale care
revine operatorului; sau
|
|
(c)
in order to protect the vital interests of the
data subject or of another person; or
|
(c)
pentru a proteja interesele vitale ale persoanei
vizate sau ale altei persoane; sau
|
|
(d)
for the prevention of an immediate and serious
threat to public security.
|
(d)
pentru prevenirea unei amenințări imediate și grave
la adresa siguranței publice.
|
|
Article 8
Processing of special categories of personal data
|
Articolul 8
Prelucrarea categoriilor speciale de date cu caracter
personal
|
|
1. Member States shall
prohibit the processing of personal data revealing race or ethnic origin,
political opinions, religion or beliefs, trade-union membership, of genetic
data or of data concerning health or sex life.
|
1. Statele
membre interzic prelucrarea datelor cu caracter personal care dezvăluie rasa
sau originea etnică, opiniile politice, religia sau convingerile, apartenența
la un sindicat, a datelor genetice sau a datelor privind sănătatea sau viața
sexuală.
|
|
2. Paragraph 1 shall not
apply where:
|
2. Alineatul
(1) nu se aplică atunci când:
|
|
(a) the processing is authorised by a law providing
appropriate safeguards; or
|
(a) prelucrarea este permisă printr-o lege care oferă garanții adecvate; sau
|
|
(b) the processing is necessary to protect
the vital interests of the data subject or of another
person; or
|
(b) prelucrarea este necesară pentru protejarea intereselor vitale ale
persoanei vizate sau ale altei persoane; sau
|
|
(c) the processing relates to data which
are manifestly made public by the data subject.
|
(c) prelucrarea se referă la date care sunt făcute publice în mod manifest
de persoana vizată.
|
|
Article 9
Measures based on profiling and automated processing
|
Articolul 9
Măsuri bazate pe crearea de profiluri și pe prelucrarea
automată
|
|
1. Member States shall
provide that measures which produce an adverse legal effect for the data
subject or significantly affect them and which are based solely on automated
processing of personal data intended to evaluate certain personal aspects
relating to the data subject shall be prohibited unless authorised by a law
which also lays down measures to safeguard the data subject’s legitimate
interests.
|
1. Statele
membre prevăd dispoziții potrivit cărora sunt interzise măsurile care au efect
juridic negativ pentru persoana vizată sau care afectează în mod semnificativ
persoana vizată și care se bazează exclusiv pe prelucrarea automată a datelor
cu caracter personal care au ca scop evaluarea anumitor aspecte personale
privind persoana vizată, cu excepția cazului în care acest lucru este permis de
un act legislativ care prevede, de asemenea, măsuri de protejare a intereselor
legitime ale persoanei vizate.
|
|
2. Automated processing of
personal data intended to evaluate certain personal aspects relating to the
data subject shall not be based solely on special categories of personal data
referred to in Article 8.
|
2. Prelucrarea
automată a datelor cu caracter personal, menite să evalueze anumite aspecte
personale privind persoana vizată nu se bazează exclusiv pe categoriile
speciale de date cu caracter personal prevăzute la articolul 8.
|
|
CHAPTER III
|
CAPITOLUL III
|
|
RIGHTS OF THE
DATA SUBJECT
|
DREPTURILE PERSOANEI VIZATE
|
|
Article 10
Modalities for exercising the rights of the data
subject
|
Articolul 10
Modalități de exercitare a drepturilor persoanei vizate
|
|
1. Member States shall provide
that the controller takes all reasonable steps to have transparent and easily
accessible policies with regard to the processing of personal data and for the
exercise of the data subjects' rights.
|
1. Statele
membre prevăd dispoziții potrivit cărora operatorul ia toate măsurile
rezonabile pentru a aplica politici transparente și ușor accesibile în ceea ce
privește prelucrarea datelor cu caracter personal și exercitarea drepturilor
persoanelor vizate.
|
|
2. Member States shall provide
that any information and any communication relating to the processing of
personal data are to be provided by the controller to the data subject in an
intelligible form, using clear and plain language.
|
2. Statele
membre prevăd dispoziții potrivit cărora operatorul pune la dispoziția
persoanei vizate orice informație și orice comunicare referitoare la
prelucrarea datelor cu caracter personal, într-o formă inteligibilă, folosind
un limbaj simplu și clar.
|
|
3. Member States shall
provide that the controller takes all reasonable steps to establish procedures
for providing the information referred to in Article 11 and for the exercise of
the rights of data subjects referred to in Articles 12 to 17.
|
3. Statele
membre prevăd dispoziții potrivit cărora operatorul ia toate măsurile
rezonabile pentru stabilirea procedurilor de furnizare a informațiilor
prevăzute la articolul 11 și de exercitare a drepturilor persoanelor vizate
prevăzute la articolele 12 - 17.
|
|
4. Member States shall
provide that the controller informs the data subject about the follow-up given
to their request without undue delay.
|
4. Statele
membre prevăd dispoziții potrivit cărora operatorul informează persoana vizată
cu privire la modul în care a dat curs cererii, fără întârzieri nejustificate.
|
|
5. Member States shall
provide that the information and any action taken by the controller following a
request referred to in paragraphs 3 and 4 are free of charge. Where requests
are vexatious, in particular because of their repetitive character, or the size
or volume of the request, the controller may charge a fee for providing the
information or taking the action requested, or the controller may not take the
action requested. In that case, the controller shall bear the burden of proving
the vexatious character of the request.
|
5. Statele
membre prevăd dispoziții potrivit cărora informațiile și orice acțiune
întreprinsă de către operator în urma unei cereri prevăzute la alineatele (3)
și (4) nu se taxează. În cazul în
care cererile sunt ofensatoare, în special, din cauza caracterului repetitiv
sau al mărimii ori volumului cererii, operatorul poate percepe o taxă pentru
furnizarea informațiilor sau întreprinderea acțiunii solicitate sau operatorul
poate să nu întreprindă acțiunea cerută. În acest caz, sarcina probei în ceea ce privește caracterul vădit
ofensator al cererii revine operatorului.
|
|
Article 11
Information to the data subject
|
Articolul 11
Informații pentru persoana vizată
|
|
1. Where personal data
relating to a data subject are collected, Member States shall ensure that the
controller takes all appropriate measures to provide the data subject with at
least the following information:
|
1. În cazul
în care se colectează date cu caracter personal referitoare la o persoană
vizată, statele membre se asigură că operatorul ia toate măsurile necesare
pentru a furniza persoanei vizate cel puțin următoarele informații:
|
|
(a) the identity and the contact details
of the controller and of the data protection officer;
|
(a) identitatea și datele de contact ale operatorului și ale
responsabilului cu protecția datelor;
|
|
(b) the purposes of the processing for
which the personal data are intended;
|
(b) scopurile în care sunt prelucrate datele cu caracter personal;
|
|
(c) the period for which the personal data
will be stored;
|
(c) perioada de stocare a datelor cu caracter personal;
|
|
(d) the existence of the right to request
from the controller access to and rectification, erasure or restriction of
processing of the personal data concerning the data subject;
|
(d) existența dreptului de a solicita operatorului accesul și rectificarea,
ștergerea sau limitarea prelucrării datelor cu caracter personal referitoare la
persoana vizată;
|
|
(e) the right to lodge a complaint to the
supervisory authority referred to in Article 39 and its contact details;
|
(e) dreptul de a depune o plângere la autoritatea de supraveghere prevăzută
la articolul 39 și datele de contact ale acestei autorități;
|
|
(f) the recipients or categories of
recipients of the personal data, including in third countries or international
organisations;
|
(f) destinatarii sau categoriile de destinatari ai datelor cu caracter
personal, inclusiv în țări terțe sau organizații internaționale;
|
|
(g) any further information in so far as
such further information is necessary to guarantee fair processing in respect
of the data subject, having regard to the specific circumstances in which the
personal data are processed.
|
(g) orice alte informații suplimentare, în măsura în care astfel de
informații suplimentare sunt necesare pentru garantarea prelucrării echitabile
în ceea ce privește persoana vizată, având în vedere circumstanțele specifice
în care sunt prelucrate datele cu caracter personal.
|
|
2. Where the personal data
are collected from the data subject, the controller shall inform the data
subject, in addition to the information referred to in paragraph 1, whether the
provision of personal data is obligatory or voluntary, as well as the possible
consequences of failure to provide such data.
|
2. În cazul
în care datele cu caracter personal sunt colectate de la persoana vizată,
operatorul transmite persoanei vizate, în plus față de informațiile menționate
la alineatul (1), informații cu privire la caracterul obligatoriu sau voluntar
al furnizării datelor cu caracter personal, precum și la eventualele consecințe
ale refuzului de a furniza aceste date.
|
|
3. The controller shall
provide the information referred to in paragraph 1:
|
3. Operatorul
furnizează informațiile prevăzute la alineatul (1):
|
|
(a) at the
time when the personal data are obtained from the data subject, or
|
(a) în momentul obținerii datelor cu caracter personal de la persoana
vizată; sau
|
|
(b) where the personal data are not
collected from the data subject, at the time of the recording or within a reasonable
period after the collection having regard to the specific circumstances in
which the data are processed.
|
(b) în cazul în care datele cu caracter personal nu sunt colectate de la
persoana vizată, în momentul în care sunt înregistrate sau într-o perioadă de
timp rezonabilă după colectare, având în vedere circumstanțele specifice ale
prelucrării datelor.
|
|
4. Member States may adopt
legislative measures delaying, restricting or omitting the provision of the
information to the data subject to the extent that, and as long as, such
partial or complete restriction constitutes a necessary and proportionate
measure in a democratic society with due regard for the legitimate interests of
the person concerned:
|
4. Statele
membre pot adopta măsuri legislative de amânare, restricționare sau omitere a
dispoziției privind informațiile pentru persoana vizată în măsura în care și
atât timp cât o astfel de restricționare parțială sau totală constituie o
măsură necesară și proporțională într-o societate democratică, ținând seama de
interesele legitime ale persoanei vizate:
|
|
(a)
to avoid obstructing official or legal
inquiries, investigations or procedures ;
|
(a)
pentru evitarea obstrucționării cercetărilor,
anchetelor sau procedurilor oficiale sau juridice;
|
|
(b)
to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or for the execution of
criminal penalties;
|
(b)
pentru a nu prejudicia prevenirea, identificarea,
investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;
|
|
(c)
to protect public security;
|
(c)
pentru protejarea siguranței publice;
|
|
(d)
to protect national security;
|
(d)
pentru protejarea securității naționale;
|
|
(e)
to protect the rights and freedoms of others.
|
(e)
pentru protejarea drepturilor și libertăților
celorlalți.
|
|
5. Member States may
determine categories of data processing which may wholly or partly fall under
the exemptions of paragraph 4.
|
5. Statele membre pot stabili
categoriile de prelucrare a datelor care se pot încadra, integral sau parțial,
la excepțiile de la alineatul (4).
|
|
Article 12
Right of access for the data subject
|
Articolul 12
Dreptul de acces al persoanei vizate
|
|
1. Member States shall provide
for the right of the data subject to obtain from the controller confirmation as
to whether or not personal data relating to them are being processed. Where
such personal data are being processed, the controller shall provide the
following information:
|
1. Statele
membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a
obține de la operator confirmarea cu privire la prelucrarea datelor sale cu
caracter personal. În cazul în care
aceste date cu caracter personal sunt prelucrate, operatorul furnizează
următoarele informații:
|
|
(a) the purposes of the processing;
|
(a) scopurile prelucrării;
|
|
(b) the categories of personal data
concerned;
|
(b) categoriile de date cu caracter personal vizate;
|
|
(c) the recipients or categories of
recipients to whom the personal data have been disclosed, in particular the recipients
in third countries;
|
(c) destinatarii sau categoriile de destinatari cărora le-au fost
dezvăluite datele cu caracter personal, în special destinatarii din țări terțe;
|
|
(d) the period for which the personal data
will be stored;
|
(d) perioada de stocare a datelor cu caracter personal;
|
|
(e) the existence of the right to request
from the controller rectification, erasure or restriction of processing of
personal data concerning the data subject;
|
(e) existența dreptului de a solicita de la operator rectificarea,
ștergerea sau restricționarea prelucrării datelor cu caracter personal
referitoare la persoana vizată;
|
|
(f) the right to lodge a complaint to the
supervisory authority and the contact details of the supervisory authority;
|
(f) dreptul de a depune o plângere în fața autorității de supraveghere și
datele de contact ale autorității de supraveghere;
|
|
(g) communication of the personal data
undergoing processing and of any available information as to their source.
|
(g) comunicarea datelor cu caracter personal care fac obiectul prelucrării
și a oricărei informații disponibile cu privire la originea datelor.
|
|
2. Member States shall
provide for the right of the data subject to obtain from the controller a copy
of the personal data undergoing processing.
|
2. Statele
membre prevăd dispoziții potrivit cărora persoana vizată are dreptul de a
obține de la operator o copie a datelor cu caracter personal care fac obiectul
prelucrării.
|
|
Article 13
Limitations to the right of access
|
Articolul 13
Limitarea dreptului de acces
|
|
1.
Member States may adopt legislative measures
restricting, wholly or partly, the data subject's right of access to the extent
that such partial or complete restriction constitutes a necessary and
proportionate measure in a democratic society with due regard for the
legitimate interests of the person concerned:
|
1.
Statele membre pot adopta măsuri legislative care
limitează, integral sau parțial, dreptul de acces al persoanei vizate în măsura
în care o astfel de limitare, parțială sau totală, constituie o măsură necesară
și proporțională într-o societate democratică, ținându-se seama de interesele
legitime ale persoanei în cauză:
|
|
(a)
to avoid obstructing official or legal
inquiries, investigations or procedures;
|
(a)
pentru evitarea obstrucționării cercetărilor,
anchetelor sau procedurilor oficiale sau juridice;
|
|
(b)
to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or the execution of criminal
penalties;
|
(b)
pentru a nu prejudicia prevenirea, identificarea,
investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;
|
|
(c)
to protect public security;
|
(c)
pentru protejarea siguranței
publice;
|
|
(d)
to protect national security;
|
(d)
pentru protejarea securității naționale;
|
|
(e)
to protect the rights and freedoms of others.
|
(e)
pentru protejarea drepturilor și libertăților
celorlalți.
|
|
2.
Member States may determine by law categories of
data processing which may wholly or partly fall under the exemptions of paragraph
1.
|
2.
Statele membre pot stabili prin lege categoriile de
prelucrare a datelor care se pot încadra, integral sau parțial, la excepțiile
de la alineatul (1).
|
|
3.
In cases referred to in paragraphs 1 and 2, Member
States shall provide that the controller informs the data subject in writing on
any refusal or restriction of access, on the reasons for the refusal and on the
possibilities of lodging a complaint to the supervisory authority and seeking a
judicial remedy. The information on factual or legal reasons on which the
decision is based may be omitted where the provision of such information would
undermine a purpose under paragraph 1.
|
3.
În cazurile prevăzute la alineatele (1) și (2),
statele membre prevăd dispoziții potrivit cărora operatorul informează în scris
persoana vizată cu privire la refuzarea sau limitarea accesului, cu privire la
motivele refuzului și cu privire la posibilitățile de a depune o plângere la
autoritatea de supraveghere și de a introduce o cale de atac în justiție.
Informațiile cu privire la motivele de fapt și de drept care stau la baza
deciziei pot fi omise în cazul în care furnizarea acestor informații ar
contraveni unuia dintre obiectivele de la alineatul (1).
|
|
4.
Member States shall ensure that the controller
documents the grounds for omitting the communication of the factual or legal
reasons on which the decision is based.
|
4.
Statele membre se asigură că operatorul
justifică motivele pentru omiterea comunicării motivelor de fapt și de drept
care stau la baza deciziei.
|
|
Article 14
Modalities for exercising the right of access
|
Articolul 14
Modalitățile de exercitare a dreptului de acces
|
|
1. Member States shall
provide for the right of the data subject to request, in particular in cases referred
to in Article 13, that the supervisory authority checks the lawfulness of the
processing.
|
1. Statele membre prevăd
dispoziții potrivit cărora persoana vizată are dreptul de a solicita, în
special în cazurile menționate la articolul 13, verificarea legalității
prelucrării datelor de către autoritatea de supraveghere.
|
|
2. Member State shall provide
that the controller informs the data subject of the right to request the intervention
of the supervisory authority pursuant to paragraph 1.
|
2. Statul membru prevede
dispoziții potrivit cărora operatorul informează persoana vizată cu privire la
dreptul de a solicita intervenția autorității de supraveghere în temeiul
alineatului (1).
|
|
3. When the right referred to
in paragraph 1 is exercised, the supervisory authority shall inform the data
subject at least that all necessary verifications by the supervisory authority
have taken place, and of the result as regards the lawfulness of the processing
in question.
|
3. Atunci când este exercitat
dreptul menționat la alineatul (1), autoritatea de supraveghere informează
persoana vizată, cel puțin că au fost realizate toate verificările necesare de
către autoritatea de supraveghere, precum și cu privire la rezultatul
legalității prelucrării respective.
|
|
Article 15
Right to rectification
|
Articolul 15
Dreptul la rectificare
|
|
1. Member States shall provide
for the right of the data subject to obtain from the controller the
rectification of personal data relating to them which are inaccurate. The data
subject shall have the right to obtain completion of incomplete personal data,
in particular by way of a corrective statement.
|
1. Statele membre prevăd dispoziții
potrivit cărora persoana vizată are dreptul de a obține de la operator
rectificarea datelor cu caracter personal inexacte care o privesc. Persoana
vizată are dreptul de a obține completarea datelor cu caracter personal care
sunt incomplete, în special prin furnizarea unei declarații corective
suplimentare.
|
|
2. Member States shall
provide that the controller informs the data subject in writing on any refusal
of rectification, on the reasons for the refusal and on the possibilities of
lodging a complaint to the supervisory authority and seeking a judicial remedy.
|
2. Statele membre prevăd
dispoziții potrivit cărora operatorul informează în scris persoana vizată cu
privire la orice refuz de rectificare, cu privire la motivele refuzului și cu
privire la posibilitățile de a depune o plângere la autoritatea de supraveghere
și de a introduce o cale de atac în justiție.
|
|
Article 16
Right to erasure
|
Articolul 16
Dreptul de a șterge
|
|
1.
Member States shall provide for the right of the
data subject to obtain from the controller the erasure of personal data
relating to them where the processing does not comply with the provisions
adopted pursuant to Articles 4 (a) to (e), 7 and 8 of this Directive.
|
1.
Statele membre prevăd dispoziții potrivit cărora
persoana vizată are dreptul de a obține din partea operatorului ștergerea
datelor cu caracter personal referitoare la aceasta, în cazul în care
prelucrarea nu este în conformitate cu dispozițiile adoptate în temeiul
articolului 4 literele (a) – (e) și al articolelor 7 și 8 din prezenta
directivă.
|
|
2.
The controller shall carry out the erasure
without delay.
|
2.
Operatorul efectuează ștergerea fără întârziere.
|
|
3.
Instead of erasure, the controller shall mark
the personal data where:
|
3.
În loc de ștergere, operatorul marchează datele cu
caracter personal în cazul în care:
|
|
(a)
their accuracy is contested by the data subject,
for a period enabling the controller to verify the accuracy of the data;
|
(a)
persoana vizată contestă exactitatea acestor date,
pentru o perioadă care să îi permită operatorului să verifice exactitatea
datelor;
|
|
(b)
the personal data have to be maintained for
purposes of proof;
|
(b)
datele cu caracter personal trebuie să fie păstrate
ca dovadă;
|
|
(c)
the data subject opposes their erasure and requests
the restriction of their use instead.
|
(c)
persoana vizată se opune ștergerii și solicită în
schimb restricționarea utilizării acestora.
|
|
4.
Member States shall provide that the controller
informs the data subject in writing of any refusal of erasure or marking of the
processing, the reasons for the refusal and the possibilities of lodging a
complaint to the supervisory authority and seeking a judicial remedy.
|
4.
Statele membre prevăd dispoziții potrivit cărora
operatorul informează persoana vizată, în scris, cu privire la orice refuz de
ștergere sau de marcare a prelucrării, cu privire la motivele refuzului și cu
privire la posibilitățile de a depune o plângere la autoritatea de supraveghere
și de a introduce o cale de atac în justiție.
|
|
Article 17
Rights of the data subject in criminal investigations and proceedings
|
Articolul 17
Drepturile persoanelor vizate în cadrul investigațiilor și procedurilor
penale
|
|
Member States may provide that the rights
of information, access, rectification, erasure and restriction of processing
referred to in Articles 11 to 16 are carried out in accordance with national
rules on judicial proceedings where the personal data are contained in a
judicial decision or record processed in the course of criminal investigations
and proceedings.
|
Statele membre pot prevedea dispoziții
potrivit cărora drepturile la informare, acces, rectificare, ștergere și la
restricționarea prelucrării menționate la articolele 11 - 16 sunt exercitate în
conformitate cu normele naționale privind procedurile judiciare în cazul în
care datele cu caracter personal sunt conținute într-o hotărâre sau
înregistrare judecătorească prelucrată în cursul unor investigații și al unor
proceduri penale.
|
|
CHAPTER IV
CONTROLLER AND PROCESSOR
|
CAPITOLUL IV
OPERATORUL ȘI PERSOANA ÎMPUTERNICITĂ DE CĂTRE OPERATOR
|
|
SECTION
1
GENERAL OBLIGATIONS
|
SECȚIUNEA 1
OBLIGAȚII GENERALE
|
|
Article 18
Responsibility of the controller
|
Articolul 18
Responsabilitatea operatorului
|
|
1. Member States shall
provide that the controller adopts policies and implements appropriate measures
to ensure that the processing of personal data is performed in compliance with the
provisions adopted pursuant to this Directive.
|
1. Statele membre prevăd
dispoziții potrivit cărora operatorul adoptă norme interne și pune în aplicare
măsuri adecvate pentru a se asigura că prelucrarea datelor cu caracter personal
este realizată în conformitate cu dispozițiile adoptate în temeiul prezentei
directive.
|
|
2. The measures referred to
in paragraph 1 shall in particular include:
|
2. Măsurile menționate la
alineatul (1) cuprind în special:
|
|
(a) keeping the documentation referred to
in Article 23;
|
(a) păstrarea documentației menționate la articolul
23;
|
|
(b) complying with the requirements for
prior consultation pursuant to Article 26;
|
(b) respectarea cerințelor privind
consultarea prealabilă, în temeiul articolului 26;
|
|
(c) implementing the data security
requirements laid down in Article 27;
|
(c) punerea în aplicare a cerințelor privind
securitatea datelor prevăzute la articolul 27;
|
|
(d) designating a data protection officer
pursuant to Article 30.
|
(d) desemnarea unui responsabil cu protecția
datelor, în temeiul articolului 30.
|
|
3. The controller shall implement mechanisms to ensure the verification
of the effectiveness of the measures referred to in paragraph 1 of this Article. If proportionate, this verification shall be carried
out by independent internal or external auditors.
|
3. Operatorul pune în aplicare
mecanisme pentru a asigura verificarea eficacității măsurilor menționate la
alineatele (1) și (2) ale prezentului articol. Dacă
se dovedește a fi proporțională, această verificare va fi efectuată de auditori
interni sau externi independenți.
|
|
Article 19
Data protection by design and by default
|
Articolul 19
Protecția datelor începând cu momentul conceperii și protecția implicită a
datelor
|
|
1. Member States shall
provide that, having regard to the state of the
art and the cost of implementation, the controller shall implement
appropriate technical and organisational measures and procedures in such a way
that the processing will meet the requirements of provisions adopted pursuant
to this Directive and ensure the protection of the rights of the data subject.
|
1. Statele membre prevăd
dispoziții potrivit cărora, având în vedere stadiul actual al tehnicii și
costurile de implementare, operatorul pune în aplicare măsuri și proceduri
tehnice și organizatorice corespunzătoare astfel încât prelucrarea să
îndeplinească cerințele dispozițiilor adoptate în temeiul prezentei directive
și să asigure protecția drepturilor persoanei vizate.
|
|
2. The controller shall
implement mechanisms for ensuring that, by default, only those personal data
which are necessary for the purposes of the processing are processed.
|
2. Operatorul pune în aplicare
mecanisme care garantează că, în mod implicit, sunt prelucrate numai acele date
cu caracter personal care sunt necesare pentru scopurile prelucrării.
|
|
Article 20
Joint controllers
|
Articolul 20
Operatorii asociați
|
|
Member States shall provide that where a
controller determines the purposes, conditions and means of the processing of
personal data jointly with others, the joint controllers must determine the
respective responsibilities for compliance with the provisions adopted pursuant
to this Directive, in particular as regards the procedures and mechanisms for
exercising the rights of the data subject, by means of an arrangement between
them.
|
Statele membre prevăd dispoziții potrivit cărora,
în cazul în care un operator stabilește scopul, condițiile și mijloacele de
prelucrare a datelor cu caracter personal împreună cu alții, operatorii
asociați trebuie să stabilească responsabilitățile care revin fiecăruia pentru
respectarea dispozițiilor adoptate în temeiul prezentei directive, în special
în ceea ce privește procedurile și mecanismele pentru exercitarea drepturilor
persoanelor vizate, prin intermediul unui acord între aceștia.
|
|
Article 21
Processor
|
Articolul 21
Persoana împuternicită de către operator
|
|
1.
Member States shall provide that where a
processing operation is carried out on behalf of a controller, the controller
must choose a processor providing sufficient guarantees to implement
appropriate technical and organisational measures and procedures in such a way
that the processing will meet the requirements of the provisions adopted
pursuant to this Directive and ensure the protection of the rights of the data
subject.
|
1.
Statele membre prevăd dispoziții potrivit cărora,
atunci când o operațiune de prelucrare este realizată în numele unui operator,
operatorul trebuie să aleagă o persoană împuternicită care să ofere garanții
suficiente pentru punerea în aplicare a măsurilor tehnice și organizatorice
adecvate și a procedurilor, astfel încât prelucrarea să îndeplinească cerințele
prevăzute în dispozițiile adoptate în temeiul prezentei directive și să asigure
protecția drepturilor persoanei vizate.
|
|
2.
Member States shall provide that the carrying
out of processing by a processor must be governed by a legal act binding the
processor to the controller and stipulating in particular that the processor
shall act only on instructions from the controller, in particular, where the
transfer of the personal data used is prohibited.
|
2.
Statele membre prevăd dispoziții potrivit cărora
realizarea prelucrării de către o persoană împuternicită de către operator
trebuie să fie reglementată printr-un act juridic care obligă persoana
împuternicită de către operator în raport cu operatorul și care prevede, în
special, că persoana împuternicită de către operator acționează numai la
instrucțiunile operatorului; în special, în cazul în care transferul datelor cu
caracter personal utilizate este interzis.
|
|
3.
If a processor processes personal data other
than as instructed by the controller, the processor shall be considered to be a
controller in respect of that processing and shall be subject to the rules on
joint controllers laid down in Article 20.
|
3.
În cazul în care o persoană împuternicită de către
operator prelucrează date cu caracter personal într-un alt mod decât cel
prevăzut în instrucțiunile date de operator, persoana împuternicită de către
operator este considerată operator pentru prelucrarea respectivă și face
obiectul dispozițiilor privind operatorii asociați prevăzute la articolul 20.
|
|
Article 22
Processing under the authority of the controller and processor
|
Articolul 22
Desfășurarea activității de prelucrare sub autoritatea operatorului și a
persoanei împuternicite de către operator
|
|
Member States shall provide that the
processor and any person acting under the authority of the controller or of the
processor, who has access to personal data, may only process them on
instructions from the controller or where required by Union or Member State
law.
|
Statele membre prevăd dispoziții potrivit
cărora orice persoană acționând sub autoritatea operatorului sau a persoanei
împuternicite, care are acces la date cu caracter personal, nu le poate
prelucra decât pe baza instrucțiunilor operatorului sau dacă acest lucru este
impus de legislația Uniunii sau a unui stat membru.
|
|
Article 23
Documentation
|
Articolul 23
Documentația
|
|
1. Member States shall
provide that each controller and processor maintains documentation of all
processing systems and procedures under their responsibility.
|
1. Statele membre prevăd
dispoziții potrivit cărora fiecare operator și persoană împuternicită de către
operator păstrează documentația referitoare la toate sistemele și procedurile
de prelucrare aflate în responsabilitatea lor.
|
|
2. The documentation shall
contain at least the following information:
|
2. Această documentație cuprinde
cel puțin următoarele informații:
|
|
(a) the name and contact details of the
controller, or any joint controller or processor;
|
(a) numele și datele de contact ale
operatorului, sau ale oricărui operator asociat sau persoane împuternicite de
către operator;
|
|
(b) the purposes of the processing;
|
(b) scopurile prelucrării;
|
|
(c) the recipients or categories of
recipients of the personal data;
|
(c) destinatarii sau categoriile de
destinatari ai datelor cu caracter personal;
|
|
(d) transfers of data to a third country
or an international organisation, including the identification of that third
country or international organisation.
|
(d) transferurile de date către o țară terță
sau către o organizație internațională, inclusiv identificarea țării terțe sau
a organizației internaționale respective.
|
|
3. The controller and the
processor shall make the documentation available, on request, to the
supervisory authority.
|
3. Operatorul și persoana
împuternicită de către operator pun documentația la dispoziția autorității de
supraveghere, la cererea acesteia.
|
|
Article 24
Keeping of records
|
Articolul 24
Păstrarea înregistrărilor
|
|
1. Member States shall ensure
that records are kept of at least the following processing operations:
collection, alteration, consultation, disclosure, combination or erasure. The
records of consultation and disclosure shall show in particular the purpose,
date and time of such operations and as far as possible the identification of the
person who consulted or disclosed personal data.
|
1. Statele membre prevăd
dispoziții potrivit cărora se înregistrează următoarele operațiuni de
prelucrare: colectare, modificare, consultare, divulgare, combinare sau
ștergere. Înregistrările consultărilor sau ale divulgărilor indică, în special,
scopul, data și momentul acestor operațiuni și, în măsura în care este posibil,
identificarea persoanei ale cărei date cu caracter personal au fost consultate
sau divulgate.
|
|
2. The records shall be used solely
for the purposes of verification of the lawfulness of the data processing, self-monitoring
and for ensuring data integrity and data security.
|
2. Înregistrările sunt utilizate
exclusiv în scopul verificării legalității prelucrării datelor, al
monitorizării proprii și al asigurării integrității și securității datelor.
|
|
Article 25
Cooperation with the supervisory authority
|
Articolul 25
Cooperarea cu autoritatea de supraveghere
|
|
1. Member
States shall provide that the controller
and the processor shall co-operate, on request, with the supervisory authority in
the performance of its duties, in particular by providing all information necessary
for the supervisory authority to perform its duties.
|
1. Statele
membre prevăd dispoziții potrivit cărora operatorul și persoana împuternicită
de operator cooperează cu autoritatea de supraveghere, la cererea acesteia, în
îndeplinirea îndatoririlor sale, în special prin furnizarea tuturor
informațiilor necesare autorității de supraveghere pentru a-și îndeplini
sarcinile.
|
|
2. In
response to the supervisory authority's exercise of its powers under points (a)and
(b) of Article 46, the controller and the
processor shall reply to the supervisory authority within a reasonable period.
The reply shall include a description of the measures taken and the results
achieved, in response to the remarks of the supervisory authority.
|
2. În
urma exercitării de către autoritatea de supraveghere a competențelor sale
prevăzute la articolul 46 literele (a) și (b), operatorul și persoana
împuternicită de către operator răspund autorității de supraveghere într-un
termen rezonabil. Răspunsul include o descriere a măsurilor adoptate și a
rezultatelor obținute în urma observațiilor autorității de supraveghere.
|
|
Article 26
Prior consultation of the supervisory authority
|
Articolul 26
Consultarea prealabilă a autorității de supraveghere
|
|
1.
Member States shall ensure that the controller
or the processor consults the supervisory authority prior to the processing of
personal data which will form part of a new filing system to be created where:
|
1.
Statele membre se asigură că operatorul sau
persoana împuternicită consultă autoritatea de supraveghere înainte de
prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de
evidență a datelor care urmează a fi creat, în cazul în care:
|
|
(a) special categories of data referred to
in Article 8 are to be processed;
|
(a) urmează a fi prelucrate categorii
speciale de date, menționate la articolul 8;
|
|
(b) the type of processing, in particular
using new technologies, mechanisms or procedures, holds otherwise specific
risks for the fundamental rights and freedoms, and in particular the protection
of personal data, of data subjects.
|
(b) tipul prelucrării, în special prin
utilizarea de tehnologii, mecanisme sau proceduri noi prezintă riscuri
specifice pentru drepturile și libertățile fundamentale, în special pentru
protecția datelor cu caracter personal ale persoanelor vizate.
|
|
2.
Member States may provide that the supervisory
authority establishes a list of the processing operations which are subject to
prior consultation pursuant to paragraph 1.
|
2.
Statele membre pot prevedea dispoziții potrivit
cărora autoritatea de supraveghere stabilește o listă a operațiunilor de
prelucrare care fac obiectul consultării prealabile, în conformitate cu
alineatul (1).
|
|
SECTION
2
data SECURITY
|
SECȚIUNEA 2
SECURITATEA DATELOR
|
|
Article 27
Security of processing
|
Articolul 27
Securitatea prelucrării
|
|
1. Member
States shall provide that the controller and the processor implements appropriate
technical and organisational measures to ensure a level of security appropriate
to the risks represented by the processing and the nature of the data to be
protected, having regard to the state of the art and the cost of their
implementation.
|
1. Statele
membre prevăd dispoziții potrivit cărora operatorul și persoana împuternicită
de către operator pun în aplicare măsuri tehnice și organizatorice adecvate
pentru a asigura un nivel de securitate corespunzător riscurilor pe care le
presupune prelucrarea și naturii datelor care trebuie protejate, având în
vedere stadiul actual al tehnologiei și costurile punerii lor în aplicare.
|
|
2. In
respect of automated data processing, each Member State shall provide that the
controller or processor, following an evaluation of the risks, implements
measures designed to:
|
2. În
ceea ce privește prelucrarea automată a datelor, fiecare stat membru prevede
dispoziții potrivit cărora operatorul sau persoana împuternicită de către
operator, în urma unei evaluări a riscurilor, pune în aplicare măsuri menite:
|
|
(a)
deny unauthorised persons access to
data-processing equipment used for processing personal data (equipment access
control);
|
(a)
să împiedice accesul persoanelor neautorizate la
echipamentele de prelucrare a datelor utilizate pentru prelucrarea datelor cu
caracter personal (controlul accesului la echipamente);
|
|
(b)
prevent the unauthorised reading, copying,
modification or removal of data media (data media control);
|
(b)
să împiedice orice citire, copiere, modificare sau
eliminare neautorizată a suporturilor de date (controlul suporturilor de date);
|
|
(c)
prevent the unauthorised input of data and the
unauthorised inspection, modification or deletion of stored personal data
(storage control);
|
(c)
să împiedice introducerea neautorizată de date și
inspectarea, modificarea sau ștergerea neautorizată a datelor cu caracter
personal stocate (controlul stocării);
|
|
(d)
prevent the use of automated data-processing
systems by unauthorised persons using data communication equipment (user
control);
|
(d)
să împiedice utilizarea sistemelor de prelucrare
automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de
comunicare a datelor (controlul utilizatorului);
|
|
(e)
ensure that persons authorised to use an
automated data-processing system only have access to the data covered by their
access authorisation (data access control);
|
(e)
să asigure faptul că persoanele autorizate să
utilizeze un sistem de prelucrare automată a datelor au acces numai la datele
pentru care au autorizare (controlul accesului la date);
|
|
(f)
ensure that it is possible to verify and
establish to which bodies personal data have been or may be transmitted or made
available using data communication equipment (communication control);
|
(f)
să asigure că este posibilă verificarea și
identificarea organismelor cărora le-au fost transmise sau puse la dispoziție
sau s-ar putea să le fie transmise sau puse la dispoziție date cu caracter
personal utilizându-se echipamente de comunicare a datelor (controlul
comunicării);
|
|
(g)
ensure that it is subsequently possible to
verify and establish which personal data have been input into automated
data-processing systems and when and by whom the data were input (input
control);
|
(g)
să asigure că este posibil ulterior să se verifice
și să se identifice datele cu caracter personal introduse în sistemele de
prelucrare automată a datelor, momentul introducerii acestora și entitatea care
le-a introdus (controlul introducerii datelor);
|
|
(h)
prevent the unauthorised reading, copying,
modification or deletion of personal data during transfers of personal data or
during transportation of data media (transport control);
|
(h)
să împiedice citirea, copierea, modificarea sau
ștergerea neautorizată a datelor cu caracter personal în timpul transferurilor
de date cu caracter personal sau în timpul transportării suporturilor de date
(controlul transportării);
|
|
(i)
ensure that installed systems may, in case of
interruption, be restored (recovery);
|
(i)
să asigure posibilitatea recuperării sistemelor
instalate în cazul unei întreruperi (recuperarea);
|
|
(j)
ensure that the functions of the system perform,
that the appearance of faults in the functions is reported (reliability) and
that stored personal data cannot be corrupted by means of a malfunctioning of
the system (integrity).
|
(j)
să asigure funcționarea sistemului, raportarea
defecțiunilor de funcționare (fiabilitate) și imposibilitatea coruperii datelor
cu caracter personal stocate, din cauza funcționării defectuoase a sistemului
(integritate).
|
|
3. The
Commission may adopt, where necessary, implementing acts for specifying the
requirements laid down in paragraphs 1 and 2 to various situations, notably
encryption standards. Those implementing acts shall be adopted in accordance
with the examination procedure referred to in Article 57(2).
|
3. Comisia
poate adopta, după caz, acte de punere în aplicare pentru specificarea
cerințelor prevăzute la alineatele (1) și (2) în diverse situații, în special a
standardelor de codificare. Actele de punere în aplicare respective sunt
adoptate în conformitate cu procedura de examinare menționată la articolul 57
alineatul (2).
|
|
Article 28
Notification of a personal data breach to the
supervisory authority
|
Articolul 28
Notificarea autorității de supraveghere în
cazul încălcării securității datelor cu caracter personal
|
|
1. Member States shall
provide that in the case of a personal data breach, the controller notifies,
without undue delay and, where feasible, not later than 24 hours after having
become aware of it, the personal data breach to the supervisory authority. The controller
shall provide, on request, to the supervisory authority a reasoned
justification in cases where the notification is not made within 24 hours.
|
1. Statele membre prevăd
dispoziții potrivit cărora, în cazul în care are loc o încălcare a securității
datelor cu caracter personal, operatorul notifică acest lucru autorității de
supraveghere fără întârzieri nejustificate și, în cazul în care este posibil,
în termen de cel mult 24 de ore de la data la care a luat cunoștință de
aceasta. Operatorul transmite autorității de supraveghere, la cerere, o
explicație motivată în cazurile în care notificarea nu este efectuată în termen
de 24 de ore.
|
|
2. The processor shall alert
and inform the controller immediately after having become aware of a personal
data breach.
|
2. Persoana împuternicită de
către operator alertează și informează operatorul, imediat după ce ia
cunoștință de o încălcare a securității datelor cu caracter personal.
|
|
3. The notification referred
to in paragraph 1 shall at least:
|
3. Notificarea menționată la
alineatul (1) trebuie, cel puțin:
|
|
(a) describe the nature of the personal
data breach including the categories and number of data subjects concerned and
the categories and number of data records concerned;
|
(a) să descrie caracterul încălcării
securității datelor cu caracter personal, inclusiv categoriile și numărul
persoanelor vizate în cauză, precum și categoriile și numărul de înregistrări
de date în cauză;
|
|
(b) communicate the identity and contact
details of the data protection officer referred to in Article 30 or other
contact point where more information can be obtained;
|
(b) să comunice identitatea și datele de
contact ale responsabilului cu protecția datelor menționat la articolul 30 sau
alt punct de contact unde pot fi obținute mai multe informații;
|
|
(c) recommend measures to mitigate the
possible adverse effects of the personal data breach;
|
(c) să recomande măsuri de atenuare a
eventualelor efecte negative ale încălcării securității datelor cu caracter
personal;
|
|
(d) describe the possible consequences of
the personal data breach;
|
(d) să descrie consecințele posibile ale
încălcării securității datelor cu caracter personal;
|
|
(e) describe the measures proposed or
taken by the controller to address the personal data breach.
|
(e) să descrie măsurile propuse sau adoptate
de operator pentru a remedia problema încălcării securității datelor cu
caracter personal.
|
|
4. Member States shall
provide that the controller documents any personal data breaches, comprising
the facts surrounding the breach, its effects and the remedial action taken.
This documentation must enable the supervisory authority to verify compliance
with this Article. The documentation shall only include the information
necessary for that purpose.
|
4. Statele membre prevăd
dispoziții potrivit cărora operatorul păstrează documente referitoare la toate
cazurile de încălcare a securității datelor cu caracter personal, care cuprind
o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și
a măsurilor de remediere întreprinse. Aceste documente trebuie să permită
autorității de supraveghere să verifice conformitatea cu prezentul articol.
Documentele respective includ numai informațiile necesare în acest scop.
|
|
5. The Commission shall be
empowered to adopt delegated acts in accordance with Article 56 for the purpose
of specifying further the criteria and requirements for establishing the data
breach referred to in paragraphs 1 and 2 and for the particular circumstances
in which a controller and a processor is required to notify the personal data
breach.
|
5. Comisia este împuternicită să
adopte acte delegate în conformitate cu articolul 56 în scopul detalierii
criteriilor și cerințelor necesare pentru stabilirea încălcării menționate la
alineatele (1) și (2) și pentru circumstanțele speciale în care un operator și
o persoană împuternicită de către operator au obligația de a notifica
încălcarea securității datelor cu caracter personal.
|
|
6. The Commission may lay
down the standard format of such notification to the supervisory authority, the
procedures applicable to the notification requirement and the form and the
modalities for the documentation referred to in paragraph 4, including the time
limits for erasure of the information contained therein. Those implementing
acts shall be adopted in accordance with the examination procedure referred to
in Article 57(2).
|
6. Comisia poate stabili
formatul standard al notificării adresate autorității de supraveghere,
procedurile aplicabile în cazul obligației de notificare și forma și
modalitățile de întocmire a documentelor menționate la alineatul (4), inclusiv
termenele pentru ștergerea informațiilor conținute în acestea. Actele de punere
în aplicare respective sunt adoptate în conformitate cu procedura de examinare
menționată la articolul 57 alineatul (2).
|
|
Article 29
Communication of a personal data breach to
the data subject
|
Articolul 29
Informarea persoanei vizate cu privire la
încălcarea securității datelor cu caracter personal
|
|
1. Member States shall
provide that when the personal data breach is likely to adversely affect the
protection of the personal data or privacy of the data subject, the controller
shall, after the notification referred to in Article 28, communicate the
personal data breach to the data subject without undue delay.
|
1. Statele membre prevăd
dispoziții potrivit cărora, atunci când încălcarea securității datelor cu
caracter personal afectează protecția datelor cu caracter personal și a vieții
private a persoanei vizate, operatorul, după notificarea prevăzută la articolul
28, informează persoana vizată, fără întârzieri nejustificate, cu privire la
încălcarea securității datelor cu caracter personal.
|
|
2. The communication to the
data subject referred to in paragraph 1 shall describe the nature of the
personal data breach and contain at least the information and the
recommendations provided for in points (b) and (c) of Article 28(3).
|
2. Informarea persoanei vizate
prevăzută la alineatul (1) cuprinde o descriere a caracterului încălcării
securității datelor cu caracter personal și conține cel puțin informațiile și
recomandările prevăzute la articolul 28 alineatul (3) literele (b) și (c).
|
|
3. The communication of a
personal data breach to the data subject shall not be required if the
controller demonstrates to the satisfaction of the supervisory authority that
it has implemented appropriate technological protection measures, and that
those measures were applied to the personal data concerned by the personal data
breach. Such technological protection measures shall render the data
unintelligible to any person who is not authorised to access it.
|
3. Informarea persoanei vizate
cu privire la încălcarea securității datelor cu caracter personal ale acesteia
nu este necesară în cazul în care operatorul demonstrează într-un mod
satisfăcător autorității de supraveghere că a pus în aplicare măsuri
tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate în
cazul datelor afectate de încălcarea securității datelor cu caracter personal.
Astfel de măsuri tehnologice de protecție asigură faptul că datele devin
neinteligibile persoanelor care nu sunt autorizate să le acceseze.
|
|
4. The communication to the
data subject may be delayed, restricted or omitted on the grounds referred to
in Article 11(4).
|
4. Informarea persoanei vizate
poate fi întârziată, restricționată sau omisă din motivele menționate la
articolul 11 alineatul (4).
|
|
SECTION 3
DATA PROTECTION OFFICER
|
SECȚIUNEA 3
RESPONSABILUL CU PROTECȚIA DATELOR
|
|
Article 30
Designation of the data protection officer
|
Articolul 30
Desemnarea responsabilului cu protecția datelor
|
|
1.
Member States shall provide that the controller or
the processor designates a data protection officer.
|
1.
Statele membre prevăd dispoziții potrivit cărora
operatorul sau persoana împuternicită de către operator desemnează un
responsabil cu protecția datelor.
|
|
2.
The data protection officer shall be designated on
the basis of professional qualities and, in particular, expert knowledge of
data protection law and practices and ability to fulfil the tasks referred to
in Article 32.
|
2.
Responsabilul cu protecția datelor este desemnat pe
baza calităților profesionale și, în special, a cunoștințelor de specialitate în
domeniul legislației și practicilor privind protecția datelor, precum și pe
baza capacității de a îndeplini sarcinile prevăzute la articolul 32.
|
|
3.
The data protection officer may be designated for several entities, taking account of the organisational
structure of the competent authority.
|
3.
Responsabilul cu protecția datelor poate fi
desemnat pentru mai multe entități, ținându-se seama de structura
organizatorică a autorității competente.
|
|
Article 31
Position of the data protection officer
|
Articolul 31
Funcția responsabilului cu protecția datelor
|
|
1.
Member States shall provide that the controller
or the processor ensures that the data protection officer is properly and in a
timely manner involved in all issues which relate to the protection of personal
data.
|
1.
Statele membre prevăd dispoziții potrivit cărora
operatorul sau persoana împuternicită de către operator se asigură că
responsabilul cu protecția datelor este implicat în mod corespunzător și în
timp util în toate aspectele legate de protecția datelor cu caracter personal.
|
|
2.
The controller or processor shall ensure that
the data protection officer is provided with the means to perform duties and
tasks referred to under Article 32 effectively and independently, and does not
receive any instructions as regards the exercise of the function.
|
2.
Operatorul sau persoana împuternicită de către
operator se asigură că responsabilul cu protecția datelor are la dispoziție
mijloacele pentru îndeplinirea cu eficacitate și în mod independent a
funcțiilor și sarcinilor menționate la articolul 32 și că nu primește
instrucțiuni în ceea ce privește exercitarea funcției sale.
|
|
Article 32
Tasks of the data protection officer
|
Articolul 32
Sarcinile responsabilului cu protecția datelor
|
|
Member States shall provide that the
controller or the processor entrusts the data protection officer at least with the
following tasks:
|
Statele membre prevăd dispoziții potrivit
cărora operatorul sau persoana împuternicită de către operator încredințează
responsabilului cu protecția datelor cel puțin următoarele sarcini:
|
|
(a)
to inform and advise the controller or the processor
of their obligations in accordance with the provisions adopted pursuant to this
Directive and to document this activity and the responses received;
|
(a)
informarea și consilierea operatorului sau a
persoanei împuternicite de către operator cu privire la obligațiile care îi
revin în conformitate cu dispozițiile adoptate în temeiul prezentei directive
și păstrarea documentelor referitoare la această activitate și la răspunsurile
primite;
|
|
(b)
to monitor the implementation and application of
the policies in relation to the protection of personal data, including the
assignment of responsibilities, the training of staff involved in the
processing operations and the related audits;
|
(b)
monitorizarea aplicării politicilor în ceea ce
privește protecția datelor cu caracter personal, inclusiv alocarea
responsabilităților, formarea personalului implicat în operațiunile de
prelucrare și auditurile aferente;
|
|
(c)
to monitor the implementation and application of
the provisions adopted pursuant to this Directive, in particular as to the
requirements related to data protection by design, data protection by default
and data security and to the information of data subjects and their requests in
exercising their rights under the provisions adopted pursuant to this
Directive;
|
(c)
monitorizarea punerii în aplicare și aplicarea
dispozițiilor adoptate în temeiul prezentei directive, în special cu privire la
cerințele legate de protecția datelor începând cu momentul conceperii, de
protecția implicită a datelor, securitatea datelor și de informarea persoanelor
vizate, precum și de solicitările acestora în exercitarea drepturilor lor
prevăzute de dispozițiile adoptate în temeiul prezentei directive;
|
|
(d)
to ensure that the documentation referred to in
Article 23 is maintained;
|
(d)
asigurarea păstrării documentației, prevăzute la
articolul 23;
|
|
(e)
to monitor the documentation, notification and
communication of personal data breaches pursuant to Articles 28 and 29;
|
(e)
monitorizarea documentației, a notificării și a
comunicării cazurilor de încălcare a securității datelor cu caracter personal,
în temeiul articolelor 28 și 29;
|
|
(f)
to monitor the application for prior consultation
to the supervisory authority, if required pursuant to Article 26 ;
|
(f)
monitorizarea cererii de consultare prealabilă
adresată autorități de supraveghere, în cazul în care este necesar, în
conformitate cu articolul 26;
|
|
(g)
to monitor the response to requests from the
supervisory authority, and, within the sphere of the data protection officer's competence,
co-operating with the supervisory authority at the latter's request or on his
own initiative;
|
(g)
monitorizarea răspunsului la solicitările autorității
de supraveghere și, în limitele ariei de competență a responsabilului cu
protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea
acesteia sau din proprie inițiativă;
|
|
(h) to act as the contact point for the
supervisory authority on issues related to the processing and consult with the
supervisory authority, if appropriate, on the data protection officer's own
initiative.
|
(h) asumarea rolului de punct de contact
pentru autoritatea de supraveghere privind aspectele legate de prelucrare și,
dacă este cazul, de consultare a autorității de supraveghere, din propria
inițiativă a responsabilului cu protecția datelor.
|
|
CHAPTER V
TRANSFER OF PERSONAL DATA
TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
CAPITOLUL V
TRANSFERUL DATELOR CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII
INTERNAȚIONALE
|
|
Article 33
General principles for transfers of
personal data
|
Articolul 33
Principii generale pentru transferurile de date cu caracter personal
|
|
Member States shall provide that any transfer of personal
data by competent authorities that is undergoing processing or is intended for
processing after transfer to a third country, or to an international
organisation, including further onward transfer to another third country or
international organisation, may take place only if:
|
Statele membre prevăd dispoziții potrivit
cărora orice transfer de date cu caracter personal de către autoritățile
competente, care sunt prelucrate sau care sunt destinate prelucrării după
transferul către o țară terță sau către o organizație internațională, inclusiv,
ulterior, transferul în continuare către o altă țară terță sau organizație
internațională, poate avea loc numai dacă:
|
|
(a) the transfer is necessary for the
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties; and
|
(a) transferul este necesar pentru
prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor
sau pentru executarea pedepselor și
|
|
(b) the conditions laid down in this
Chapter are complied with by the controller and processor.
|
(b) condițiile prevăzute în prezentul capitol
sunt respectate de operator și de persoana împuternicită de către operator.
|
|
Article 34
Transfers with an adequacy decision
|
Articolul 34
Transferuri în baza unei decizii privind caracterul adecvat al nivelului de
protecție
|
|
1. Member States shall provide
that a transfer of personal data to a third country or an international
organisation may take place where the Commission has decided in accordance with
Article 41 of Regulation (EU) …./2012 or in accordance with paragraph 3 of this
Article that the third country or a territory or a processing sector within
that third country, or the international organisation in question ensures an
adequate level of protection. Such transfer shall not require any further authorisation.
|
1. Statele membre prevăd
dispoziții potrivit cărora un transfer de date cu caracter personal către o
țară terță sau către o organizație internațională poate avea loc în cazul în
care Comisia a decis, în conformitate cu articolul 41 din Regulamentul (CE) …./2012
sau în conformitate cu alineatul (3) din prezentul articol, că țara terță sau
un teritoriu sau un sector de prelucrare din acea țară terță sau organizația
internațională respectivă asigură un nivel adecvat de protecție. Transferurile
realizate în aceste condiții nu necesită alte autorizări suplimentare.
|
|
2. Where no decision adopted
in accordance with Article 41 of Regulation (EU) …./2012 exists, the Commission
shall assess the adequacy of the level of protection, giving consideration to
the following elements:
|
2. În cazul în care nu există
nici decizie adoptată în conformitate cu articolul 41 din Regulamentul (CE) …./2012,
Comisia evaluează caracterul adecvat al nivelului de protecție, luând în
considerare următoarele elemente:
|
|
(a) the rule of law, relevant legislation
in force, both general and sectoral, including concerning public security,
defence, national security and criminal law as well as the security measures
which are complied with in that country or by that international organisation; as
well as effective and enforceable rights including effective administrative and
judicial redress for data subjects, in particular for those data subjects
residing in the Union whose personal data are being transferred;
|
(a) statul de drept, legislația relevantă în
vigoare, atât generală, cât și sectorială, inclusiv cea referitoare la
securitatea publică, la apărare, la securitatea națională și la dreptul penal,
măsurile de securitate respectate în țara respectivă sau de respectiva
organizație internațională, precum și drepturile efective și opozabile,
inclusiv căile de atac administrative și judiciare efective ale persoanelor
vizate, în special în cazul persoanelor vizate care au reședința în Uniune și
ale căror date cu caracter personal sunt transferate;
|
|
(b) the existence and effective functioning
of one or more independent supervisory authorities in the third country or
international organisation in question responsible for ensuring compliance with
the data protection rules, for assisting and advising the data subject in
exercising their rights and for co-operation with the supervisory authorities
of the Union and of Member States; and
|
(b) existența și funcționarea efectivă a
uneia sau a mai multor autorități de supraveghere independente în țara terță
sau în cadrul organizației internaționale în cauză, care are responsabilitatea
de a asigura respectarea normelor în materie de protecție a datelor, de a
asista și de a consilia persoana vizată în ceea ce privește exercitarea
drepturilor sale și de a coopera cu autoritățile de supraveghere din statele
membre și din Uniune și
|
|
(c) the international commitments the
third country or international organisation in question has entered into.
|
(c) angajamentele internaționale la care a
aderat țara terță sau organizația internațională în cauză.
|
|
3. The Commission may decide,
within the scope of this Directive, that a third country or a territory or a
processing sector within that third country or an international organisation
ensures an adequate level of protection within the meaning of paragraph 2. Those
implementing acts shall be adopted in accordance with the examination procedure
referred to in Article 57(2).
|
3. Comisia poate decide, în
limitele prezentei directive, că o țară terță, un teritoriu sau un sector de
prelucrare din acea țară terță sau o organizație internațională asigură un
nivel de protecție adecvat în sensul alineatului (2). Actele de punere în
aplicare respective sunt adoptate în conformitate cu procedura de examinare
menționată la articolul 57 alineatul (2).
|
|
4. The implementing act shall
specify its geographical and sectoral application, and, where applicable, identify
the supervisory authority mentioned in point (b) of paragraph 2.
|
4. Actul de punere aplicare
menționează aplicarea geografică și sectorială, și, după caz, identifică
autoritatea de supraveghere menționată la alineatul (2) litera (b).
|
|
5. The Commission may decide within
the scope of this Directive that a third country or a territory or a processing
sector within that third country or an international organisation does not
ensure an adequate level of protection within the meaning of paragraph 2, in
particular in cases where the relevant legislation, both general and sectoral,
in force in the third country or international organisation, does not guarantee
effective and enforceable rights including effective administrative and
judicial redress for data subjects, in particular for those data subjects whose
personal data are being transferred. Those implementing acts shall be adopted
in accordance with the examination procedure referred to in Article 57(2), or,
in cases of extreme urgency for individuals with respect to their right to
personal data protection, in accordance with the procedure referred to in
Article 57(3).
|
5. Comisia poate decide, în
limitele prezentei directive, că o țară terță, un teritoriu sau un sector de
prelucrare din acea țară terță, sau o organizație internațională nu asigură un
nivel de protecție adecvat în sensul alineatului (2), în special în cazurile în
care legislația relevantă, atât cea generală, cât și cea sectorială, în vigoare
în țara terță sau în organizația internațională, nu garantează drepturi
efective și opozabile, inclusiv căi de atac administrative și judiciare
efective pentru persoanele vizate, în special pentru acele persoanele vizate
care își au reședința în Uniune și ale căror date cu caracter personal sunt
transferate. Actele de punere în aplicare se adoptă în conformitate cu
procedura de examinare menționată la articolul 57 alineatul (2), sau, în cazuri
de extremă urgență pentru persoanele fizice în ceea ce privește dreptul la
protecția datelor cu caracter personal, în conformitate cu procedura menționată
la articolul 57 alineatul (3).
|
|
6. Member States shall ensure
that where the Commission decides pursuant to paragraph 5, that any transfer of
personal data to the third country or a territory or a processing sector within
that third country, or the international organisation in question shall be
prohibited, this decision shall be without prejudice to transfers under Article
35(1) or in accordance with Article 36. At the appropriate time, the Commission
shall enter into consultations with the third country or international
organisation with a view to remedying the situation resulting from the Decision
made pursuant to paragraph 5 of this Article.
|
6. Statele membre asigură că,
atunci când Comisia ia o decizie în temeiul alineatului (5), potrivit
căreia transferurile de date cu caracter personal către țara terță, un
teritoriu sau un sector de prelucrare din acea țară terță sau către organizația
internațională în cauză sunt interzise, decizia respectivă nu aduce atingere
transferurilor efectuate în temeiul articolului 35 alineatul (1) sau în
conformitate cu articolul 36. La momentul oportun, Comisia efectuează
consultări cu țara terță sau organizația internațională în vederea remedierii
situației apărute în urma deciziei luate în conformitate cu alineatul (5) al
prezentului articol.
|
|
7. The Commission shall
publish in the Official Journal of the European Union a list of those
third countries, territories and processing sectors within a third country or
an international organisation where it has decided that an adequate level of
protection is or is not ensured.
|
7. Comisia publică în Jurnalul
Oficial al Uniunii Europene o listă a țărilor terțe, a teritoriilor și
sectoarelor de prelucrare din țările terțe și a organizațiilor internaționale
în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu
este asigurat.
|
|
8. The Commission shall
monitor the application of the implementing acts referred to in paragraphs 3
and 5.
|
8. Comisia monitorizează
aplicarea actelor de punere în aplicare la care se face referire la alineatele
(3) și (5).
|
|
Article 35
Transfers by way of appropriate safeguards
|
Articolul 35
Transferurile în baza unor garanții adecvate
|
|
1. Where the Commission has
taken no decision pursuant to Article 34, Member States shall provide that a
transfer of personal data to a recipient in a third country or an international
organisation may take place where:
|
1. În cazul în care Comisia nu a
luat o decizie în temeiul articolului 34, statele membre prevăd dispoziții
potrivit cărora un transfer de date cu caracter personal către un destinatar
dintr-o țară terță sau o organizație internațională poate avea loc în
condițiile în care:
|
|
(a) appropriate safeguards with respect to
the protection of personal data have been adduced in a legally binding instrument;
or
|
(a) s-au prezentat garanții corespunzătoare
în ceea ce privește protecția datelor cu caracter personal printr-un instrument
cu forță juridică obligatorie sau
|
|
(b) the controller or processor has
assessed all the circumstances surrounding the transfer of personal data and
concludes that appropriate safeguards exist with respect to the protection of
personal data.
|
(b) operatorul sau persoana împuternicită de
către operator a evaluat toate circumstanțele aferente transferului de date cu
caracter personal și a concluzionat că există garanții corespunzătoare în ceea
ce privește protecția datelor cu caracter personal.
|
|
1. The decision for transfers
under paragraph 1 (b) must be made by duly authorised staff. These transfers must
be documented and the documentation must be made available to the supervisory
authority on request.
|
1. Decizia privind transferurile
în temeiul alineatului (1) litera (b) trebuie să fie luată de personalul
autorizat în acest sens. Aceste transferuri trebuie să fie documentate, iar
documentele trebuie să fie puse la dispoziția autorității de supraveghere, la
cerere.
|
|
Article 36
Derogations
|
Articolul 36
Derogări
|
|
By way of derogation
from Articles 34 and 35, Member States shall provide that a transfer of
personal data to a third country or an international organisation may take
place only on condition that:
|
Prin derogare de
la articolele 34 și 35, statele membre prevăd dispoziții potrivit cărora un
transfer de date cu caracter personal către o țară terță sau o organizație
internațională poate avea loc numai în condițiile în care:
|
|
(a) the transfer is necessary in order to
protect the vital interests of the data subject or another person; or
|
(a) transferul este necesar pentru protejarea
intereselor vitale ale persoanei vizate sau ale unei alte persoane sau
|
|
(b) the transfer is necessary to safeguard
legitimate interests of the data subject where the law of the Member State
transferring the personal data so provides; or
|
(b) transferul este necesar pentru protejarea
intereselor legitime ale persoanei vizate, în cazul în care legea statului
membru care transferă datele cu caracter personal prevede acest lucru sau
|
|
(c) the transfer of the data is essential
for the prevention of an immediate and serious threat to public security of a
Member State or a third country; or
|
(c) transferul datelor este esențial pentru
prevenirea unei amenințări imediate și grave la adresa siguranței publice a
unui stat membru sau a unei țări terțe sau
|
|
(d) the transfer is necessary in individual cases for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties; or
|
(d) transferul este necesar, în cazuri
individuale, în scopul prevenirii, investigării, identificării sau urmăririi
penale a infracțiunilor sau al executării sancțiunilor penale sau
|
|
(e) the transfer is necessary in
individual cases for the establishment, exercise or defence of legal claims
relating to the prevention, investigation, detection or prosecution of a
specific criminal offence or the execution of a specific criminal penalty.
|
(e) transferul este necesar, în cazuri
individuale, pentru constatarea, exercitarea sau apărarea unui drept în
instanță legat de prevenirea, investigarea, identificarea sau urmărirea penală
a infracțiunilor sau de executarea unei anumite sancțiuni penale.
|
|
Article 37
Specific conditions for the transfer of personal data
|
Articolul 37
Condiții specifice pentru transferul datelor cu caracter personal
|
|
Member States shall provide that the controller
informs the recipient of the personal data of any processing restrictions and
takes all reasonable steps to ensure that these restrictions are met.
|
Statele membre prevăd dispoziții potrivit
cărora operatorul informează destinatarul cu privire la orice restricție privind
prelucrarea datelor cu caracter personal și ia toate măsurile rezonabile pentru
a asigura respectarea acestor restricții.
|
|
Article 38
International co-operation for the protection of personal data
|
Articolul 38
Cooperarea internațională în domeniul protecției datelor cu caracter
personal
|
|
1. In relation to third
countries and international organisations, the Commission and Member States
shall take appropriate steps to:
|
1. În ceea ce privește țările
terțe și organizațiile internaționale, Comisia și statele membre iau măsurile
corespunzătoare pentru:
|
|
(a)
develop effective international co-operation mechanisms
to facilitate the enforcement of legislation for the protection of personal
data;
|
(a)
elaborarea de mecanisme eficiente de cooperare
internațională pentru a facilita asigurarea aplicării legislației privind
protecția datelor cu caracter personal;
|
|
(b)
provide international mutual assistance in the
enforcement of legislation for the protection of personal data, including
through notification, complaint referral, investigative assistance and
information exchange, subject to appropriate safeguards for the protection of
personal data and other fundamental rights and freedoms;
|
(b)
acordarea de asistență internațională reciprocă în
asigurarea aplicării legislației din domeniul protecției datelor cu caracter
personal, inclusiv prin notificare, transferul reclamațiilor, asistență în
anchete și schimb de informații, sub rezerva unor garanții adecvate pentru
protecția datelor cu caracter personal și a altor drepturi și libertăți
fundamentale;
|
|
(c)
engage relevant stakeholders in discussion and
activities aimed at furthering international co-operation in the enforcement of
legislation for the protection of personal data;
|
(c)
implicarea părților interesate relevante în
discuțiile și activitățile care au ca scop lărgirea cooperării internaționale
în vederea asigurarea aplicării legislației din domeniul protecției datelor cu
caracter personal;
|
|
(d)
promote the exchange and documentation of
personal data protection legislation and practice.
|
(d)
promovarea schimbului și a documentației cu privire
la legislația și practicile în materie de protecție a datelor cu caracter
personal.
|
|
2. For the purposes of
paragraph 1, the Commission shall take appropriate steps to advance the
relationship with third countries or with international organisations, and in
particular their supervisory authorities, where the Commission has decided that
they ensure an adequate level of protection within the meaning of Article 34(3).
|
2. În sensul alineatului (1),
Comisia ia măsurile necesare pentru a consolida relațiile cu țările terțe sau
cu organizațiile internaționale, în special cu autoritățile lor de
supraveghere, în cazul în care Comisia a decis că acestea asigură un nivel
adecvat de protecție în sensul articolului 34 alineatul (3).
|
|
CHAPTER VI
INDEPENDENT SUPERVISORY
AUTHORITIES
|
CAPITOLUL VI
AUTORITĂȚI DE SUPRAVEGHERE INDEPENDENTE
|
|
SECTION
1
INDEPENDENT STATUS
|
SECȚIUNEA 1
STATUT INDEPENDENT
|
|
Article 39
Supervisory authority
|
Articolul 39
Autoritatea de supraveghere
|
|
1.
Each Member State shall provide that one or more
public authorities are responsible for monitoring the application of the
provisions adopted pursuant to this Directive and for contributing to its
consistent application throughout the Union, in order to protect the
fundamental rights and freedoms of natural persons in relation to the
processing of their personal data and to facilitate the free flow of personal
data within the Union. For this purpose, the supervisory authorities shall co-operate
with each other and the Commission.
|
1.
Fiecare stat membru prevede dispoziții potrivit
cărora una sau mai multe autorități publice sunt responsabile de monitorizarea
aplicării dispozițiilor adoptate în temeiul prezentei directive și de
contribuția la aplicarea uniformă a acesteia în întreaga Uniune, în vederea
protejării drepturilor și libertăților fundamentale ale persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal ale acestora și în
vederea facilitării liberei circulații a datelor cu caracter personal în cadrul
Uniunii. În acest sens, autoritățile de supraveghere cooperează între ele și cu
Comisia.
|
|
2.
Member States may provide that the supervisory
authority established in Member States pursuant to Regulation (EU)…./2012 assumes
responsibility for the tasks of the supervisory authority to be established pursuant
to paragraph 1 of this Article.
|
2.
Statele membre pot prevedea că autoritatea de
supraveghere instituită în statele membre în temeiul Regulamentului (UE) …./2012
își asumă responsabilitatea pentru sarcinile autorității de supraveghere care
urmează să fie instituită în temeiul alineatului (1) din prezentul articol.
|
|
3.
Where more than one supervisory authority is
established in a Member State, that Member State shall designate the
supervisory authority which functions as a single contact point for the
effective participation of those authorities in the European Data Protection
Board.
|
3.
În cazul în care un stat membru instituie mai multe
autorități de supraveghere, statul membru respectiv desemnează autoritatea de
supraveghere care funcționează ca punct unic de contact pentru participarea
efectivă a autorităților respective la Comitetul european pentru protecția
datelor.
|
|
Article 40
Independence
|
Articolul 40
Independență
|
|
1. Member States shall ensure
that the supervisory authority acts with complete independence in exercising
the duties and powers entrusted to it.
|
1. Statele membre se asigură că
autoritatea de supraveghere beneficiază de independență deplină în exercitarea
îndatoririlor și competențelor care îi sunt încredințate.
|
|
2. Each Member State shall
provide that the members of the supervisory authority, in the performance of their
duties, neither seek nor take instructions from anybody.
|
2. Fiecare stat membru prevede
dispoziții potrivit cărora, în îndeplinirea îndatoririlor lor, membrii
autorității de supraveghere nu solicită și nici nu acceptă niciun fel de
instrucțiuni.
|
|
3. Members of the supervisory
authority shall refrain from any action incompatible with their duties and
shall not, during their term of office, engage in any incompatible occupation,
whether gainful or not.
|
3. Membrii autorității de
supraveghere nu întreprind acțiuni incompatibile cu îndatoririle lor și, pe durata
mandatului, nu desfășoară activități incompatibile, remunerate sau nu.
|
|
4. Members of the supervisory
authority shall behave, after their term of office, with integrity and
discretion as regards the acceptance of appointments and benefits.
|
4. După încheierea mandatului,
membrii autorității de supraveghere trebuie să dea dovadă de integritate și
discreție în ceea ce privește acceptarea unor funcții sau beneficii.
|
|
5. Each Member State shall
ensure that the supervisory authority is provided with the adequate human,
technical and financial resources, premises and infrastructure necessary for
the effective performance of its duties and powers including those to be
carried out in the context of mutual assistance, co-operation and active
participation in the European Data Protection Board.
|
5. Fiecare stat membru se
asigură că autoritatea de supraveghere beneficiază de resurse umane, tehnice și
financiare adecvate, de sediul și infrastructura necesare pentru buna executare
a sarcinilor și a competențelor sale, inclusiv a celor care urmează să fie
efectuate în contextul asistenței reciproce, al cooperării și al participării
active la Comitetul european pentru protecția datelor.
|
|
6 Each Member State shall
ensure that the supervisory authority must have its own staff which shall be
appointed by and subject to the direction of the head of the supervisory
authority.
|
6 Fiecare stat membru se
asigură că autoritatea de supraveghere dispune de personal propriu, care este
numit de șeful autorității de supraveghere și care răspunde în fața acestuia.
|
|
7. Member States shall ensure
that the supervisory authority is subject to financial control which shall not affect
its independence. Member States shall ensure that the supervisory authority has
separate annual budgets. The budgets shall be made public.
|
7. Statele membre se asigură că
autoritatea de supraveghere face obiectul unui control financiar care nu aduce
atingere independenței sale. Statele membre se asigură că autoritatea de
supraveghere dispune de bugete anuale distincte. Bugetele se fac publice.
|
|
Article 41
General conditions for the members of the supervisory authority
|
Articolul 41
Condiții generale aplicabile membrilor autorității de supraveghere
|
|
1. Member States shall
provide that the members of the supervisory authority must be appointed either
by the parliament or the government of the Member State concerned.
|
1. Statele membre prevăd
dispoziții potrivit cărora membrii autorității de supraveghere trebuie numiți
fie de parlament, fie de guvernul statului membru în cauză.
|
|
2. The members shall be
chosen from persons whose independence is beyond doubt and whose experience and
skills required to perform their duties are demonstrated.
|
2. Membrii se aleg din rândul
persoanelor care fac dovada independenței dincolo de orice îndoială, precum și
a experienței și a competențelor necesare pentru îndeplinirea îndatoririlor
lor.
|
|
3. The duties of a member
shall end in the event of the expiry of the term of office, resignation or
compulsory retirement in accordance with paragraph 5.
|
3. Funcțiile unui membru
încetează în cazul expirării mandatului, în cazul demisiei sau al destituirii
conform dispozițiilor alineatului (5).
|
|
4. A member may be dismissed
or deprived of the right to a pension or other benefits in its stead by the
competent national court, if the member no longer fulfils the conditions
required for the performance of the duties or is guilty of serious misconduct.
|
4. Un membru poate fi demis sau
poate fi decăzut din dreptul la pensie sau la alte beneficii echivalente de
către instanța națională competentă, în cazul în care membrul respectiv nu mai
îndeplinește condițiile necesare pentru executarea funcțiilor sau este vinovat
de comiterea unei abateri disciplinare grave.
|
|
5. Where the term of office
expires or the member resigns, the member shall continue to exercise their
duties until a new member is appointed.
|
5. În cazul expirării mandatului
sau al demisiei membrului, acesta continuă să își exercite îndatoririle până la
numirea unui nou membru.
|
|
Article 42
Rules on the establishment of the supervisory authority
|
Articolul 42
Norme privind instituirea autorității de supraveghere
|
|
Each Member
State shall provide by law:
|
Fiecare stat membru prevede, pe cale
legislativă, următoarele:
|
|
(a) the establishment and status of
the supervisory authority in accordance with Articles 39 and 40;
|
(a) instituirea și statutul autorității
de supraveghere în conformitate cu articolele 39 și 40;
|
|
(b) the qualifications, experience
and skills required to perform the duties of the members of the supervisory
authority;
|
(b) calificările, experiența și
competențele necesare pentru exercitarea funcției de membru al autorității de
supraveghere;
|
|
(c) the rules and procedures for the
appointment of the members of the supervisory authority, as well as the rules
on actions or occupations incompatible with the duties of the office;
|
(c) normele și procedurile pentru
numirea membrilor autorității de supraveghere, precum și normele privind
acțiunile sau ocupațiile incompatibile cu funcțiile membrilor;
|
|
(d) the duration of the term of the
members of the supervisory authority, which shall be no less than four years,
except for the first appointment after entry into force of this Directive, part
of which may take place for a shorter period;
|
(d) durata mandatului membrilor
autorității de supraveghere, care nu poate fi sub patru ani, cu excepția
primului mandat după intrarea în vigoare a prezentei directive, care poate fi
pe o perioadă mai scurtă;
|
|
(e) whether the members of the
supervisory authority shall be eligible for reappointment;
|
(e) posibilitatea de reînnoire a
mandatului membrilor autorității de supraveghere;
|
|
(f) the regulations and common
conditions governing the duties of the members and staff of the supervisory
authority;
|
(f) regulile și condițiile comune care
reglementează îndatoririle membrilor și ale personalului autorității de
supraveghere;
|
|
(g) the rules and procedures on the
termination of the duties of the members of the supervisory authority,
including where they no longer fulfil the conditions required for the
performance of their duties or if they are guilty of serious misconduct.
|
(g) normele și procedurile privind
încetarea funcțiilor asumate de membrii autorității de supraveghere, inclusiv
în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea
atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri
disciplinare grave.
|
|
Article 43
Professional secrecy
|
Articolul 43
Secretul profesional
|
|
Member States shall provide that the
members and the staff of the supervisory authority are subject, both during and
after their term of office, to a duty of professional secrecy with regard to
any confidential information which has come to their knowledge in the course of
the performance of their official duties.
|
Statele membre prevăd dispoziții potrivit
cărora membrii și personalul autorității de supraveghere au obligația, atât în
cursul mandatului, cât și după încetarea acestuia, de a respecta secretul
profesional în ceea ce privește informațiile confidențiale de care au luat
cunoștință în timpul exercitării sarcinilor lor oficiale.
|
|
SECTION
2
DUTIES AND POWERS
|
SECȚIUNEA 2
ATRIBUȚII ȘI FUNCȚII
|
|
Article 44
Competence
|
Articolul 44
Competență
|
|
1. Member States shall
provide that each supervisory authority exercises, on the territory of its own
Member State, the powers conferred on it in accordance with this Directive.
|
1. Statele membre prevăd
dispoziții potrivit cărora fiecare autoritate de supraveghere exercită, pe
teritoriul statului membru de care aparține, funcțiile cu care este investită
în conformitate cu prezenta directivă.
|
|
2. Member
States shall provide that the supervisory authority is not competent to
supervise processing operations of courts when acting in their judicial
capacity.
|
2. Statele membre prevăd
dispoziții potrivit cărora autoritatea de supraveghere nu are competența de a
supraveghea operațiunile de prelucrare ale instanțelor atunci când acestea
acționează în exercițiul funcției lor jurisdicționale.
|
|
Article 45
Duties
|
Articolul 45
Atribuții
|
|
1. Member States shall
provide that the supervisory authority:
|
1. Statele membre prevăd
dispoziții potrivit cărora autoritatea de supraveghere:
|
|
(a)
monitors and ensures the application of the
provisions adopted pursuant to this Directive and its implementing measures;
|
(a)
monitorizează și asigură aplicarea dispozițiilor
adoptate în temeiul prezentei directive, precum și a măsurilor de punere în
aplicare aferente acesteia;
|
|
(b)
hears complaints lodged by any data subject, or
by an association representing and duly mandated by that data subject in
accordance with Article 50, investigates, to the extent appropriate, the matter
and informs the data subject the association of the progress and the outcome of
the complaint within a reasonable period, in particular where further
investigation or coordination with another supervisory authority is necessary;
|
(b)
primește reclamațiile depuse de orice persoană
vizată sau de o asociație care reprezintă persoana vizată respectivă și este
împuternicită în mod corespunzător de aceasta, în conformitate cu articolul 50,
investighează chestiunea, în măsura în care este adecvat, și informează,
într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția
și rezultatul reclamației, în special dacă este necesară efectuarea unei
cercetări mai detaliate sau coordonarea cu o altă autoritate de supraveghere;
|
|
(c)
checks the lawfulness of data processing
pursuant to Article 14, and informs the data subject within a reasonable period
on the outcome of the check or on the reasons why the check has not been
carried out;
|
(c)
verifică legalitatea prelucrării datelor în
conformitate cu articolul 14 și informează persoana vizată, într-un termen
rezonabil, cu privire la rezultatul verificării sau la motivele pentru care nu
a avut loc verificarea;
|
|
(d)
provides mutual assistance to other supervisory
authorities and ensures the consistency of application and enforcement of the provisions
adopted pursuant to this Directive;
|
(d)
oferă asistență reciprocă altor autorități de
supraveghere și asigură consecvența aplicării și a asigurării aplicării
dispozițiilor adoptate în temeiul prezentei directive;
|
|
(e)
conducts investigations either on its own
initiative or on the basis of a complaint, or on request of another supervisory
authority, and informs the data subject concerned, if the data subject has
addressed a complaint, of the outcome of the investigations within a reasonable
period;
|
(e)
desfășoară anchete fie din proprie inițiativă, fie
pe baza unei reclamații sau la cererea altei autorități de supraveghere și
informează într-un termen rezonabil persoana vizată cu privire la rezultatul
anchetelor, în cazul în care persoana vizată a depus o reclamație;
|
|
(f)
monitors relevant developments, insofar as they
have an impact on the protection of personal data, in particular the
development of information and communication technologies;
|
(f)
monitorizează evoluțiile relevante, în măsura în
care acestea au impact asupra protecției datelor cu caracter personal, în
special evoluția tehnologiilor informațiilor și comunicațiilor;
|
|
(g)
is consulted by Member State institutions and
bodies on legislative and administrative measures relating to the protection of
individuals' rights and freedoms with regard to the processing of personal
data;
|
(g)
este consultată de instituțiile și organele
statului membru cu privire la măsurile legislative și administrative
referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea
ce privește prelucrarea datelor cu caracter personal;
|
|
(h)
is consulted on processing operations pursuant
to Article 26;
|
(h)
este consultată cu privire la operațiunile de
prelucrare prevăzute la articolul 26;
|
|
(i)
participates in the activities of the European
Data Protection Board.
|
(i)
participă la activitățile Comitetului european
pentru protecția datelor.
|
|
2. Each supervisory authority
shall promote the awareness of the public on risks, rules, safeguards and
rights in relation to the processing of personal data. Activities addressed
specifically to children shall receive specific attention.
|
2. Fiecare autoritate de
supraveghere promovează acțiuni de sensibilizare a publicului cu privire la
riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor
cu caracter personal. Se acordă atenție specială activităților care se
adresează în mod special minorilor.
|
|
3. The supervisory authority
shall, upon request, advise any data subject in exercising the rights laid down
in provisions adopted pursuant to this Directive, and, if appropriate, co-operate
with the supervisory authorities in other Member States to this end.
|
3. La cerere, autoritatea de
supraveghere oferă consiliere oricărei persoane vizate cu privire la
exercitarea drepturilor de care beneficiază, în conformitate cu dispozițiile
adoptate în temeiul prezentei directive și, dacă este cazul, cooperează cu
autoritățile de supraveghere din alte state membre în acest scop.
|
|
4. For complaints referred to
in point (b) of paragraph 1, the supervisory authority shall provide a
complaint submission form, which can be completed electronically, without
excluding other means of communication.
|
4. Pentru reclamațiile prevăzute
la alineatul (1) litera (b), autoritatea de supraveghere pune la dispoziție un
formular de depunere a reclamației, care poate fi completat prin mijloace
electronice, fără a exclude alte mijloace de comunicare.
|
|
5. Member States shall
provide that the performance of the duties of the supervisory authority shall
be free of charge for the data subject.
|
5. Statele membre prevăd
dispoziții potrivit cărora îndeplinirea funcțiilor autorității de supraveghere
este gratuită pentru persoana vizată.
|
|
6. Where requests are vexatious,
in particular due to their repetitive character, the supervisory authority may
charge a fee or not take the action required by the data subject. The
supervisory authority shall bear the burden of proving of the vexatious
character of the request.
|
6. În cazul în care cererile
sunt abuzive, în special din cauza caracterului repetitiv al acestora,
autoritatea de supraveghere poate percepe o taxă sau poate să nu dea curs
cererii persoanei vizate. Sarcina probei cu privire la caracterul abuziv al
cererii revine autorității de supraveghere.
|
|
Article 46
Powers
|
Articolul 46
Competențe
|
|
Member States shall provide that each
supervisory authority must in particular be endowed with:
|
Statele membre prevăd dispoziții potrivit
cărora fiecare autoritate de supraveghere trebuie investită, în special, cu
următoarele competențe:
|
|
(a) investigative powers, such as powers
of access to data forming the subject matter of processing operations and
powers to collect all the information necessary for the performance of its
supervisory duties;
|
(a) competențe de investigare, cum ar fi
competențe privind accesul la datele care fac obiectul operațiilor de
prelucrare și competențe privind colectarea tuturor informațiilor necesare
pentru îndeplinirea îndatoririlor sale de supraveghere;
|
|
(b) effective powers of intervention, such
as the delivering of opinions before processing is carried out, and ensuring
appropriate publication of such opinions, ordering the restriction, erasure or
destruction of data, imposing a temporary or definitive ban on processing,
warning or admonishing the controller, or referring the matter to national
parliaments or other political institutions ;
|
(b) competențe efective de intervenție, cum
ar fi competențe de a emite avize înainte ca operațiunile de prelucrare să fie
efectuate și de a asigura publicarea corespunzătoare a acestor avize, de a
ordona restricționarea, ștergerea sau distrugerea datelor, de a impune o
interdicție temporară sau definitivă de prelucrare, de a adresa operatorului un
avertisment sau o mustrare sau de a sesiza parlamentele naționale sau alte
instituții politice;
|
|
(c) the power to engage in legal
proceedings where the provisions adopted pursuant to this Directive have been
infringed or to bring this infringement to the attention of the judicial
authorities.
|
(c) competența de a acționa în justiție în
cazul în care dispozițiile adoptate în temeiul prezentei directive au fost
încălcate sau de a aduce aceste încălcări în atenția autorităților judiciare.
|
|
Article 47
Activities report
|
Articolul 47
Raport de activitate
|
|
Member States shall provide that each
supervisory authority draws up an annual report on its activities. The report
shall be made available to the Commission and the European Data Protection
Board.
|
Statele membre prevăd dispoziții potrivit
cărora fiecare autoritate de supraveghere trebuie să întocmească un raport
anual cu privire la activitățile sale. Acest raport este pus la dispoziția
Comisiei și a Comitetului european pentru protecția datelor.
|
|
CHAPTER VII
CO-OPERATION
|
CAPITOLUL VII
Cooperare
|
|
Article 48
Mutual assistance
|
Articolul 48
Asistență reciprocă
|
|
1. Member States shall
provide that supervisory authorities provide each other with mutual assistance
in order to implement and apply the provisions pursuant to this Directive in a
consistent manner, and shall put in place measures for effective co-operation
with one another. Mutual assistance shall cover, in particular, information
requests and supervisory measures, such as requests to carry out prior
consultations, inspections and investigations.
|
1. Statele membre prevăd
dispoziții potrivit cărora autoritățile de supraveghere își furnizează
asistență reciprocă pentru a transpune și a pune în aplicare dispozițiile
prezentei directive în mod coerent și instituie măsuri de cooperare eficace
între ele. Asistența reciprocă se referă, în special, la cereri de informații
și măsuri de control, cum ar fi cereri în vederea efectuării de consultări
prealabile, inspecții și anchete.
|
|
2. Member States shall
provide that a supervisory authority takes all appropriate measures required to
reply to the request of another supervisory authority.
|
2. Statele membre prevăd
dispoziții potrivit cărora autoritatea de supraveghere ia toate măsurile
corespunzătoare necesare pentru a răspunde solicitării formulate de o altă
autoritate de supraveghere.
|
|
3. The requested supervisory
authority shall inform the requesting supervisory authority of the results or,
as the case may be, of the progress or the measures taken in order to meet the
request by the requesting supervisory
authority.
|
3. Autoritatea de supraveghere
căreia i s-a adresat solicitarea informează autoritatea de supraveghere care a
transmis solicitarea cu privire la rezultate sau, după caz, la progresele
înregistrate ori măsurile întreprinse pentru a da curs solicitării respective.
|
|
Article 49
Tasks of the European Data Protection Board
|
Articolul 49
Sarcinile Comitetului european pentru protecția datelor
|
|
1. The European Data
Protection Board established by Regulation (EU)…./2012 shall exercise the
following tasks in relation to processing within the scope of this Directive:
|
1. Comitetul european pentru
protecția datelor instituit prin Regulamentul (UE) …./2012 exercită următoarele
sarcini în ceea ce privește prelucrarea care intră sub incidența prezentei
directive:
|
|
(a)
advise the Commission on any issue related to
the protection of personal data in the Union, including on any proposed
amendment of this Directive;
|
(a)
să ofere Comisiei consiliere cu privire la orice
aspect legat de protecția datelor cu caracter personal în cadrul Uniunii,
inclusiv cu privire la orice propunere de modificare a prezentei directive;
|
|
(b)
examine, on request of the Commission or on its own
initiative or of one of its members, any question covering the application of the
provisions adopted pursuant to this Directive and issue guidelines,
recommendations and best practices addressed to the supervisory authorities in
order to encourage consistent application of those provisions;
|
(b)
să analizeze, la cererea Comisiei, din proprie
inițiativă sau la inițiativa unuia dintre membrii săi, orice chestiune
referitoare la punerea în aplicare a dispozițiilor adoptate în temeiul
prezentei directive și să emită orientări, recomandări și bune practici
adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a
dispozițiilor respective;
|
|
(c)
review the practical application of guidelines,
recommendations and best practices referred to in point (b) and report
regularly to the Commission on these;
|
(c)
să revizuiască aplicarea practică a orientărilor,
recomandărilor și bunelor practici menționate la litera (b) și să raporteze
periodic Comisiei cu privire la acestea;
|
|
(d)
give the Commission an opinion on the level of
protection in third countries or international organisations;
|
(d)
să comunice Comisiei un aviz privind nivelul de
protecție în țările terțe sau organizațiile internaționale;
|
|
(e)
promote the co-operation and the effective
bilateral and multilateral exchange of information and practices between the
supervisory authorities;
|
(e)
să promoveze cooperarea și schimbul eficient
bilateral și multilateral de informații și practici între autoritățile de
supraveghere;
|
|
(f)
promote common training programmes and
facilitate personnel exchanges between the supervisory authorities, as well as,
where appropriate, with the supervisory authorities of third countries or of
international organisations;
|
(f)
să promoveze programe comune de formare și să
faciliteze schimburile de personal între autoritățile de supraveghere, precum
și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor
internaționale;
|
|
(g)
promote the exchange of knowledge and
documentation with data protection supervisory authorities worldwide, including
data protection legislation and practice.
|
(g)
să promoveze schimbul de cunoștințe și de documente
cu autoritățile de supraveghere a protecției datelor la nivel mondial, inclusiv
privind legislația și practicile în materie de protecție a datelor.
|
|
2. Where the Commission requests advice
from the European Data Protection Board, it may lay out a time limit within
which the European Data Protection Board shall provide such advice, taking into
account the urgency of the matter.
|
2. În situațiile în care Comisia consultă
Comitetul european pentru protecția datelor, aceasta poate stabili un termen în
care Comitetul european pentru protecția datelor trebuie să comunice avizul
său, ținând cont de caracterul urgent al chestiunii.
|
|
3. The European Data
Protection Board shall forward its opinions, guidelines, recommendations, and
best practices to the Commission and to the committee referred to in Article 57(1)
and make them public.
|
3. Comitetul european pentru
protecția datelor își transmite avizele, orientările, recomandările și bunele
practici Comisiei și comitetului menționat la articolul 57 alineatul (1) și le
publică.
|
|
4. The Commission shall
inform the European Data Protection Board of the action it has taken following
opinions, guidelines, recommendations and best practices issued by the European
Data Protection Board.
|
4. Comisia informează Comitetul
european pentru protecția datelor cu privire la măsurile pe care le-a luat în
urma avizelor, orientărilor, recomandărilor și bunelor practici emise de
Comitetul european pentru protecția datelor.
|
|
CHAPTER VIII
REMEDIES, LIABILITY AND
SANCTIONS
|
CAPITOLUL VIII
Căi de atac, răspundere și sancțiuni
|
|
Article 50
Right to lodge a complaint with a supervisory authority
|
Articolul 50
Dreptul de a depune o plângere la o autoritate de supraveghere
|
|
1. Without prejudice to any
other administrative or judicial remedy, Member States shall provide for the
right of every data subject to lodge a complaint with a supervisory authority
in any Member State, if they consider that the processing of personal data
relating to them does not comply with provisions adopted pursuant to this
Directive.
|
1. Fără a aduce atingere
oricăror alte căi de atac administrative sau judiciare, statele membre prevăd
dispoziții potrivit cărora orice persoană vizată are dreptul de a depune o
plângere la o autoritate de supraveghere în orice stat membru, în cazul în care
consideră că prelucrarea datelor sale cu caracter personal nu respectă
dispozițiile adoptate în temeiul prezentei directive.
|
|
2. Member States shall
provide for the right of any body, organisation or association which aims to
protect data subjects’ rights and interests concerning the protection of their
personal data and is being properly constituted according to the law of a
Member State to lodge a complaint with a supervisory authority in any Member
State on behalf of one or more data subjects, if it considers that a data
subject’s rights under this Directive have been infringed as a result of the
processing of personal data. The organisation or association must be duly
mandated by the data subject(s).
|
2. Statele membre prevăd
dispoziții potrivit cărora orice organism, organizație sau asociație a cărei
activitate urmărește protecția drepturilor și intereselor persoanelor vizate cu
privire la protecția datelor cu caracter personal ale acestora și care a fost
constituită în mod adecvat, în conformitate cu legislația unui stat membru, are
dreptul de a depune o plângere la o autoritate de supraveghere din orice stat
membru în numele uneia sau mai multor persoane vizate, în cazul în care
consideră că drepturile de care persoanele vizate beneficiază în temeiul
prezentei directive au fost încălcate ca urmare a prelucrării datelor cu caracter
personal. Organizația sau asociația trebuie să fie mandatată în mod
corespunzător de către persoana (persoanele) vizată(e).
|
|
3. Member States shall
provide for the right of any body, organisation or association referred to in
paragraph 2, independently of a data subject's complaint, to lodge a complaint
with a supervisory authority in any Member State, if it considers that a
personal data breach has occurred.
|
3. Statele membre prevăd
dispoziții potrivit cărora, independent de o plângere depusă de o persoană
vizată, orice organism, organizație sau asociație menționată la alineatul (2)
are dreptul de a depune o plângere la o autoritate de supraveghere din orice
stat membru, în cazul în care consideră că a avut loc o încălcare a securității
datelor cu caracter personal.
|
|
Article 51
Right to a judicial remedy against a
supervisory authority
|
Articolul 51
Dreptul la o cale de atac judiciară împotriva unei autorități de
supraveghere
|
|
1.
Member States shall provide for the right to a
judicial remedy against decisions of a supervisory authority.
|
1.
Statele membre prevăd dreptul la o cale de atac
judiciară împotriva deciziilor unei autorități de supraveghere.
|
|
2.
Each data subject shall have the right to a
judicial remedy for obliging the supervisory authority to act on a complaint,
in the absence of a decision which is necessary to protect their rights, or
where the supervisory authority does not inform the data subject within three
months on the progress or outcome of the complaint pursuant to point (b) of Article
45(1).
|
2.
Orice persoană vizată are dreptul de a exercita o
cale de atac judiciară care să oblige autoritatea de supraveghere să dea curs
unei plângeri, în absența unei decizii necesare pentru protejarea drepturilor
sale sau în cazul în care autoritatea de supraveghere nu informează persoana
vizată în termen de trei luni cu privire la progresele sau la soluționarea
plângerii în temeiul articolului 45 alineatul (1) litera (b).
|
|
3.
Member States shall provide that proceedings
against a supervisory authority shall be brought before the courts of the
Member State where the supervisory authority is established.
|
3.
Statele membre prevăd dispoziții potrivit cărora
acțiunile introduse împotriva unei autorități de supraveghere sunt înaintate
instanțelor din statul membru în care este stabilită autoritatea de
supraveghere.
|
|
Article 52
Right to a judicial remedy against a controller or processor
|
Articolul 52
Dreptul la o cale de atac judiciară împotriva unui operator sau unei
persoane împuternicite de operator
|
|
Without prejudice to any available
administrative remedy, including the right to lodge a complaint with a
supervisory authority, Member States shall provide for the right of every
natural person to a judicial remedy if they consider that that their rights laid
down in provisions adopted pursuant to this Directive have been infringed as a
result of the processing of their personal data in non-compliance with these
provisions.
|
Fără a aduce atingere vreunei căi de atac
administrative disponibile, inclusiv dreptului de a depune o plângere la o
autoritate de supraveghere, statele membre prevăd dispoziții potrivit cărora
orice persoană fizică are dreptul la exercitarea unei căi de atac judiciare, în
cazul în care consideră că drepturile de care beneficiază conform dispozițiilor
adoptate în temeiul prezentei directive au fost încălcate ca urmare a
prelucrării datelor sale cu caracter personal efectuate încălcând dispozițiile
respective.
|
|
Article 53
Common rules for court proceedings
|
Articolul 53
Norme comune aplicabile acțiunilor în instanță
|
|
1. Member States shall
provide for the right of any body, organisation or association referred to in
Article 50(2) to exercise the rights referred to in Articles 51 and 52 on
behalf of one or more data subjects.
|
1. Statele membre prevăd dispoziții
potrivit cărora orice organism, organizație sau asociație menționată la
articolul 50 alineatul (2) are dreptul de a exercita drepturile menționate la
articolele 51 și 52 în numele uneia sau mai multor persoane vizate.
|
|
2. Each supervisory authority
shall have the right to engage in legal proceedings and bring an action to
court, in order to enforce the provisions adopted pursuant to this Directive or
to ensure consistency of the protection of personal data within the Union.
|
2. Fiecare autoritate de supraveghere
are dreptul a participa la proceduri judiciare și de a sesiza o instanță, în
scopul de a asigura aplicarea dispozițiilor adoptate în temeiul prezentei
directive sau de a asigura coerența protecției datelor cu caracter personal în
cadrul Uniunii.
|
|
3. Member States shall ensure
that court actions available under national law allow for the rapid adoption of
measures including interim measures, designed to terminate any alleged
infringement and to prevent any further impairment of the interests involved.
|
3. Statele membre se asigură că
acțiunile în justiție disponibile în dreptul intern permit adoptarea rapidă de
măsuri, inclusiv măsuri provizorii, menite să ducă la încetarea oricărei
încălcări presupuse și să prevină orice altă atingere adusă intereselor respective.
|
|
Article 54
Liability and the right to compensation
|
Articolul 54
Răspundere și dreptul la despăgubiri
|
|
1. Member States shall
provide that any person who has suffered damage as a result of an unlawful
processing operation or of an action incompatible with the provisions adopted
pursuant to this Directive shall have the right to receive compensation from
the controller or the processor for the damage suffered.
|
1. Statele membre prevăd
dispoziții potrivit cărora orice persoană care a suferit prejudicii ca urmare a
unei operațiuni ilegale de prelucrare sau a unei acțiuni incompatibile cu
dispozițiile adoptate în temeiul prezentei directive are dreptul să obțină
despăgubiri de la operator sau de la persoana împuternicită de operator pentru
prejudiciul suferit.
|
|
2. Where more than one
controller or processor is involved in the processing, each controller or
processor shall be jointly and severally liable for the entire amount of the
damage.
|
2. În cazul în care la
prelucrare au participat mai muți operatori sau persoane împuternicite de operator,
fiecare operator sau persoană împuternicită de acesta sunt responsabile în mod
solidar pentru întreaga valoare a prejudiciului.
|
|
3. The controller or the
processor may be exempted from this liability, in whole or in part, if the
controller or processor proves that they are not responsible for the event
giving rise to the damage.
|
3. Operatorul sau persoana
împuternicită de operator poate fi total sau parțial exonerată de această
răspundere, în cazul în care operatorul sau persoana împuternicită de acesta
dovedește că nu este responsabilă pentru fapta care a provocat prejudiciul.
|
|
Article 55
Penalties
|
Articolul 55
Sancțiuni
|
|
Member States shall lay down the rules on
penalties, applicable to infringements of the provisions adopted pursuant to
this Directive and shall take all measures necessary to ensure that they are
implemented. The penalties provided for must be effective, proportionate and
dissuasive.
|
Statele membre definesc normele privind
sancțiunile aplicabile în cazul încălcării dispozițiilor adoptate în temeiul
prezentei directive și iau toate măsurile necesare pentru a se asigura că
acestea sunt puse în aplicare. Sancțiunile prevăzute trebuie să fie eficace,
proporționale și disuasive.
|
|
CHAPTER IX
DELEGATED ACTS AND IMPLEMENTING ACTS
|
CAPITOLUL IX
ACTE DELEGATE ȘI ACTE DE PUNERE ÎN APLICARE
|
|
Article 56
Exercise of the delegation
|
Articolul 56
Exercitarea delegării de competențe
|
|
1. The power to adopt
delegated acts is conferred on the Commission subject to the conditions laid
down in this Article.
|
1. Competența de a adopta acte
delegate este conferită Comisiei în condițiile prevăzute de prezentul articol.
|
|
2. The delegation of power
referred to in Article 28(5) shall be conferred on the Commission for an
indeterminate period of time from the date of entry into force of this Directive.
|
2. Delegarea de competențe
menționată la articolul 28 alineatul (5) îi este conferită Comisiei pentru o
perioadă de timp nedeterminată, de la data intrării în vigoare a prezentei
directive.
|
|
3. The delegation of power
referred to in Article 28(5) may be revoked at any time by the European
Parliament or by the Council. A decision of revocation shall put an end to the
delegation of the power specified in that decision. It shall take effect the
day following the publication of the decision in the Official Journal of the
European Union or at a later date specified therein. It shall not affect
the validity of any delegated acts already in force.
|
3. Delegarea de competențe
menționată la articolul 28 alineatul (5) poate fi revocată în orice moment de
către Parlamentul European sau de către Consiliu. O decizie de revocare pune
capăt delegării de competențe precizată în decizia respectivă. Aceasta intră în
vigoare în ziua următoare publicării deciziei în Jurnalul Oficial al Uniunii
Europene sau la o dată ulterioară menționată în decizie. Aceasta nu aduce
atingere validității actelor delegate aflate deja în vigoare.
|
|
4. As soon as it adopts a
delegated act, the Commission shall notify it simultaneously to the European
Parliament and to the Council.
|
4. De îndată ce adoptă un act
delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.
|
|
5. A delegated act adopted
pursuant to Article 28(5) shall enter into force only if no objection has been
expressed either by the European Parliament or the Council within a period of 2
months of notification of that act to the European Parliament and the Council
or if, before the expiry of that period, the European Parliament and the
Council have both informed the Commission that they will not object. That
period shall be extended by 2 months at the initiative of the European
Parliament or the Council.
|
5. Un act delegat adoptat în
temeiul articolului 28 alineatul (5) intră în vigoare numai în cazul în care nu
a fost exprimată nicio obiecție din partea Parlamentului European sau
Consiliului în termen de 2 luni de la notificarea acestui act Parlamentului
European și Consiliului sau în cazul în care, înainte de expirarea acestei
perioade, Parlamentul European și Consiliul informează Comisia că nu vor avea
obiecții. Perioada se prelungește cu 2 luni, la inițiativa Parlamentului
European sau a Consiliului.
|
|
Article 57
Committee procedure
|
Articolul 57
Procedura comitetului
|
|
1.
The Commission shall be assisted by a committee.
That committee shall be a committee within the meaning of Regulation (EU) No
182/2011.
|
1.
Comisia este asistată de un comitet. Acesta este un
comitet în sensul Regulamentului (UE) nr. 182/2011.
|
|
2.
Where reference is made to this paragraph,
Article 5 of Regulation (EU) No 182/2011 shall apply.
|
2.
Atunci când se face trimitere la prezentul alineat,
se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.
|
|
3.
Where reference is made to this paragraph,
Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5
thereof, shall apply.
|
3.
Atunci când se face trimitere la prezentul alineat,
se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul
5 din același regulament.
|
|
CHAPTER X
FINAL PROVISIONS
|
CAPITOLUL X
DISPOZIȚII FINALE
|
|
Article 58
Repeals
|
Articolul 58
Abrogări
|
|
1. Council Framework Decision
2008/977/JHA is repealed.
|
1. Decizia-cadru 2008/977/JAI a
Consiliului se abrogă.
|
|
2. References to the repealed Framework Decision referred to in
paragraph 1 shall be construed as references to this Directive.
|
2. Trimiterile la decizia-cadru
abrogată menționată la alineatul (1) se interpretează ca trimiteri la prezenta
directivă.
|
|
Article 59
Relation with previously adopted acts of the Union for judicial co-operation
in criminal matters and police co-operation
|
Articolul 59
Relația cu actele Uniunii adoptate anterior în domeniul cooperării judiciare
în materie penală și al cooperării polițienești
|
|
The specific provisions for the protection of
personal data with regard to the processing of personal data by competent
authorities for the purposes of prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties in acts of the Union adopted
prior to the date of adoption of this Directive regulating the processing of
personal data between Member States and the access of designated authorities of
Member States to information systems established pursuant to the Treaties within
the scope of this Directive remain unaffected.
|
Dispozițiile specifice referitoare la
protecția datelor cu caracter personal cu privire la prelucrarea datelor cu
caracter personal de către autoritățile competente în scopul prevenirii,
investigării, identificării sau urmăririi penale a infracțiunilor sau al
executării pedepselor din actele Uniunii adoptate înainte de data adoptării prezentei
directive, care reglementează prelucrarea datelor cu caracter personal între
statele membre și accesul autorităților desemnate de statele membre la
sistemele de informații instituite în temeiul tratatelor și care intră în
domeniul de aplicare a prezentei directive nu sunt afectate.
|
|
Article 60
Relationship with previously concluded international agreements in the field of
judicial co-operation in criminal matters and police co-operation
|
Articolul 60
Relația cu acordurile internaționale încheiate anterior în domeniul cooperării
judiciare în materie penală și al cooperării polițienești
|
|
International agreements concluded by Member
States prior to the entry force of this Directive shall be amended, where
necessary, within five years after the entry into force of this Directive.
|
Acordurile internaționale încheiate de către
statele membre înainte de intrarea în vigoare a prezentei directive sunt
modificate, dacă este necesar, în termen de cinci ani de la intrarea în vigoare
a prezentei directive.
|
|
Article 61
Evaluation
|
Articolul 61
Evaluare
|
|
1. The Commission shall
evaluate the application of this Directive.
|
1. Comisia evaluează punerea în
aplicare a prezentei directive.
|
|
2. The
Commission shall review within three years after the entry into force of this
Directive other acts adopted by the European Union which regulate the processing
of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties, in
particular those acts adopted by the Union referred to in Article 59, in order
to assess the need to align them with this Directive and make, where
appropriate, the necessary proposals to amend these acts to ensure a consistent
approach on the protection of personal data within the scope of this Directive.
|
2. În
termen de trei ani de la intrarea în vigoare a prezentei directive, Comisia
revizuiește alte acte adoptate de Uniunea Europeană care reglementează
prelucrarea datelor cu caracter personal de către autoritățile competente în
scopul prevenirii, investigării, identificării sau urmăririi penale a
infracțiunilor sau al executării pedepselor, în special a actelor adoptate de
Uniune menționate la articolul 59, pentru a evalua necesitatea de a le alinia
la prezenta directivă și prezintă, după caz, propunerile necesare de modificare
a acestor acte pentru a asigura o abordare uniformă privind protecția datelor
cu caracter personal care intră în domeniul de aplicare al prezentei directive.
|
|
3. The Commission shall
submit reports on the evaluation and review of this Directive pursuant to
paragraph 1 to the European Parliament and the Council at regular intervals.
The first reports shall be submitted no later than four years after the entry
into force of this Directive. Subsequent reports shall be submitted every four
years thereafter. The Commission shall submit, if necessary, appropriate
proposals with a view of amending this Directive and aligning other legal
instruments. The report shall be made public.
|
3. Comisia transmite
Parlamentului European și Consiliului, la intervale regulate, rapoarte privind
evaluarea și revizuirea prezentei directive în temeiul alineatului (1). Primele
rapoarte sunt transmise în termen de cel mult patru ani de la data intrării în
vigoare a prezentei directive. Ulterior, următoarele rapoarte sunt transmise o
dată la patru ani. Comisia transmite, dacă este necesar, propuneri
corespunzătoare în vederea modificării prezentei directive, precum și a
alinierii altor instrumente juridice. Raportul se publică.
|
|
Article 62
Implementation
|
Articolul 62
Punerea în aplicare
|
|
1. Member States shall adopt
and publish, by [date/ two years after entry into force] at the latest, the
laws, regulations and administrative provisions necessary to comply with this
Directive. They shall forthwith notify to the Commission the text of those
provisions.
|
1. Statele membre adoptă și
publică, până la cel târziu[data/doi ani de la intrarea în vigoare], actele cu
putere de lege și actele administrative necesare pentru a se conforma prezentei
directive. Statele membre notifică de îndată Comisiei textele acestor
dispoziții.
|
|
They shall apply those provisions from xx.xx.201x
[date/ two years after entry into force].
|
Statele membre aplică aceste dispoziții începând
cu xx.xx.201x [data/doi ani de la intrarea în vigoare].
|
|
When Member States adopt those provisions, they
shall contain a reference to this Directive or be accompanied by such a
reference on the occasion of their official publication. Member States shall
determine how such reference is to be made.
|
Atunci când statele membre adoptă dispozițiile
respective, acestea conțin o trimitere la prezenta directivă sau sunt însoțite
de o astfel de trimitere la data publicării lor oficiale. Statele membre
stabilesc modalitatea de efectuare a acestei trimiteri.
|
|
2. Member States shall
communicate to the Commission the text of the main provisions of national law
which they adopt in the field covered by this Directive.
|
2. Statele membre comunică
Comisiei textul principalelor dispoziții de drept intern pe care le adoptă în
domeniul reglementat de prezenta directivă.
|
|
Article 63
Entry into force and application
|
Articolul 63
Intrarea în vigoare și aplicarea
|
|
This Directive shall enter into force on
the first day following that of its publication in the Official Journal of
the European Union.
|
Prezenta
directivă intră în vigoare în prima zi de la data publicării în Jurnalul
Oficial al Uniunii Europene.
|
|
Article 64
Addressees
|
Articolul 64
Destinatari
|
|
This
Directive is addressed to the Member States.
|
Prezenta
directivă se adresează statelor membre.
|
|
Done at Brussels, 25.1.2012
|
Adoptată la Bruxelles, 25.1.2012.
|
|
For the European Parliament For
the Council
|
Pentru Parlamentul European Pentru
Consiliu
|
|
The President The
President
|
Președintele Președintele
|
|
[1] Directive 95/46/EC of the European Parliament and of
the Council of 24 October 1995 on the protection of individuals with regard to
the processing of personal data and on the free movement of such data, OJ L
281/95, p.31.
|
[1] Directiva
95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995
privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și libera circulație a acestor date, JO L 281/95, p. 31.
|
|
[2] See the full list in Annex 3 to the Impact Assessment
(SEC(2012)72).
|
[2] A se
vedea lista completă în anexa 3 la evaluarea impactului [SEC (2012) 72].
|
|
[3] Council Framework Decision 2008/977/JHA of 27
November 2008 on the protection of personal data processed in the framework of
police and judicial cooperation in criminal matters, OJ L 350, 30.12.2008, p.
60.
|
[3] Decizia-cadru
2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecția datelor cu
caracter personal prelucrate în cadrul cooperării polițienești și judiciare în
materie penală, JO L 350, 30.12.2008, p. 60.
|
|
[4] In the Stockholm Programme, OJ C 115, 4.5.2010, p. 1.
|
[4] În
conformitate cu Programul de la Stockholm, JO C 115, 4.5.2010, p. 1.
|
|
[5] See the Resolution of the European Parliament on the
Stockholm Programme adopted on 25 November 2009.
|
[5] A se
vedea rezoluția Parlamentului European privind Programul de la Stockholm,
adoptată la 25 noiembrie 2009.
|
|
[6] COM(2010)171final.
|
[6] COM (2010)
171 final.
|
|
[7] European Commission, Communication on “A
comprehensive approach on personal data protection in the European Union”,
COM(2010)609 final, 4 November 2010.
|
[7] Comisia
Europeană, Comunicarea privind „O abordare globală a protecției datelor cu
caracter personal în Uniunea Europeană”, COM (2010) 609 final, 4 noiembrie 2010.
|
|
[8] Declaration 21 on the protection of personal data in
the fields of judicial cooperation in criminal matters and police cooperation
(annexed to the Final Act of the Intergovernmental Conference which adopted the
Treaty of Lisbon, 13.12.2007).
|
[8] Declarația
21 privind protecția datelor cu caracter personal în domeniul cooperării
judiciare în materie penală și al cooperării polițienești (anexată la Actul
final al Conferinței interguvernamentale care a adoptat Tratatul de la
Lisabona, 13.12.2007).
|
|
[9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.
|
[9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.
|
|
[10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
|
[10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
|
|
[11] Special Eurobarometer (EB) 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
|
[11] Eurobarometrul
special (EB) 359 - Protecția datelor și identitatea electronică în UE (2011):
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
|
|
[12] See the Study on the economic benefits of privacy
enhancing technologies or the Comparative study on different approaches
to new privacy challenges, in particular in the light of technological
developments, January 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
|
[12] A se vedea
Study on the economic benefits of privacy enhancing technologies (Studiu
privind beneficiile economice ale tehnologiilor de consolidare a protecției
vieții private) și Comparative study on different approaches to new privacy
challenges, in particular in the light of technological developments
(Studiu comparativ privind diversele abordări ale noilor provocări din domeniul
protecției vieții private, în special în lumina noilor dezvoltări tehnologice),
ianuarie 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf)..
|
|
[13] The Working Party was set up in 1996 (by Article 29 of
the Directive) with advisory status and composed of representatives of national
Data Protection Supervisory Authorities (DPAs), the European Data Protection
Supervisor (EDPS) and the Commission. For more information on its activities
see http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
[13] Grupul de
lucru a fost înființat în 1996 (prin articolul 29 din directivă), având un
caracter consultativ și fiind format din reprezentanți ai autorităților
naționale de supraveghere a protecției datelor (DPA), ai Autorității Europene
pentru Protecția Datelor (AEPD) și ai Comisiei. Pentru mai multe informații cu
privire la activitățile grupului de lucru, a se vedea
http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
|
[14] See in particular the following opinions: on the
"Future of Privacy" (2009, WP 168); on the concepts of
"controller” and “processor" (1/2010, WP 169); on online behavioural advertising (2/2010, WP 171); on
the principle of accountability (3/2010, WP 173); on applicable law (8/2010, WP
179); and on consent (15/2011, WP 187). Upon the Commission's request, it
adopted also the three following Advice Papers: on notifications, on sensitive
data and on the practical implementation of Article 28(6) of the Directive 95/46/EC.
They can all be accessed at: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.
|
[14] A se
vedea, în special, următoarele avize: cel privind „Viitorul protecției vieții
private” [2009, Grupul de lucru (GL) 168]; cel privind conceptele de „operator”
și „persoana împuternicită de către operator” (1/2010, GL 169); cel privind
publicitatea comportamentală online (2/2010, GL 171); cel privind principiul
responsabilității (3/2010, GL 173); cel privind dreptul aplicabil (8/2010, GL 179)
și cel privind consimțământul (15/2011, GL 187). La cererea Comisiei, Grupul de
lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu
caracter personal a adoptat, de asemenea, următoarele trei recomandări: cea
privind notificările, cea privind datele sensibile și cea privind punerea
concretă în aplicare a articolului 28 alineatul (6) din Directiva 95/46/CE. Documentele
pot fi consultate la adresa: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.
|
|
[15] Available on the EDPS website: http://www.edps.europa.eu/EDPSWEB/.
|
[15] Aceasta
este disponibilă pe website-ul AEPD: http://www.edps.europa.eu/EDPSWEB.
|
|
[16] EP resolution of 6 July 2011 on a comprehensive
approach on personal data protection in the European Union (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(rapporteur: MEP Axel Voss (EPP/DE).
|
[16] Rezoluția
PE din 6 iulie 2011 referitoare la o abordare globală a protecției datelor cu
caracter personal în Uniunea Europeană [2011/2025 (INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//RO (raportor: MP Axel Voss (DE/PPE)].
|
|
[17] CESE 999/2011.
|
[17] CESE 999/2011.
|
|
[18] SEC(2012)72.
|
[18] SEC (2012)
72.
|
|
[19] COM(2012)12.
|
[19] COM (2012)
12.
|
|
[20] Court of Justice of the EU, judgment of 9.11.2010, Joined
Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert [2010] ECR I-0000.
|
[20] Curtea de
Justiție a UE, hotărârea din 9.11.2010 în cauzele conexate C-92/09 și C-93/09
Volker und Markus Schecke și Eifert, Rep., 2010, p. I-0000.
|
|
[21] In line with Article 52(1) of the Charter, limitations
may be imposed on the exercise of the right to data protection as long as the
limitations are provided for by law, respect the essence of the right and
freedoms and, subject to the principle of proportionality, are necessary and
genuinely meet objectives of general interest recognised by the European Union
or the need to protect the rights and freedoms of others.
|
[21] În
conformitate cu articolul 52 alineatul (1) din cartă, pot fi impuse limitări
privind exercitarea dreptului la protecția datelor, atât timp cât acestea sunt
prevăzute prin lege, respectă substanța acestor drepturi și libertăți și, sub
rezerva principiului proporționalității, sunt necesare și numai dacă răspund
efectiv obiectivelor de interes general recunoscute de Uniune sau necesității
protejării drepturilor și libertăților celorlalți.
|
|
[22] Referred to also in Article 2 (a) of Directive
2011/92/EU of the European Parliament and of the Council of 13 December
2011 on combating the sexual abuse and sexual exploitation of children and
child pornography, and replacing Council Framework Decision 2004/68/JHA, OJ L
335, 17.12.2011, p. 1.
|
[22] De
asemenea, menționată la articolul 2(a) din Directiva 2011/92/UE a Parlamentului
European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului
sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei
infantile și de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului, JO L 335,
17.12.2011, p. 1.
|
|
[23] COM(2005) 475 final.
|
[23] COM(2005) 475
final.
|
|
[24] Article 14 Europol Decision 2009/371/JHA.
|
[24] Articolul 14
din Decizia 2009/371/JAI privind Europol.
|
|
[25] Article 15 Eurojust Decision 2009/426/JHA.
|
[25] Articolul 15
din Decizia 2009/426/JAI privind Eurojust.
|
|
[26] Article 14 Europol Decision 2009/371/JHA.
|
[26] Articolul 14
din Decizia 2009/371/JAI privind Europol.
|
|
[27] ECtHR, judgment of 4.12.2008, S. and Marper v. UK
(Application nos. 30562/04 and 30566/04).
|
[27] CEDO,
hotărârea din 4.12.2008, S. și Marper V. Unit (cererea nr. 30562/04 și 30566/04).
|
|
[28] Adopted by the International Conference of Data
Protection and Privacy Commissioners on 5.11.2009.
|
[28] Adoptată
în cadrul Conferinței internaționale a comisarilor pentru protecția datelor și
a vieții private din 5.11.2009.
|
|
[29] Court of Justice of the EU, judgment of 9.3.2010,
Commission / Germany (C-518/07, ECR 2010 p. I-1885)
|
[29] Curtea de
Justiție a UE, hotărârea din 9.3.2010, Comisia/Germania (C-518/07, Rep., 2010,
p. I-1885).
|
|
[30] Regulation (EC) No 45/2001 of the European Parliament
and of the Council of 18 December 2000 on the protection of individuals with
regard to the processing of personal data by the Community institutions and
bodies and on the free movement of such data; OJ L 008 , 12/.01/.2001, p.1.
|
[30] Regulamentul
(CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000
privind protecția persoanelor fizice cu privire la prelucrarea datelor cu
caracter personal de către instituțiile și organele comunitare și privind
libera circulație a acestor date; JO L 008, 12.1.2001, p. 1.
|
|
[31] Op. cit., footnote 27.
|
[31] Op. cit,
nota de subsol 27.
|
|
[32] Directive 2000/31/EC of the European Parliament and of
the Council of 8 June 2000 on certain legal aspects of information society
services, in particular electronic commerce, in the Internal Market ('Directive
on electronic commerce'); OJ L 178, 17.7.2000, p. 1.
|
[32] Directiva 2000/31/CE
a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite
aspecte juridice ale serviciilor societății informaționale, în special ale
comerțului electronic, pe piața internă („Directiva privind comerțul electronic”);
JO L 178, 17.7.2000, p. 1.
|
|
[33] OJ C… , p. .
|
[33] JO C… , p. .
|
|
[34] OJ L 281, 23.11.1995, p. 31.
|
[34] JO L 281, 23.11.1995, p. 31.
|
|
[35] OJ L 350, 30.12.2008, p. 60.
|
[35] JO L 350, 30.12.2008, p. 60.
|
|
[36] OJ L 55, 28.2.2011, p. 13.
|
[36] JO L 55, 28.2.2011,
p. 13.
|
|
[37] OJ L335,
17.12.2011, p. 1.
|
[37] JO L 335 17.12.2011,
p. 1.
|
|
[38] OJ L 176, 10.7.1999, p. 36.
|
[38] JO L 176, 10.7.1999, p. 36.
|
|
[39] OJ L 53, 27.2.2008, p. 52.
|
[39] JO L 53, 27.2.2008, p. 52.
|
|
[40] OJ L 160 of 18.6.2011, p. 19.
|
[40] JO L 160, 18.6.2011, p. 19.
|