EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 31995L0046

Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date

OJ L 281, 23.11.1995, p. 31–50 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
Special edition in Czech: Chapter 13 Volume 015 P. 355 - 374
Special edition in Estonian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Latvian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Lithuanian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Hungarian Chapter 13 Volume 015 P. 355 - 374
Special edition in Maltese: Chapter 13 Volume 015 P. 355 - 374
Special edition in Polish: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovak: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovene: Chapter 13 Volume 015 P. 355 - 374
Special edition in Bulgarian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Romanian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Croatian: Chapter 13 Volume 007 P. 88 - 107

Legal status of the document No longer in force, Date of end of validity: 24/05/2018; abrogat prin 32016R0679

ELI: http://data.europa.eu/eli/dir/1995/46/oj

13/Volumul 17

RO

Jurnalul Ofícial al Uniunii Europene

10


31995L0046


L 281/31

JURNALUL OFÍCIAL AL UNIUNII EUROPENE


DIRECTIVA 95/46/CE A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI

din 24 octombrie 1995

privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul de instituire a Comunității Europene, în special articolul 100a,

având în vedere propunerea Comisiei (1),

având în vedere avizul Comitetului Economic și Social (2),

hotărând în conformitate cu procedura menționată la articolul 189b din tratat (3),

(1)

întrucât obiectivele Comunității, prevăzute în tratat, astfel cum a fost modificat prin Tratatul privind Uniunea Europeană, includ crearea unei uniuni tot mai strânse între popoarele Europei, promovând relații mai strânse între statele membre care aparțin Comunității, asigurând progresul economic și social printr-o acțiune comună de eliminare a barierelor care împart Europa, încurajând îmbunătățirea constantă a condițiilor de viață a popoarelor, menținând și întărind pacea și libertatea și promovând democrația pe baza drepturilor fundamentale recunoscute în constituțiile și legislațiile statelor membre, precum și în Convenția europeană pentru apărarea drepturilor omului și libertăților fundamentale;

(2)

întrucât sistemele de prelucrare a datelor sunt în serviciul omului; întrucât, acestea trebuie, indiferent de naționalitatea sau reședința persoanelor fizice, să le respecte drepturile și libertățile fundamentale, în special dreptul la viață privată, și să contribuie la progresul economic și social, la dezvoltarea comerțului și la bunăstarea persoanelor;

(3)

întrucât instituirea și funcționarea unei piețe interne în care este asigurată, în conformitate cu articolul 7a din tratat, libera circulație a bunurilor, persoanelor, serviciilor și capitalurilor necesită nu numai libera circulație a datelor cu caracter personal de la un stat membru la altul, ci și garantarea drepturilor fundamentale ale persoanei;

(4)

întrucât în Comunitate se recurge din ce în ce mai frecvent la prelucrarea datelor cu caracter personal în diferitele sfere ale activității economice și sociale; întrucât progresul în tehnologia informațională facilitează considerabil prelucrarea și schimbul acestor date;

(5)

întrucât integrarea economică și socială care rezultă din instituirea și funcționarea pieței interne în sensul articolului 7a din tratat conduce în mod necesar la o creștere substanțială a fluxului transfrontalier de date cu caracter personal între cei implicați, în calitate de participanți privați sau publici la activitatea economică și socială din statele membre; întrucât schimbul de date cu caracter personal între întreprinderile stabilite în diferite state membre este ținut să crească; întrucât autoritățile naționale din diferite state membre sunt solicitate, în temeiul dreptului comunitar, să colaboreze și să schimbe date cu caracter personal astfel încât să-și poată îndeplini atribuțiile sau să îndeplinească sarcini pe seama unei autorități din alt stat membru în contextul unui spațiu fără frontiere interne care constituie piața internă;

(6)

întrucât, în plus, intensificarea cooperării științifice și tehnice și introducerea coordonată de noi rețele de telecomunicații în Comunitate necesită și facilitează fluxurile transfrontaliere de date cu caracter personal;

(7)

întrucât diferența dintre nivelurile de protecție a drepturilor și libertăților persoanelor, în special a dreptului la viață privată în ceea ce privește prelucrarea datelor cu caracter personal permisă în statele membre poate împiedica transmiterea unor astfel de date de pe teritoriul unui stat membru pe cel al altui stat membru; întrucât această diferență poate constitui, prin urmare, un obstacol în desfășurarea unor activități economice la nivel comunitar, poate denatura concurența și poate împiedica autoritățile să-și îndeplinească responsabilitățile conform dreptului comunitar; întrucât diferența dintre nivelurile de protecție se datorează disparităților între actele cu putere de lege și actele administrative interne;

(8)

întrucât, pentru a îndepărta obstacolele din calea circulației datelor cu caracter personal, nivelul protecției drepturilor și libertăților persoanei în ceea ce privește prelucrarea unor astfel de date trebuie să fie echivalent în toate statele membre; întrucât acest obiectiv este vital pentru piața internă, dar nu poate fi atins numai de statele membre, în special având în vedere dimensiunea divergențelor existente în prezent între legislațiile interne ale statelor membre și necesitatea de coordonare a legislațiilor statelor membre astfel încât să reglementeze fluxul transfrontalier de date cu caracter personal în mod coerent, și conform cu obiectivele pieței interne menționate în articolul 7a din tratat; întrucât acțiunea Comunității de apropiere a legislațiilor este prin urmare necesară;

(9)

întrucât, dată fiind protecția echivalentă care rezultă din apropierea legislațiilor interne, statele membre nu vor mai putea împiedica libera circulație a datelor cu caracter personal din considerente de protecție a drepturilor și libertăților persoanei, în special a dreptului la viață privată; întrucât statele membre vor avea o marjă de manevră care, în contextul punerii în aplicare a directivei, poate fi folosită de partenerii economici și sociali; întrucât statele membre vor putea specifica în legislația internă condițiile generale care reglementează legalitatea prelucrării datelor; întrucât procedând astfel, statele membre depun toate eforturile pentru îmbunătățirea protecției asigurate în prezent de legislația lor; întrucât, în limitele acestei marje de manevră și în conformitate cu dreptul comunitar, pot apărea diferențe în aplicarea directivei, ceea ce ar putea afecta circulația datelor atât în cadrul statelor membre, cât și în Comunitate;

(10)

întrucât obiectivul legislației interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul la viață privată care este recunoscut atât prin articolul 8 din Convenția Europeană pentru apărarea drepturilor omului și a libertăților fundamentale, cât și în principiile generale ale dreptului comunitar; întrucât, din acest motiv, apropierea acestor legislații nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în Comunitate;

(11)

întrucât principiile protecției drepturilor și libertăților persoanelor, inclusiv a dreptului la viață privată, conținute și în prezenta directivă le precizează și le amplifică pe acelea conținute în Convenția Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal;

(12)

întrucât principiile protecției trebuie să se aplice tuturor prelucrărilor de date cu caracter personal efectuate de orice persoană ale cărei activități sunt reglementate de dreptul comunitar; întrucât trebuie excluse prelucrările de date efectuate de o persoană fizică în exercitarea unor activități exclusiv personale sau domestice, precum corespondența și păstrarea repertoarului de adrese;

(13)

întrucât activitățile menționate la titlurile V și VI din Tratatul privind Uniunea Europeană legate de siguranța publică, apărarea, securitatea statului sau activitățile statului din domeniul penal nu intră în domeniul de aplicare a dreptului comunitar, fără a aduce atingere obligațiilor care le revin statelor membre în conformitate cu articolul 56 alineatul (2), articolul 57 sau articolul 100 A din tratat; întrucât prelucrarea datelor cu caracter personal care este necesară pentru ocrotirea bunăstării economice a statelor nu intră în domeniul de aplicare a prezentei directive, dacă prelucrarea respectivă se referă la chestiuni de securitate a statului;

(14)

întrucât, ținând seama de importanța evoluției, în cadrul societății informaționale, a tehnicilor utilizate pentru captarea, transmiterea, manipularea, înregistrarea, stocarea sau comunicarea datelor constituite din sunete și imagini privind persoane fizice, prezenta directivă se aplică prelucrării unor astfel de date;

(15)

întrucât prelucrarea datelor este reglementată de prezenta directivă numai dacă este automatizată sau dacă datele prelucrate sunt cuprinse sau sunt destinate să fie cuprinse într-un sistem de evidență structurat în conformitate cu criteriile specifice privind persoanele, astfel încât să permită accesul ușor la datele cu caracter personal în cauză;

(16)

întrucât prelucrarea datelor constituite din sunete și imagini, cum este cazul supravegherilor video, nu intră în domeniul de aplicare a prezentei directive, dacă sunt efectuate în scopuri de siguranță publică, apărare, securitate națională ori în cursul activităților statului din domeniul dreptului penal sau în cursul altor activități care nu intră în domeniul de aplicare a dreptului comunitar;

(17)

întrucât în ceea ce privește prelucrarea datelor constituite din sunete și imagini în scopuri jurnalistice, literare sau artistice, în special în domeniul audiovizual, principiile directivei se aplică în mod restrictiv, în conformitate cu dispozițiile articolului 9;

(18)

întrucât, pentru a garanta că persoanele nu sunt private de protecția la care au dreptul în conformitate cu prezenta directivă, orice prelucrare a datelor cu caracter personal în Comunitate trebuie efectuată în conformitate cu legislația unuia dintre statele membre; întrucât, în acest sens, prelucrarea efectuată sub responsabilitatea unui operator stabilit într-un stat membru se supune legislației statului respectiv;

(19)

întrucât stabilirea pe teritoriul unui stat membru presupune exercitarea efectivă și reală a unei activități într-o formă de instalare stabilă; întrucât forma juridică a stabilirii, fie că este doar sucursală, fie că este filială cu personalitate juridică, nu este factorul determinant în această privință; întrucât, dacă un singur operator are sediul pe teritoriul mai multor state membre, în special prin intermediul filialelor, acesta trebuie să se asigure, pentru a evita orice eludare a reglementărilor de drept intern, că fiecare sediu îndeplinește obligațiile prevăzute de dreptul intern aplicabil activităților sale;

(20)

întrucât faptul că prelucrarea datelor este efectuată de o persoană stabilită într-o țară terță nu trebuie să împiedice protecția persoanelor prevăzută în prezenta directivă; întrucât, în aceste cazuri, prelucrarea este reglementată de legislația statelor membre în care sunt amplasate mijloacele de prelucrare și trebuie să existe garanții că drepturile și obligațiile prevăzute în prezenta directivă sunt respectate în practică;

(21)

întrucât prezenta directivă nu aduce atingere normelor de teritorialitate aplicabile în materie penală;

(22)

întrucât statele membre trebuie să precizeze în legislația lor sau la punerea în aplicare a măsurilor adoptate în temeiul prezentei directive, circumstanțele generale în care prelucrarea este legală; întrucât în special articolul 5 coroborat cu articolele 7 și 8 permite statelor membre, independent de normele generale, să prevadă condiții de prelucrare speciale pentru sectoare specifice și pentru diferitele categorii de date menționate la articolul 8;

(23)

întrucât statele membre sunt împuternicite să asigure punerea în aplicare a protecției persoanei atât prin intermediul unui act general cu putere de lege privind protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, cât și prin acte cu putere de lege în anumite sectoare cum ar fi cele referitoare, de exemplu, la institutele de statistică;

(24)

întrucât prezenta directivă nu aduce atingere legislațiilor privind protecția persoanelor juridice în ceea ce privește prelucrarea datelor care le privesc;

(25)

întrucât principiile protecției trebuie să se reflecte, pe de o parte, în obligațiile impuse persoanelor, autorităților publice, întreprinderilor, agențiilor sau altor organisme care prelucrează date, în special în materie de calitatea datelor, siguranța tehnică, notificarea autorității de supraveghere, circumstanțele în care poate fi efectuată prelucrarea și, pe de altă parte, în dreptul conferit persoanelor ale căror date fac obiectul prelucrării de a fi informate cu privire la aceasta, de a putea avea acces la date, de a putea solicita corectarea lor și chiar de a se opune prelucrării în anumite circumstanțe;

(26)

întrucât principiile protecției trebuie să se aplice oricărei informații privind o persoană identificată sau identificabilă; întrucât, pentru a determina dacă o persoană este identificabilă este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată; întrucât principiile protecției nu se aplică datelor anonime astfel încât persoana vizată să nu mai fie identificabilă; întrucât codurile de conduită în sensul articolului 27 pot fi un instrument util pentru a furniza indicații asupra modului în care datele pot fi transformate în date anonime și stocate într-o formă în care nu mai pot permite identificarea persoanei vizate;

(27)

întrucât protecția persoanelor trebuie să se aplice atât prelucrării automatizate, cât și prelucrării manuale a datelor; întrucât sfera protecției în cauză nu trebuie să depindă în fapt de tehnicile utilizate, în caz contrar creându-se un risc serios de eludare a dispozițiilor; întrucât, în ceea ce privește prelucrarea manuală, prezenta directivă acoperă totuși numai sistemele de evidență a datelor, nu și dosarelor nestructurate; întrucât, în special, conținutul unui sistem de evidență trebuie să fie structurat în conformitate cu criterii specifice privind persoanele, care să permită accesul ușor la datele cu caracter personal; întrucât, în conformitate cu definiția de la articolul 2 litera (c), diferitele criterii de determinare a elementelor unui set structurat de date cu caracter personal și diferitele criterii care reglementează accesul la un astfel de set pot fi stabilite de fiecare stat membru; întrucât dosarele sau seriile de dosare, precum și copertele acestora care nu sunt structurate în conformitate cu criterii specifice nu intră în nici un caz în domeniul de aplicare a prezentei directive;

(28)

întrucât orice prelucrare de date cu caracter personal trebuie să fie legală și onestă față de persoanele vizate; întrucât, în special, datele trebuie să fie adecvate, pertinente și neexcesive în ceea ce privește scopurile în care sunt prelucrate; întrucât scopurile trebuie să fie explicite și legitime și să fie determinate la data colectării datelor; întrucât scopurile prelucrării după colectare nu trebuie să fie incompatibile cu scopurile specificate inițial;

(29)

întrucât prelucrarea ulterioară a datelor cu caracter personal în scopuri istorice, statistice sau științifice nu este incompatibilă cu scopurile pentru care au fost colectate anterior datele, în măsura în care statele membre prevăd garanțiile adecvate; întrucât aceste garanții trebuie să împiedice, în special, folosirea datelor în sprijinul unor măsuri sau decizii împotriva unei anumite persoane;

(30)

întrucât, pentru a fi legală, prelucrarea datelor cu caracter personal trebuie, în plus, să fie efectuată cu consimțământul persoanei vizate sau să fie necesară pentru încheierea sau executarea unui contract care obligă persoanele vizate, fie să respecte o obligație legală, fie să execute o sarcină de interes public sau care rezultă din exercitarea autorității publice, fie, chiar să realizeze un interes legitim al unei persoane fizice sau juridice, cu condiția ca acest interes să nu prejudicieze interesele sau drepturile și libertățile persoanei vizate; întrucât, în special, pentru a menține echilibrul între interesele în cauză garantând în același timp concurența efectivă, statele membre pot preciza condițiile în care datele cu caracter personal pot fi utilizate și comunicate terților în contextul activităților legitime de gestionare curentă ale societăților comerciale și ale altor organisme; întrucât, în mod similar, statele membre pot preciza condițiile în care datele cu caracter personal pot fi comunicate terților pentru prospectare comercială, prospectare efectuată fie de o asociație cu scop caritabil, fie de alte asociații sau fundații, de exemplu cu caracter politic, cu respectarea dispozițiilor care permit persoanelor vizate să se opună prelucrării datelor referitoare la ele, gratuit și fără să trebuiască să își expună motivele;

(31)

întrucât prelucrarea datelor cu caracter personal trebuie, de asemenea, să fie privită ca legală dacă este realizată în scopul de a proteja un interes care este esențial pentru viața persoanei vizate;

(32)

întrucât este de competența legislației interne să stabilească dacă acel operator care îndeplinește o sarcină de interes public sau în exercitarea autorității publice trebuie să fie o administrație publică sau altă persoană fizică sau juridică de drept public sau de drept privat, cum ar fi o asociație profesională;

(33)

întrucât datele care pot, prin natura lor, să aducă atingere libertăților fundamentale sau vieții private, nu ar trebui să fie prelucrate fără consimțământul explicit al persoanei vizate; întrucât, cu toate acestea, trebuie prevăzute derogări în mod expres de la această interdicție, în cazul nevoilor specifice, în special atunci când prelucrarea datelor se realizează în anumite scopuri referitoare la sănătatea persoanelor supuse unei obligații de secret profesional sau pentru realizarea activităților legitime de anumite asociații sau fundații al căror scop este să permită exercitarea libertăților fundamentale;

(34)

întrucât statele membre trebuie, de asemenea, să fie autorizate să deroge de la interdicția privind prelucrarea categoriilor de date sensibile atunci când aceasta se justifică din motive de interes public important în domenii cum ar fi sănătatea publică și protecția socială – în special în scopul asigurării calității și rentabilității în ceea ce privește procedurile folosite pentru soluționarea cererilor de prestații și servicii în sistemul asigurărilor de sănătate – cercetarea științifică și statistica guvernamentală; întrucât este totuși de datoria lor să prevadă garanții specifice și corespunzătoare în scopul protejării drepturilor fundamentale și vieții private a persoanelor;

(35)

întrucât, în plus, prelucrarea datelor cu caracter personal de către autoritățile publice pentru atingerea unor scopuri, care sunt stabilite în dreptul constituțional sau în dreptul internațional public, în beneficiul asociațiilor religioase recunoscute oficial se realizează pentru un motiv de interes public important;

(36)

întrucât, dacă în cursul activităților electorale funcționarea sistemului democratic presupune, în anumite state membre, ca partidele politice să colecteze date privind opinia politică a persoanelor, prelucrarea unor astfel de date poate fi autorizată din motive legate de un interes public important, cu condiția să se prevadă garanțiile necesare;

(37)

întrucât prelucrarea datelor cu caracter personal în scopuri jurnalistice, literare sau artistice, în special în domeniul audiovizualului, trebuie să beneficieze de derogări sau de restricții de la cerințele anumitor dispoziții ale prezentei directive în măsura în care ele sunt necesare în vederea punerii drepturilor fundamentale ale persoanei în acord cu libertatea de exprimare și în special cu libertatea a primi sau de a difuza informații, așa cum este garantată în special prin articolul 10 din Convenția europeană de apărare a drepturilor omului și a libertăților fundamentale; întrucât statele membre, în scopul menținerii unui echilibru între drepturile fundamentale, trebuie să stabilească derogările și restricțiile, necesare în ceea ce privește măsurile generale privind legalitatea prelucrării datelor, măsurile privind transferul de date în țări terțe, precum și competențele autorităților de supraveghere; întrucât acest lucru nu trebuie totuși să conducă statele membre la stabilirea unor derogări de la măsurile menite să garanteze securitatea prelucrării; întrucât ar fi oportun, de asemenea, să se confere a posteriori cel puțin autorității de supraveghere anumite competențe în domeniu, constând de exemplu în publicarea cu regularitate a unui raport sau în sesizarea autorităților judiciare;

(38)

întrucât, dacă prelucrarea datelor este corectă, persoanele vizate ar trebui să aibă posibilitatea de a afla despre existența prelucrărilor și să beneficieze, atunci când datele sunt colectate de la acestea, de o informare precisă și completă, ținând seama de circumstanțele colectării;

(39)

întrucât anumite prelucrări implică date pe care operatorul nu le-a colectat direct de la subiect; întrucât, mai mult decât atât, datele pot fi comunicate în mod legitim unui terț, chiar atunci când această comunicare nu a fost prevăzută în momentul colectării datelor de la persoana vizată; întrucât, în toate aceste cazuri, persoana vizată trebuie informată atunci când se înregistrează datele sau cel târziu atunci când datele sunt comunicate pentru prima dată unui terț;

(40)

întrucât, cu toate acestea, nu este necesară impunerea acestei obligații dacă persoana vizată este deja informată; întrucât, în plus, această obligație nu a fost prevăzută dacă această înregistrare sau comunicare este prevăzută în mod expres de lege sau dacă informarea persoanei vizate se dovedește imposibilă sau implică eforturi disproporționate, așa cum se întâmplă în cazul prelucrărilor în scopuri istorice, statistice sau științifice; întrucât, în această privință, poate fi luat în considerare numărul persoanelor vizate, vechimea datelor, precum și măsurile compensatorii care pot fi adoptate;

(41)

întrucât orice persoană trebuie să poată beneficia de dreptul de acces la datele cu caracter personal care fac obiectul prelucrării, pentru a se asigura în special de exactitatea datelor și de legalitatea prelucrării acestora; întrucât, din aceleași motive, orice persoană vizată trebuie să aibă dreptul de a cunoaște logica pe care s-a bazat prelucrarea automată a datelor care o privesc, cel puțin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1); întrucât acest drept nu trebuie să aducă atingere secretului comercial sau proprietății intelectuale, în special dreptului de autor care protejează software; întrucât aceste considerații nu trebuie să conducă totuși la situația de a i se refuza persoanei interesate orice informație;

(42)

întrucât, în interesul persoanei vizate sau în vederea protejării drepturilor și libertăților celorlalți, statele membre pot restrânge drepturile de acces la informații; întrucât pot preciza, de exemplu, că accesul la datele cu caracter medical poate fi obținut numai printr-un specialist din domeniul sănătății;

(43)

întrucât statele membre pot impune, în mod similar, restricții cu privire la drepturile de acces și de informare, precum și la anumite obligații ale operatorului, în măsura în care sunt necesare pentru a ocroti, de exemplu, securitatea națională, apărarea, siguranța publică sau un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, precum și cu privire la cercetarea și urmărirea penală sau la încălcarea deontologiei profesionale reglementate; întrucât este oportun să se enumere, ca excepții și restricții, sarcinile de control, inspecție sau reglementare necesare în ultimele trei domenii menționate anterior cu privire la siguranța publică, interesele economic sau financiar și prevenirea infracțiunilor; întrucât enumerarea sarcinilor în cele trei domenii nu afectează legitimitatea excepțiilor și restricțiilor din motive de securitate și apărare a statului;

(44)

întrucât statele membre pot fi puse, în temeiul dispozițiilor dreptului comunitar, în situația de a deroga de la dispozițiile prezentei directive privind dreptul de acces, informarea persoanelor și calitatea datelor, în vederea protejării unora dintre obiectivele menționate anterior;

(45)

întrucât, în cazul în care unele date ar putea face obiectul prelucrării legale întemeiate pe interesul public, al exercitării autorității publice sau al interesului legitim al unei persoane fizice sau juridice, orice persoană vizată ar trebui totuși să aibă dreptul de a se opune, din motive solide și legitime legate de situația sa particulară, prelucrării datelor care o privesc; întrucât statele membre au, cu toate acestea, posibilitatea să prevadă dispoziții de drept intern contrare;

(46)

întrucât protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită luarea unor măsuri tehnice și organizatorice adecvate atât în momentul proiectării sistemului de prelucrare cât și în cel al prelucrării în sine, în special în scopul menținerii securității și prevenirii oricărei prelucrări neautorizate; întrucât este de datoria statelor membre să vegheze la respectarea acestor măsuri de către operatori; întrucât aceste măsuri trebuie să asigure un nivel adecvat de securitate ținând seama de cele mai recente tehnici din sector și de costurile punerii lor în aplicare în raport cu riscurile inerente prelucrării și cu natura datelor de protejat;

(47)

întrucât, dacă se transmite un mesaj care conține date cu caracter personal printr-un serviciu de telecomunicații sau de poștă electronică al cărui unic scop este de a transmite mesaje de acest tip, operatorul datelor cu caracter personal cuprinse într-un mesaj este în mod normal considerată persoana care expediază mesajul, nu cea care oferă serviciul de transmitere a acestuia; întrucât, cu toate acestea, persoanele care oferă aceste servicii sunt în mod normal considerate operatori ai prelucrării datelor cu caracter personal suplimentare necesare funcționării serviciului;

(48)

întrucât notificarea autorităților de supraveghere este destinată să organizeze publicitatea scopurilor și caracteristicilor principale ale prelucrării pentru ca aceasta să poată controla dacă prelucrarea datelor este în conformitate cu măsurile interne adoptate în temeiul prezentei directive;

(49)

întrucât, pentru a evita formalitățile administrative inadecvate, statele membre pot prevedea exonerări sau simplificări ale notificării în cazurile în care prelucrarea datelor nu poate aduce atingere drepturilor și libertăților persoanelor vizate, cu condiția ca aceasta să se realizeze în conformitate cu o măsură luată de un stat membru care îi precizează limitele; întrucât exonerările sau simplificările pot, în mod similar, fi prevăzute de către statele membre atunci când o persoană împuternicită de operator se asigură că prelucrarea realizată nu poate să aducă atingere drepturilor și libertăților persoanelor vizate; întrucât o astfel de persoană împuternicită cu protejarea datelor, fie că este sau nu un angajat al operatorului, trebuie să fie în măsură sa își exercite atribuțiile în deplină independență;

(50)

întrucât pot fi prevăzute exonerări sau simplificări în cazul prelucrărilor de date al căror unic scop este păstrarea unui registru destinat, în conformitate cu dreptul intern, să ofere informații publicului și să fie deschis spre consultare publicului sau oricărei alte persoane care demonstrează un interes legitim;

(51)

întrucât, cu toate acestea, simplificarea sau exonerarea de obligația de notificare nu îl scutește pe operator de alte obligații care decurg din prezenta directivă;

(52)

întrucât, în acest context, controlul a posteriori de către autoritățile competente trebuie să fie, în general, considerat o măsură suficientă;

(53)

întrucât anumite prelucrări pot să prezinte totuși riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura lor, domeniul de aplicare sau scopurile lor, cum ar fi excluderea persoanei de la beneficiul unui drept, unei prestații sau unui contract, sau prin utilizarea specifică a unei tehnologii noi; întrucât le revine statelor membre, dacă doresc acest lucru, obligația de a preciza astfel de riscuri în legislația lor;

(54)

întrucât numărul celor care prezintă astfel de riscuri specifice trebuie să fie foarte restrâns în ceea ce privește totalul prelucrărilor efectuate în societate; întrucât statele membre trebuie să prevadă, pentru aceste prelucrări, o verificare prealabilă punerii lor în practică, efectuată de autoritatea de supraveghere sau de persoana împuternicită cu protejarea datelor în cooperare cu aceasta; întrucât, în urma acestei verificări prealabile, autoritatea de supraveghere poate, în conformitate cu dreptul intern, emite un aviz sau poate autoriza prelucrarea datelor; întrucât o astfel de verificare poate fi, de asemenea, efectuată în timpul elaborării fie a unei măsuri legislative a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care să definească natura prelucrării și să stabilească garanțiile corespunzătoare;

(55)

întrucât atunci când operatorul nu respectă drepturile persoanelor vizate legislațiile interne trebuie să prevadă căi de atac în justiție; întrucât daunele pe care o persoană le poate suferi ca urmare a unei prelucrări ilegale trebuie să fie reparate de către operator, care poate fi exonerat de răspundere dacă dovedește că daunele nu îi sunt imputabile, în special atunci când constată existența unei erori a persoanei vizate sau în caz de forță majoră; întrucât trebuie aplicate sancțiuni oricărei persoane, atât de drept privat, cât și de drept public, care nu respectă dispozițiile de drept intern adoptate în temeiul prezentei directive;

(56)

întrucât pentru dezvoltarea comerțului internațional sunt necesare fluxuri transfrontaliere de date cu caracter personal; întrucât protecția persoanei garantată în Comunitate prin prezenta directivă nu se opune transferului datelor cu caracter personal în țări terțe, asigurând un nivel de protecție adecvat; întrucât caracterul adecvat al nivelului de protecție oferit de o țară terță trebuie apreciat având în vedere toate circumstanțele referitoare la un transfer sau o categorie de transferuri;

(57)

întrucât, pe de altă parte, trebuie interzis transferul datelor cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat;

(58)

întrucât trebuie să poată fi prevăzute derogări de la această interdicție în anumite circumstanțe în care persoana vizată și-a dat consimțământul, în care transferul este necesar în legătură cu un contract sau cu o acțiune în justiție, în care apărarea unui interes public important o impune, de exemplu în cazul schimburilor internaționale de date între administrațiile fiscale sau vamale ori între serviciile competente în materie de securitate socială sau în care transferul se efectuează dintr-un registru stabilit prin act cu putere de lege și destinat să fie consultat de către public sau de către persoane având un interes legitim; întrucât, în acest caz, un astfel de transfer nu ar trebui să privească totalitatea datelor sau categoriilor de date conținute în registrul menționat; întrucât atunci când un registrul este destinat să fie consultat de către persoane având un interes legitim, transferul nu ar trebui să poată fi efectuat decât la cererea acestor persoane sau atunci când acestea sunt destinatarii;

(59)

întrucât pot fi luate măsuri speciale pentru a compensa nivelul de protecție insuficient dintr-o țară terță atunci când operatorul oferă garanții corespunzătoare; întrucât, în plus, trebuie prevăzute proceduri de negociere între Comunitate și aceste țări terțe;

(60)

întrucât, în orice caz, transferurile către țările terțe se efectuează numai cu respectarea deplină a dispozițiilor adoptate de statele membre în temeiul prezentei directive, în special articolul 8;

(61)

întrucât statele membre și Comisia, în domeniile lor de competență, trebuie să încurajeze asociațiile comerciale și alte organizații reprezentative interesate să elaboreze coduri de conduită destinate să favorizeze, ținând seama de particularitățile prelucrării datelor efectuate în anumite sectoare, punerea în aplicare a prezentei directive cu respectarea dispozițiile de drept intern adoptate pentru aplicarea acesteia;

(62)

întrucât instituirea în statele membre a unor autorități de supraveghere care să-și exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal;

(63)

întrucât aceste autorități trebuie să dispună de mijloacele necesare pentru a-și îndeplini sarcinile, indiferent dacă acestea sunt puteri de investigare sau de intervenție, în special atunci când autoritățile primesc plângeri, sau competențe de a acționa în justiție; întrucât acestea trebuie să contribuie la transparența prelucrării datelor, efectuată în statul membru de proveniență;

(64)

întrucât autoritățile din diferite state membre sunt ținute să-și acorde reciproc asistență în îndeplinirea sarcinilor, astfel încât să se asigure respectarea deplină a normelor de protecție în întreaga Uniune Europeană;

(65)

întrucât la nivelul Comunității trebuie înființat un grup de lucru privind protecția persoanei în ceea ce privește prelucrarea datelor cu caracter personal, care trebuie să-și exercite funcțiile în deplină independență; întrucât, ținând seama de această particularitate, acesta trebuie să consilieze Comisia și să contribuie în special la aplicarea unitară a normelor interne adoptate în temeiul prezentei directive;

(66)

întrucât, în ceea ce privește transferul de date către țări terțe, aplicarea prezentei directive necesită atribuirea de competențe de execuție Comisiei și instituirea unei proceduri în conformitate cu modalitățile stabilite în Decizia 87/373/CEE (4) a Consiliului;

(67)

întrucât la 20 decembrie 1994 s-a ajuns la un acord privind un modus vivendi între Parlamentul European, Consiliu și Comisie privind punerea în aplicare a măsurilor pentru actele adoptate în conformitate cu procedura stabilită la articolul 189 B din tratat;

(68)

întrucât principiile prevăzute în prezenta directivă cu privire la protecția drepturilor și libertăților persoanelor, în special a dreptului la viață privată, în ceea ce privește prelucrarea datelor cu caracter personal, vor putea fi completate sau clarificate cu norme speciale conform acestor principii, în special pentru anumite sectoare;

(69)

întrucât este oportun să li se acorde statelor membre un termen care să nu depășească trei ani de la intrarea în vigoarea a măsurilor interne de transpunere a prezentei directive, pentru a le permite aplicarea treptat a noilor dispoziții de drept intern oricărei prelucrări de date deja implementate; întrucât, pentru a facilita aplicarea lor eficientă din punct de vedere al costurilor, statele membre sunt autorizate să prevadă o perioadă suplimentară care expiră după 12 ani de la data adoptării prezentei directive, astfel încât să se asigure conformitatea sistemelor de evidență manuale existente cu anumite dispoziții ale directivei; întrucât, dacă datele conținute în astfel de sisteme de evidență fac obiectul unei prelucrări manuale efective în decursul acestei perioade de tranziție suplimentare, aducerea lor în conformitate cu aceste dispoziții trebuie să se efectueze în momentul prelucrării;

(70)

întrucât nu este oportun ca persoana vizată să-și dea încă o dată consimțământul pentru a permite operatorului să continue să efectueze, după intrarea în vigoare a dispozițiilor de drept intern adoptate în aplicarea prezentei directive, o prelucrare a datelor sensibile necesare în executarea unui contract încheiat pe baza consimțământului liber și informat înainte de intrarea în vigoare a dispozițiilor menționate anterior;

(71)

întrucât prezenta directivă nu împiedică un stat membru să reglementeze activitățile de prospectare a comercială care au în vedere consumatorii care au reședința pe teritoriul acestuia, în măsura în care o astfel de reglementare nu implică protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal;

(72)

întrucât prezenta directivă permite să se ia în considerare principiul dreptului de acces public la documente administrative atunci când se pun în aplicare principiile stabilite în prezenta directivă,

ADOPTĂ PREZENTA DIRECTIVĂ:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiectul directivei

(1)   Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

(2)   Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1).

Articolul 2

Definiții

În sensul prezentei directive:

(a)

„date cu caracter personal” înseamnă orice informație cu referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;

(b)

„prelucrarea datelor cu caracter personal” (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;

(c)

„sistem de evidență a datelor cu caracter personal” (sistem de evidență) înseamnă orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

(d)

„operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin acte cu putere de lege sau norme administrative interne sau comunitare, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul intern sau comunitar;

(e)

„persoana împuternicită de către operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal pe seama operatorului;

(f)

„terț” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice organism altul decât persoana vizată, operatorul, persoana împuternicită și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite, sunt autorizate să prelucreze date;

(g)

„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele, indiferent dacă este sau nu terț; cu toate acestea, autoritățile cărora li se comunică date în cadrul unei anumite anchete nu trebuie să fie considerate destinatari;

(h)

„consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.

Articolul 3

Domeniul de aplicare

(1)   Prezenta directivă se aplică prelucrării automate, în totalitate sau parțial, precum și prelucrării neautomate a datelor cu caracter personal, conținute sau care urmează să fie conținute într-un sistem de evidență a datelor cu caracter personal.

(2)   Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;

efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.

Articolul 4

Dreptul intern aplicabil

(1)   Fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când:

(a)

prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru; dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern aplicabil;

(b)

operatorul nu este stabilit pe teritoriul statului membru, ci într-un loc în care se aplică dreptul intern al acestuia, în temeiul dreptului internațional public;

(c)

operatorul nu este stabilit pe teritoriul Comunității, dar în scopul prelucrării datelor cu caracter personal recurge la mijloace automate sau neautomate, situate pe teritoriul statului membru respectiv, cu excepția cazului în care aceste mijloace sunt folosite numai în vederea tranzitului pe teritoriul Comunității.

(2)   În situațiile menționate la alineatul (1) litera (c), operatorul trebuie să desemneze un reprezentant stabilit pe teritoriul statului membru în cauză, fără să aducă atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși.

CAPITOLUL II

CONDIȚIILE GENERALE DE LEGALITATE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL

Articolul 5

Statele membre precizează, în limitele dispozițiilor prezentului capitol, condițiile în care operațiunile de prelucrare a datelor cu caracter personal sunt legale.

SECȚIUNEA I

PRINCIPII REFERITOARE LA CALITATEA DATELOR

Articolul 6

(1)   Statele membre stabilesc că datele cu caracter personal trebuie să fie:

(a)

prelucrate în mod corect și legal,

(b)

colectate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau științifice nu este considerată incompatibilă atât timp cât statele membre prevăd garanții corespunzătoare;

(c)

adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt colectate și prelucrate ulterior;

(d)

exacte și, dacă este necesar, actualizate; trebuie luate toate măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate sau pentru care vor fi prelucrate ulterior, să fie șterse sau rectificate;

(e)

păstrate într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice.

(2)   Operatorul are obligația să asigure respectarea alineatului (1).

SECȚIUNEA II

CRITERII PRIVIND LEGITIMITATEA PRELUCRĂRII DATELOR

Articolul 7

Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:

(a)

persoana vizată și-a dat consimțământul neechivoc sau

(b)

prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului sau

(c)

prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului sau

(d)

prelucrarea este necesară în scopul protejării interesului vital al persoanei vizate sau

(e)

prelucrarea este necesară pentru aducerea la îndeplinire a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul sau terțul căruia îi sunt comunicate datele sau

(f)

prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1).

SECȚIUNEA III

CATEGORII SPECIALE DE PRELUCRARE

Articolul 8

Prelucrarea unor categoriilor speciale de date

(1)   Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală.

(2)   Alineatul (1) nu se aplică în oricare din următoarele situații:

(a)

persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date, cu excepția cazului în care legislația statului membru prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate sau

(b)

prelucrarea este necesară în scopul respectării obligațiilor și drepturilor specifice ale operatorului în materie de drept al muncii, în măsura în care este autorizat de legislația internă care prevede garanții adecvate sau

(c)

prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul sau

(d)

prelucrarea este efectuată, în cursul activităților lor legitime și cu garanții adecvate, de o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii acestui organism sau la persoane cu care are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate sau

(e)

prelucrarea se referă la date care sunt făcute publice de către persoanele vizate în mod manifest sau sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în justiție.

(3)   Alineatul (1) nu se aplică atunci când prelucrarea datelor este necesară în scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijirii sau tratamente ori de gestionare a serviciilor de sănătate și atunci când datele sunt prelucrate de un cadru medical supus, în conformitate cu dreptul intern ori cu normele stabilite de autoritățile naționale competente, secretului profesional sau de altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește secretul.

(4)   Sub rezerva unor garanții corespunzătoare, statele membre pot prevedea, pentru un motiv de interes public important, derogări suplimentare față de cele prevăzute în alineatul (2) fie în legislația internă, fie prin decizia autorității de supraveghere.

(5)   Prelucrarea datelor referitoare la infracțiuni, condamnări penale sau măsuri de securitate se poate efectua numai sub controlul autorității publice sau dacă garanțiile corespunzătoare și specifice sunt prevăzute de dreptul intern, sub rezerva derogărilor pe care statul membru le poate acorda în temeiul dispozițiilor de drept intern care prevăd garanții corespunzătoare și specifice. Cu toate acestea, un registru complet al condamnărilor penale nu poate fi ținut decât sub controlul autorității publice.

Statele membre pot să prevadă ca datele referitoare la sancțiunile administrative sau sentințele civile să fie, de asemenea, prelucrate tot sub controlul autorității publice.

(6)   Derogările de la alineatul (1) prevăzute la alineatele (4) și (5) sunt notificate Comisiei.

(7)   Statele membre stabilesc condițiile în care poate fi prelucrat un număr de identificare sau orice alt identificator cu aplicabilitate generală care poate face obiectul prelucrării.

Articolul 9

Prelucrarea datelor cu caracter personal și libertatea de exprimare

Statele membre prevăd exonerări și derogări de la dispozițiile prezentului capitol, ale capitolului IV și ale capitolului VI pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, în măsura în care se dovedesc necesare pentru a pune dreptul la viață privată în acord cu normele care reglementează libertatea de exprimare.

SECȚIUNEA IV

INFORMAȚII CARE SE COMUNICĂ PERSOANEI VIZATE

Articolul 10

Informațiile în cazurile de colectare a datelor de la persoana vizată

Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a)

identitatea operatorului și, dacă este cazul, a reprezentantului;

(b)

scopul prelucrării căreia îi sunt destinate datele;

(c)

orice alte informații suplimentare, cum ar fi:

destinatarii sau categoriile de destinatari ai datelor;

dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;

existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

Articolul 11

Informații în cazul în care datele nu au fost obținute de la persoana vizată

(1)   Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terți, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana vizată este deja informată cu privire la aceste date:

(a)

identitatea operatorului și, dacă este cazul, a reprezentantului său;

(b)

scopurile prelucrării;

(c)

orice alte informații suplimentare, cum ar fi:

categoriile de date în cauză;

destinatarii sau categoriile de destinatari ai datelor;

existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal;

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

(2)   Alineatul (1) nu se aplică atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori științifică, informarea persoanei vizate se dovedește a fi imposibilă, implică eforturi disproporționate sau dacă legislația prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, statele membre prevăd garanții corespunzătoare.

SECȚIUNEA V

DREPTUL DE ACCES LA DATE AL PERSOANEI VIZATE

Articolul 12

Dreptul de acces

Statele membre garantează oricărei persoane vizate dreptul de a obține de la operator:

(a)

fără constrângere, la intervale rezonabile și fără întârzieri sau cheltuieli excesive:

confirmarea că datele care o privesc sunt sau nu sunt prelucrate, precum și informații referitoare la scopul prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;

comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării și a altor informații disponibile cu privire la originea datelor;

informații cu privire la principiile de funcționare a mecanismului prin care se efectuează prelucrarea automată a datelor care o privesc, cel puțin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1);

(b)

după caz, rectificarea, ștergerea sau blocarea datelor a căror prelucrare nu respectă dispozițiile prezentei directive, în special datorită caracterului incomplet sau inexact a datelor;

(c)

notificare terților cărora le-au fost comunicate datele cu privire la orice rectificare, ștergere sau blocare efectuată în conformitate cu litera (b), dacă această notificare nu se dovedește imposibilă sau nu presupune un efort disproporționat.

SECȚIUNEA VI

EXCEPȚII ȘI RESTRICȚII

Articolul 13

Excepții și restricții

(1)   Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja:

(a)

securitatea statului;

(b)

apărarea;

(c)

siguranța publică;

(d)

prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate;

(e)

un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar și fiscal;

(f)

o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e);

(g)

protecția persoanei vizate sau a drepturilor și libertăților altora.

(2)   Sub rezerva garanțiilor legale corespunzătoare, în special în sensul că datele nu sunt folosite pentru luarea unor măsuri sau decizii împotriva unei anumite persoane, statele membre pot, în cazul în care nu există în mod clar riscuri de încălcare a vieții private a persoanei vizate, să restrângă printr-o măsură legislativă drepturile prevăzute la articolul 12 atunci când datele sunt prelucrate exclusiv în scopul cercetării științifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depășește perioada necesară în scopul unic de realizare a statisticilor.

SECȚIUNEA VII

DREPTUL DE OPOZIȚIE AL PERSOANEI VIZATE

Articolul 14

Dreptul de opoziție al persoanei vizate

Statele membre acordă persoanei vizate dreptul:

(a)

cel puțin în cazurile prevăzute în articolul 7 literele (e) și (f), să se opună în orice moment, din considerente întemeiate și legitime legate de situația sa particulară, prelucrării datelor în cauză, exceptând cazul când dreptul intern prevede altfel. Dacă opoziția este justificată, prelucrarea efectuată de operator nu se mai aplică acestor date;

(b)

de a se opune, la cerere și gratuit, prelucrării datelor cu caracter personal care o privesc de către operator în scopul prospectării sau de a fi informat înainte ca datele cu caracter personal să fie comunicate pentru prima dată terților în scopul prospectării și de a i se oferi în mod expres dreptul de a se opune, gratuit, unei astfel de comunicări sau utilizări.

Statele membre iau toate măsurile necesare pentru a garanta că persoanele vizate au cunoștință de existența dreptului prevăzut la litera (b) primul paragraf.

Articolul 15

Decizii individuale automatizate

(1)   Statele membre recunosc fiecărei persoane dreptul de a nu face obiectul unei decizii care să producă efecte juridice asupra sa ori să o afecteze în mod semnificativ și care să fie întemeiată numai pe prelucrarea automatizată a datelor destinată să evalueze anumite aspecte personalității sale, cu ar fi randamentul profesional, credibilitatea, încrederea pe care o prezintă, conduita etc.

(2)   Sub rezerva altor dispoziții din prezenta directivă, statele membre prevăd că o persoană poate face obiectul unei decizii de felul celei menționate la alineatul (1) dacă o astfel de decizie:

(a)

este luată în cursul încheierii sau executării unui contract, cu condiția ca cererea de încheiere sau de executare a contractului introdusă de persoana vizată să fi fost satisfăcută sau ca unele măsurile adecvate, cum ar fi posibilitatea de a-și susține punctul de vedere, să garanteze apărarea interesului său legitim sau

(b)

este autorizată printr-un act cu putere de lege care stabilește măsurile de garantare a apărării interesului legitim al persoanei vizate.

SECȚIUNEA VIII

CONFIDENȚIALITATEA ȘI SECURITATEA PRELUCRĂRILOR

Articolul 16

Confidențialitatea prelucrărilor

Orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de către operator, inclusiv persoana împuternicită, care are acces la datele cu caracter personal nu trebuie să le prelucreze decât la instrucțiunile operatorului, cu excepția cazului în care este obligat prin lege.

Articolul 17

Securitatea prelucrărilor

(1)   Statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice și organizatorice de protecție adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o rețea, precum și împotriva oricărei alte forme de prelucrare ilegală.

Având în vedere cele mai noi tehnici din sector și costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce privește riscurile prezentate de prelucrare și caracterul datelor de protejat.

(2)   Statele membre prevăd ca operatorul, dacă prelucrarea este efectuată pe seama sa, să aleagă o persoană care să prezintă suficiente garanții referitoare la măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată și să vegheze la respectarea acestor măsuri.

(3)   Efectuarea prelucrărilor prin persoane împuternicite trebuie să fie reglementată printr-un contract sau act juridic care leagă persoana împuternicită de operator și care prevede, în special, că:

persoana împuternicită acționează numai la instrucțiunile operatorului;

obligațiile prevăzute în alineatul (1), așa cum sunt definite de legislația statului membru în care este stabilită persoana împuternicită, îi revin și acesteia.

(4)   În scopul păstrării probelor, elementele contractului sau actului juridic care se referă la protecția datelor și la cerințele referitoare la măsurile prevăzute în alineatul (1) se consemnează în scris sau în altă formă echivalentă.

SECȚIUNEA IX

NOTIFICAREA

Articolul 18

Obligația de a notifica autoritatea de supraveghere

(1)   Statele membre prevăd notificarea de către operator sau, dacă este cazul, de către persoana împuternicită a autorității de supraveghere prevăzute în articolul 28 înainte de efectuarea prelucrării total sau parțial automatizate destinate să servească unui scop sau mai multor scopuri legate între ele.

(2)   Statele membre nu pot să prevadă simplificarea notificării sau a derogării de la această obligație decât în cazurile și în condițiile următoare:

atunci când, pentru categoriile de prelucrări care, ținând seama de datele de prelucrat, nu pot să aducă atingere drepturilor și libertăților persoanelor vizate, precizează scopul prelucrărilor, datele sau categoriile de date supuse prelucrării, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cărora le sunt comunicate și perioada de stocare a datelor și/sau

atunci când operatorul, în conformitate cu dreptul intern căruia i se supune, numește un funcționar pentru protecția datelor cu caracter personal, responsabil în special:

de asigurarea în mod independent a aplicării interne a dispozițiilor de drept intern adoptate în temeiul prezentei directive;

de păstrarea registrului cu prelucrările efectuate de operator, conținând informațiile prevăzute în articolul 21 alineatul (2),

și garantând astfel că prelucrările nu pot să aducă atingere drepturilor și libertăților persoanelor vizate.

(3)   Statele membre pot prevedea ca alineatul (1) să nu se aplice prelucrărilor al căror unic scop este păstrarea unui registru care, conform actelor cu putere de lege și normelor administrative, să furnizeze informații publicului și este deschis spre consultare publicului sau oricărei persoane care demonstrează un interes legitim.

(4)   Statele membre pot prevedea o derogare de la obligația de notificare sau o simplificare a notificării prelucrările prevăzute în articolul 8 alineatul (2) litera (d).

(5)   Statele membre pot stipula ca toate sau anumite prelucrări neautomatizate ale datelor cu caracter personal să fie notificate sau să facă obiectul unei notificări simplificate.

Articolul 19

Conținutul notificării

(1)   Statele membre precizează informațiile care urmează să fie prezentate în notificare. Acestea cuprind cel puțin:

(a)

numele și adresa operatorului și a persoanei împuternicite, dacă este cazul;

(b)

scopul sau scopurile prelucrării;

(c)

o descriere a categoriei sau categoriilor de persoane vizate și a datelor sau categoriilor de date privitoare la acestea;

(d)

destinatarii sau categoriile de destinatari cărora li se pot comunica datele;

(e)

propunerile de transferuri de date către țări terțe;

(f)

o descriere generală care să permită o evaluare preliminară a caracterului adecvat al măsurilor luate în temeiul articolului 17 pentru a asigura securitatea prelucrării.

(2)   Statele membre precizează procedurile de notificare către autoritatea de supraveghere a oricărei schimbări care afectează informațiile prevăzute în alineatul (1).

Articolul 20

Controlul prealabil

(1)   Statele membre precizează care sunt prelucrările care pot prezenta riscuri specifice în ceea ce privește drepturile și libertățile persoanelor vizate și veghează ca aceste prelucrări să fie examinate înainte de a le pune în practică.

(2)   Astfel de verificări prealabile se efectuează de către autoritatea de supraveghere după primirea unei notificări de la operator sau de către funcționarul responsabil de protecția datelor care, în caz de dubiu, trebuie să consulte autoritatea de supraveghere.

(3)   Statele membre pot, de asemenea, întreprinde astfel de verificări în contextul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care să definească natura prelucrării și să stabilească garanțiile adecvate.

Articolul 21

Publicitatea prelucrărilor

(1)   Statele membre iau măsuri pentru a asigura publicitatea prelucrărilor.

(2)   Statele membre prevăd ca autoritatea de supraveghere să țină un registru cu prelucrările notificate în conformitate cu articolul 18.

Registrul conține cel puțin informațiile enumerate în articolul 19 alineatul (1) literele (a)-(e).

Registrul poate fi consultat de orice persoană.

(3)   În ceea ce privește prelucrările nesupuse notificării, statele membre prevăd punerea la dispoziție oricărei persoane, la cerere de către operator sau de altă autoritate desemnată de statele membre, cel puțin a informațiilor menționate la articolul 19 alineatul (1) literele (a)-(e), într-o formă adecvată.

Statele membre prevăd ca prezenta dispoziție să nu se aplice prelucrărilor care au ca obiect unic ținerea unui registru care, în conformitate cu dispozițiile legale și de reglementare, este destinat să furnizeze informații publicului și este deschis spre consultare atât publicului, cât și oricărei alte persoane care face dovada unui interes legitim.

CAPITOLUL III

ACȚIUNI ÎN JUSTIȚIE, RĂSPUNDERE ȘI SANCȚIUNI

Articolul 22

Acțiuni

Fără să aducă atingere oricărei căi administrative de atac care poate fi prevăzută, inter alia, în fața autorității de supraveghere menționată la articolul 28, anterior sesizării autorității judecătorești, statele membre prevăd dreptul oricărei persoane la o cale atac în justiție în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării în cauză.

Articolul 23

Răspundere

(1)   Statele membre prevăd ca orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale sau a oricărei acțiuni incompatibile cu dispozițiile de drept intern adoptate în temeiul prezentei directive are dreptul să obțină reparații de la operator pentru prejudiciul suferit.

(2)   Operatorul poate fi exonerat de răspundere, total sau parțial dacă dovedește că nu îi este imputabilă fapta care a provocat prejudiciul.

Articolul 24

Sancțiuni

Statele membre adoptă măsurile adecvate pentru a asigura aplicarea integrală a dispozițiilor prezentei directive și, în special, stabilește sancțiunile care urmează să fie aplicate în caz de încălcare a dispozițiilor adoptate în temeiul prezentei directive.

CAPITOLUL IV

TRANSFERUL DATELOR CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE

Articolul 25

Principii

(1)   Statele membre prevăd ca transferul către o țară terță a datelor cu caracter personal care fac obiectul prelucrării sau sunt destinate prelucrării după transfer nu poate avea loc decât dacă, sub rezerva respectării dispozițiilor de drept intern adoptate în temeiul celorlalte dispoziții ale prezentei directive, țara terță în cauză asigură un nivel de protecție adecvat.

(2)   Caracterul adecvat al nivelului de protecție oferit de o țară terță se evaluează având în vedere toate circumstanțele referitoare la un transfer sau la o categorie de transferuri de date; în special sunt luate în considerare natura datelor, scopul și durata prelucrării sau prelucrărilor propuse, țările de origine și țările de destinație, normele de drept atât generale, cât și sectoriale în vigoare în țara terță în cauză, precum și normele profesionale și măsurilor de securitate respectate în țara respectivă.

(3)   Statele membre și Comisia se informează reciproc în cazurile în care consideră că o țară terță nu asigură un nivel de protecție adecvat în sensul alineatului (2).

(4)   Atunci când Comisia constată, în conformitate cu procedura prevăzută în articolul 31 alineatul (2), că o țară terță nu asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, statele membre iau măsurile necesare pentru a preveni orice transfer de date de același tip către țara terță în cauză.

(5)   La momentul oportun, Comisia intră în negocieri în vederea remedierii situației apărute în urma constatărilor făcute în temeiul alineatului (4).

(6)   Comisia poate constata, în conformitate cu procedura prevăzută în articolul 31 alineatul (2), că o țară terță asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, în temeiul legislației interne sau al angajamentelor sale internaționale, luate în special la încheierea negocierilor menționate la alineatul (5), în vederea protejării vieții private și a libertăților și drepturilor fundamentale ale persoanelor.

Statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.

Articolul 26

Derogări

(1)   Prin derogare de la articolul 25 și sub rezerva dispozițiilor contrare din dreptul intern care reglementează cazuri particulare, statele membre prevăd ca un transfer de date cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat în sensul articolului 25 alineatul (2) să poată avea loc cu condiția ca:

(a)

persoana vizată să își dea consimțământul ferm la transferul avut în vedere sau

(b)

transferul să fie necesar pentru executarea unui contract între persoana vizată și operator sau pentru aducerea la îndeplinire a măsurilor precontractuale luate ca răspuns la cererea persoanei vizate sau

(c)

transferul să fie necesar pentru încheierea sau executarea unui contract încheiat sau care urmează să fie încheiat în interesul persoanei vizate între operator și un terț sau

(d)

transferul să fie necesar sau impus prin lege pentru apărarea unui interes public important, sau pentru constatarea, exercitarea sau apărarea unui drept în justiție sau

(e)

transferul să fie necesar apărării interesului vital al persoanei vizate sau

(f)

transferul să fie făcut dintr-un registru public care, în conformitate cu dispozițiile legale sau de reglementare, este destinat informării publicului și este deschis spre consultare publicului sau oricărei persoane care demonstrează un interes legitim, în măsura în care se îndeplinesc condițiile prevăzute prin lege pentru consultări în cazurile particulare.

(2)   Fără a aduce atingere alineatului (1), un stat membru poate autoriza un transfer sau o serie de transferuri de date cu caracter personal către o țară terță care nu asigură un nivel de protecție adecvat în sensul articolului 25 alineatul (2), atunci când operatorul oferă garanții suficiente privind atât protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, cât și exercitarea drepturilor corespunzătoare; aceste garanții pot rezulta în special din clauze contractuale adecvate.

(3)   Statul membru informează Comisia și alte state membre despre autorizațiile pe care le acordă în temeiul alineatului (2).

În cazul în care un stat membru sau Comisia își exprimă opoziția din motive justificate care implică protecția vieții private și a drepturilor și libertăților fundamentale ale persoanelor, Comisia adoptă măsurile adecvate, în conformitate cu procedurile prevăzute în articolul 31 alineatul (2).

Statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.

(4)   În cazul în care Comisia decide, în conformitate cu procedurile prevăzute în articolul 31 alineatul (2), că anumite clauze contractuale standard oferă garanții suficiente în sensul alineatului (2), statele membre iau măsurile necesare pentru a se conforma deciziei Comisiei.

CAPITOLUL V

CODURI DE CONDUITĂ

Articolul 27

(1)   Statele membre și Comisia încurajează elaborarea unor coduri de conduită destinate să contribuie la buna aplicare a dispozițiilor de drept intern adoptate de statele membre în temeiul prezentei directive, în funcție de particularitățile diferitelor sectoare.

(2)   Statele membre prevăd ca asociațiile profesionale și alte organisme reprezentând alte categorii de operatori care au elaborat proiecte de coduri naționale sau care au intenția de a modifica sau de a proroga codurile naționale existente să le poată supune spre examinare autorității naționale.

Statele membre prevăd ca această autoritate să se asigure, printre altele, că proiectele de coduri care îi sunt prezentate sunt în conformitate cu dispozițiile de drept intern adoptate în temeiul prezentei directive. Dacă apreciază că este oportun, autoritatea colectează observațiile persoanelor vizate sau ale reprezentanților acestora.

(3)   Proiectele de coduri comunitare și modificările sau prorogările codurilor comunitare existente pot fi prezentate grupului de lucru prevăzut în articolul 29. Grupul de lucru se pronunță, printre altele, asupra conformității proiectelor prezentate cu dispozițiile de drept intern adoptate în temeiul prezentei directive. Dacă apreciază că este cazul, autoritatea colectează observațiile persoanelor vizate sau ale reprezentanților lor. Comisia poate asigura o publicitate adecvată pentru codurile care au fost aprobate de grupul de lucru.

CAPITOLUL VI

AUTORITATEA DE SUPRAVEGHERE ȘI GRUPUL DE LUCRU PENTRU PROTECȚIA PERSOANELOR ÎN CEEA CE PRIVEȘTE PRELUCRAREA DATELOR CU CARACTER PERSONAL

Articolul 28

Autoritatea de supraveghere

(1)   Fiecare stat membru prevede auna sau mai multe autorități publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive.

Aceste autorități acționează în condiții de independență deplină în exercitarea atribuțiilor cu care sunt învestite.

(2)   Fiecare stat membru prevede ca autoritățile de supraveghere să fie consultate la elaborarea normelor și actelor administrative referitoare la protecția drepturilor și libertăților persoanelor în ceea ce privește prelucrarea datelor cu caracter personal.

(3)   Fiecare autoritate este, în special, investită cu:

competențe de investigare, cum ar fi cea de acces la datele care fac obiectul unei prelucrări și cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere ;

competențe efective de intervenție, cum ar fi, de exemplu, competența de a emite avize înainte de începerea prelucrării, în conformitate cu articolul 20, și de a asigura publicarea adecvată a acestor avize sau de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare, de a avertiza sau de a admonesta operatorul sau de a sesiza parlamentele naționale sau alte instituții politice,

competența de a acționa în justiție, în cazul încălcării dispozițiile de drept intern adoptate în temeiul prezentei directive sau de a sesiza autoritățile judecătorești asupra acestor încălcări.

Deciziile autorităților de supraveghere care dau naștere unor plângeri pot face obiectul unei acțiuni în justiție.

(4)   Fiecare autoritate de supraveghere poate fi sesizată de orice persoană sau de orice asociație care o reprezintă printr-o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal. Persoana vizată este informată despre soluția dată plângerii sale.

Fiecare autoritate de supraveghere poate fi sesizată printr-o plângere depusă de orice persoană cu privire la legalitatea prelucrării datelor, atunci când se aplică dispozițiile de drept intern adoptate în temeiul articolului 13 din prezenta directivă. Persoana este informată, în orice caz, că s-a efectuat o verificare.

(5)   Fiecare autoritate de supraveghere întocmește, cu regularitate, un raport privind activitățile desfășurate. Raportul este publicat.

(6)   Fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provin competențele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru.

Autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.

(7)   Statele membre prevăd ca membrii și personalul autorității de supraveghere să se supună, chiar după încetarea activității acestora, obligației privind secretul profesional în ceea ce privește informațiile confidențiale la care au acces.

Articolul 29

Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal

(1)   Se instituie un grup de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, denumit în continuare „grup de lucru”.

Grupul de lucru are caracter consultativ și acționează independent.

(2)   Grupul de lucru este compus dintr-un reprezentant al autorității sau al autorităților de supraveghere desemnate de fiecare stat membru, dintr-un reprezentant al autorității sau al autorităților create pentru instituțiile și organismele comunitare și dintr-un reprezentant al Comisiei.

Fiecare membru al grupului de lucru este desemnat de instituția, autoritatea sau autoritățile pe care le reprezintă. Dacă un stat membru a desemnat mai multe autorități de supraveghere, acestea procedează la nominalizarea unui reprezentant comun. Același lucru se aplică autorităților create pentru instituțiile și organismele comunitare.

(3)   Grupul de lucru decide cu majoritatea simplă a reprezentanților autorităților de supraveghere.

(4)   Grupul de lucru își alege președintele. Durata mandatului președintelui este doi ani. Mandatul poate fi reînnoit.

(5)   Secretariatul grupului de lucru este asigurat de Comisie.

(6)   Grupul de lucru își adoptă regulamentul de procedură.

(7)   Grupul de lucru ia în discuție subiectele înscrise pe ordinea de zi de către președinte, fie din inițiativa acestuia, fie la cererea unui reprezentant al autorităților de supraveghere sau la cererea Comisiei.

Articolul 30

(1)   Grupul de lucru:

(a)

examinează orice chestiune referitoare la punerea în aplicare a dispozițiilor de drept intern adoptate în temeiul prezentei directive, pentru a contribui la aplicarea unitară a acestor măsuri ;

(b)

emite un aviz către Comisie privind nivelul de protecție în Comunitate și în țările terțe ;

(c)

consiliază Comisia în ceea ce privește orice proiect de modificare a prezentei directive, orice proiect de măsuri suplimentare sau specifice care trebuie luate pentru apărarea drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și orice alt proiect de măsuri comunitare care are incidență asupra acestor drepturi și libert ăți;

(d)

emite un aviz asupra codurilor de conduită întocmite la nivel comunitar.

(2)   Dacă grupul de lucru constată că între legislațiile și practicile statelor membre apar divergențe care pot să afecteze echivalența protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal în Comunitate, informează Comisia cu privire la aceasta.

(3)   Grupul de lucru poate face recomandări din proprie inițiativă privind orice chestiune legată de protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal în Comunitate.

(4)   Avizele și recomandările grupului de lucru sunt înaintate Comisiei și comitetului prevăzut în articolul 31.

(5)   Comisia informează grupul de lucru despre acțiunile întreprinse ca răspuns la avizele și recomandările sale. În acest sens, întocmește un raport care este înaintat Parlamentului European și Consiliului. Raportul se publică.

(6)   Grupul de lucru întocmește un raport anual privind situația protecției persoanelor fizice în ceea ce privește prelucrarea datelor în Comunitate și în țările terțe, pe care îl înaintează Comisiei, Parlamentului European și Consiliului. Raportul se publică.

CAPITOLUL VII

MĂSURI DE APLICARE COMUNITARE

Articolul 31

Comitetul

(1)   Comisia este asistată de un comitet compus din reprezentanți ai statelor membre și prezidat de un reprezentant al Comisiei.

(2)   Reprezentantul Comisiei prezintă comitetului un proiect cu măsurile ce urmează să fie adoptate. Comitetul emite un aviz cu privire la acest proiect în termenul pe care președintele îl poate stabili în funcție de urgența subiectului în cauză.

Avizul este emis cu majoritatea prevăzută în articolul 148 alineatul (2) din tratat. Atunci când se votează în cadrul comitetului, voturile reprezentanților statelor membre sunt ponderate conform articolului menționat anterior. Președintele nu participă la vot.

Comisia adoptă măsuri care se aplică imediat. Cu toate acestea, dacă nu sunt conforme cu avizul comitetului, aceste măsuri sunt de îndată comunicate Consiliului de către Comisie. În acest ca

Comisia amână aplicarea măsurilor adoptate cu un termen de trei luni de la data comunicării acest or

Consiliul, hotărând cu majoritate calificată, poate să ia o decizie diferită în termenul prevăzut la prima liniuță.

DISPOZIȚII FINALE

Articolul 32

(1)   Statele membre pun în aplicare actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive cel târziu la expirarea unei perioade de trei ani de la data adoptării sale.

Atunci când statele membre adoptă aceste dispoziții, ele cuprind o trimitere la prezenta directivă sau sunt însoțite de o asemenea trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.

(2)   Statele membre asigură ca prelucrările în derulare la data intrării în vigoare a dispozițiilor de drept intern adoptate în temeiul prezentei directive se conformează acestor dispoziții în termen de trei ani de la această dată.

Prin derogare de la paragraful precedent, statele membre pot să prevadă ca prelucrarea datelor deja stocate în sisteme de evidență manuale la data intrării în vigoare a dispozițiilor de drept intern adoptate în temeiul prezentei directive să se conformeze articolelor 6, 7 și 8 din prezenta directivă în termen de 12 ani de la data adoptării. Statele membre îi acordă totuși persoanei vizate dreptul de a obține, la cerere și în special în momentul exercitării dreptului de acces, rectificarea, ștergerea sau blocarea datelor incomplete, inexacte sau stocate într-un mod incompatibil cu scopurile legitime urmărite de operator.

(3)   Prin derogare de la alineatul (2), statele membre pot prevedea, sub rezerva unor garanții adecvate, ca datele păstrate în scopul unic al cercetării istorice, să nu fie aduse la conformitate cu articolele 6, 7 și 8 din prezenta directivă.

(4)   Comisiei îi sunt comunicate de statele membre textele dispozițiilor de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.

Articolul 33

Comisia prezintă periodic Consiliului și Parlamentului European, începând cel târziu la trei ani de la data menționată la articolul 32 alineatul (1), un raport cu privire la stadiul punerii în aplicare a prezentei directive și, dacă este cazul, prezintă propuneri de modificare. Raportul se publică.

Comisia examinează, în special, aplicarea prezentei directive la prelucrarea datelor constituite din sunete și imagini, referitoare la persoane fizice, și prezintă propunerile corespunzătoare care se dovedesc a fi necesare ținând seama de realizările din domeniul tehnologiei informațiilor și având în vedere evoluția societății informaționale.

Articolul 34

Prezenta directivă se adresează statelor membre.

Adoptată la Luxemburg, 24 octombrie 1995.

Pentru Parlamentul European

Președintele

K. HÄNSCH

Pentru Consiliu

Președintele

L. ATIENZA SERNA


(1)  JO C 277, 5.11.1990, p. 3.

JO C 311, 27.11.1992, p. 30.

(2)  JO C 159, 17.6.1991, p. 38.

(3)  Avizul Parlamentului European din 11 martie 1992 (JO C 94, 13.4.1992, p. 198), confirmat la 2 decembrie 1993 (JO C 342, 20.12.1993, p. 30); Poziția comună a Consiliului din 20 februarie 1995 (JO C 93, 13.4.1995, p. 1) și Decizia Parlamentului European din 15 iunie 1995 (JO C 166, 3.7.1995).

(4)  JO L 197, 18.7.1987, p. 33.


Top