(1)

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („Carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene prevăd că orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Articolul 8 alineatul (2) din Cartă prevede că astfel de date trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau a unui alt motiv legitim prevăzut de lege. [AM 1]

(2)

Prelucrarea datelor cu caracter personal este în serviciul cetățeanului; principiile și normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal. Aceasta ar trebui să contribuie la realizarea unui spațiu de libertate, securitate și justiție.

(3)

Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter personal. Amploarea colectării și a schimbului și de date a crescut spectaculos. Tehnologia permite autorităților competente să utilizeze date cu caracter personal la un nivel fără precedent în cadrul activităților lor.

(4)

Această evoluție necesită facilitarea liberei circulații a datelor , atunci când este necesar și proporționat, între autoritățile competente în cadrul Uniunii și a transferului către țări terțe și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal. Aceste evoluții impun construirea unui cadru solid și mai coerent în materie de protecție a datelor în Uniune, însoțit de o aplicare riguroasă a normelor. [AM 2]

(5)

Directiva 95/46/CE a Parlamentului European și a Consiliului (3) se aplică tuturor activităților de prelucrare a datelor cu caracter personal în statele membre, atât în sectorul public, cât și în cel privat. Cu toate acestea, directiva menționată nu se aplică prelucrării datelor cu caracter personal „puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar”, cum ar fi activitățile în domeniul cooperării judiciare în materie penală și al cooperării polițienești.

(6)

Decizia-cadru 2008/977/JAI a Consiliului (4) se aplică în domeniul cooperării judiciare în materie penală și al cooperării polițienești. Domeniul de aplicare a prezentei decizii-cadru este limitat la prelucrarea datelor cu caracter personal transmise sau puse la dispoziție între statele membre.

(7)

Asigurarea unui nivel omogen și ridicat de protecție a datelor cu caracter personal ale persoanelor fizice și facilitarea schimbului de date cu caracter personal între autoritățile competente ale statelor membre sunt esențiale pentru a se garanta eficacitatea cooperării judiciare în materie penală și a cooperării polițienești. În acest scop, nivelul de protecție a drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor trebuie să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează date cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele în materie de protecție a datelor cu caracter personal în statele membre. [AM 3]

(8)

Articolul 16 alineatul (2) din Tratatul privind funcționarea Uniunii Europene prevede că Parlamentul European și Consiliul ar trebui să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum și normele privind libera circulație a datelor lor cu caracter personal . [AM 4]

(9)

Pe această bază, Regulamentul (UE) nr. …/2014 al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) stabilește normele generale pentru protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și garantarea liberei circulații a acestor date în cadrul Uniunii.

(10)

În Declarația 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată la actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, Conferința a recunoscut că normele specifice privind protecția datelor cu caracter personal și libera circulație a acestor date în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 din Tratatul privind funcționarea Uniunii Europene s-ar putea dovedi necesare, având în vedere natura specifică a acestor domenii.

(11)

Prin urmare, o directivă distinctă specifică ar trebui să fie adaptată naturii specifice a acestor domenii și să stabilească normele privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor. [AM 5]

(12)

În vederea asigurării aceluiași nivel de protecție pentru persoanele fizice prin drepturi garantate din punct de vedere juridic în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică schimbul de date cu caracter personal între autoritățile competente, directiva ar trebui să prevadă norme armonizate pentru protecția și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești.

(13)

Prezenta directivă permite luarea în considerare a principiului accesului publicului la documentele oficiale, în aplicarea dispozițiilor prevăzute de aceasta.

(14)

Protecția conferită de prezenta directivă ar trebui să vizeze persoanele fizice, indiferent de cetățenia sau de locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal.

(15)

Protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnicile utilizate, în caz contrar, creându-se un risc serios de eludare. Protecția persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automate, precum și prelucrării manuale, în cazul în care datele sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice, nu ar trebui să intre în domeniul de aplicare a prezentei directive. Aceasta nu ar trebui să se aplice prelucrării datelor cu caracter personal în cadrul unei activități care nu intră în domeniul de aplicare a dreptului Uniunii, în special privind securitatea națională, nici prelucrării datelor efectuate de către instituțiile, organismele, oficiile și agențiile Uniunii, cum ar fi Europol sau Eurojust. Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului  (5) și instrumentele juridice specifice aplicabile agențiilor, organismelor sau birourilor Uniunii ar trebui aduse la conformitate cu prezenta directivă și aplicate în conformitate cu aceasta. [AM 6]

(16)

Principiile protecției ar trebui să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a se stabili dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană în scopul identificării sau individualizării persoanei fizice respective. Principiile protecției datelor nu ar trebui să se aplice datelor anonimizate astfel încât persoana vizată să nu mai fie identificabilă. Prezenta directivă nu ar trebui să se aplice datelor anonime, prin acestea înțelegându-se orice date care nu pot fi legate, direct sau indirect, izolate sau în combinație cu date asociate, de o persoană fizică. Având în vedere importanța evoluțiilor aflate în desfășurare în societatea informațională, a tehnicilor folosite pentru a capta, transmite, manipula, înregistra, stoca sau comunica date de localizare referitoare la persoane fizice, care pot fi utilizate în diferite scopuri, inclusiv supravegherea sau crearea de profiluri, prezenta directivă ar trebui să se poată aplica procesării care implică astfel de date personale. [AM 7]

(16a)

Orice prelucrare a datelor cu caracter personal trebuie să fie legală, echitabilă și transparentă în raport cu persoanele fizice vizate. În special, scopurile specifice în care datele sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor cu caracter personal. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la minimul necesar scopurilor în care sunt prelucrate. Aceasta presupune îndeosebi limitarea datelor colectate și a perioadei în care sunt stocate datele la minimul necesar. Datele cu caracter personal ar trebui prelucrate doar în cazul în care scopul prelucrării nu ar putea fi îndeplinit prin alte mijloace. Ar trebui luate toate măsurile rezonabile pentru a se asigura rectificarea sau ștergerea datelor cu caracter personal care sunt inexacte. În vederea asigurării faptului că datele nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuire periodică. [AM 8]

(17)

Datele cu caracter personal referitoare la sănătate ar trebui să includă, în special, toate datele având legătură cu starea de sănătate a persoanei vizate; informații privind înscrierea persoanei pentru acordarea de servicii medicale; informații privind plățile pentru asistență medicală efectuate de persoana fizică sau privind eligibilitatea acesteia pentru acordarea de asistență medicală; un număr, simbol sau semn distinctiv atribuit unei persoane fizice pentru identificarea unică a acesteia în scopuri medicale; orice informații privind persoana fizică respectivă colectate în cadrul furnizării de servicii de sănătate pentru aceasta; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv eșantioane de material biologic; identificarea unei persoane ca furnizor de asistență medicală pentru persoana fizică respectivă sau orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, un tratament clinic sau o boală, istoricul medical, tratamentul clinic sau starea psihologică sau biomedicală efectivă a persoanei vizate, indiferent de sursa acestora, cum ar fi de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.

(18)

Orice prelucrare a datelor cu caracter personal trebuie să fie echitabilă și legală în raport cu persoanele vizate. În special, scopul specific pentru care sunt prelucrate datele ar trebui să fie explicit. [AM 9]

(19)

Pentru prevenirea, cercetarea și urmărirea penală a infracțiunilor, autoritățile competente trebuie să păstreze și să prelucreze datele cu caracter personal colectate în contextul prevenirii, identificării, investigării sau urmăririi penale a anumitor infracțiuni penale dincolo de acest context pentru a înțelege mai bine fenomenele și tendințele infracționale, pentru a culege informații despre rețelele de crimă organizată și pentru a face legături între diferitele infracțiuni constatate. [AM 10]

(20)

Datele cu caracter personal nu ar trebui prelucrate în scopuri considerate incompatibile cu scopul în care au fost colectate. Datele cu caracter personal ar trebui să fie adecvate, relevante și neexcesive în ceea ce privește scopurile în care sunt prelucrate datele cu caracter personal. Ar trebui luate toate măsurile rezonabile pentru a se asigura rectificarea sau ștergerea datelor cu caracter personal care sunt inexacte. [AM 11]

(20a)

Simplul fapt că două scopuri se referă la prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau la executarea pedepselor nu înseamnă neapărat că acestea sunt compatibile. Cu toate acestea, există cazuri în care prelucrarea ulterioară de date în scopuri incompatibile ar trebui permisă dacă este necesară pentru respectarea unei obligații legale care incumbă operatorului, în vederea protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane sau în vederea prevenirii unei amenințări imediate și grave la adresa securității publice. Prin urmare, statele membre ar trebui să fie în măsură să adopte o legislație națională care să prevadă asemenea derogări în măsura în care este strict necesar. Legile naționale respective ar trebui să conțină garanții adecvate. [AM 12]

(21)

Principiul exactității datelor ar trebui aplicat luând în considerare natura și scopul prelucrării în cauză. În special în cadrul procedurilor judiciare, declarațiile care conțin date cu caracter personal se bazează pe o percepție subiectivă a persoanelor fizice și nu sunt întotdeauna verificabile. În consecință, acest principiu nu ar trebui să se aplice exactității unei declarații, ci doar faptului că o anumită declarație a fost făcută.

(22)

În interpretarea și aplicarea principiilor generale referitoare la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, ar trebui să se țină seama de specificul sectorului, inclusiv de obiectivele specifice urmărite. [AM 13]

(23)

Prelucrarea datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești presupune prelucrarea datelor cu caracter personal referitoare la diferite categorii de persoane. Prin urmare, ar trebui să se facă o distincție cât mai clară între datele cu caracter personal ale diferitelor categorii de persoane vizate, cum ar fi suspecții, persoanele condamnate pentru comiterea unei infracțiuni, victimele și părțile terțe, cum ar fi martorii, persoanele care dețin informații sau contacte relevante și complicii suspecților și ai infractorilor condamnați. Statele membre ar trebui să prevadă norme specifice referitoare la consecințele acestei clasificări pe categorii, luând în considerare diferitele scopuri în care sunt colectate datele și asigurând garanții specifice în ceea ce privește persoanele care nu sunt suspectate de a fi comis o infracțiune penală sau nu au fost condamnate pentru săvârșirea acesteia. [AM 14]

(24)

Pe cât posibil, datele cu caracter personal ar trebui diferențiate în funcție de gradul de exactitate și fiabilitate. Ar trebui să se facă diferența între fapte și evaluări cu caracter personal, pentru a garanta atât protecția persoanelor fizice, cât și calitatea și fiabilitatea informațiilor prelucrate de autoritățile competente.

(25)

Pentru a fi legală, prelucrarea datelor cu caracter personal ar trebui să fie permisă numai când aceasta este necesară pentru respectarea unei obligații legale care incumbă operatorului, pentru îndeplinirea unei sarcini de interes public de către o autoritate competentă în temeiul legii sau în scopul protejării intereselor vitale ale persoanei vizate sau ale unei alte persoane, sau în scopul prevenirii unei amenințări imediate și grave la adresa securității publice dreptului Uniunii sau dreptului statelor membre, care ar trebui să cuprindă dispoziții explicite și detaliate legate cel puțin de obiectivele, datele personale, mijloacele și scopurile specifice, să desemneze operatorul de date sau să permită desemnarea acestuia, procedurile ce urmează a fi respectate, utilizarea și limitările domeniului de aplicare ale oricărei prerogative conferite de autoritățile competente în legătură cu activitățile de procesare . [AM 15]

(25a)

Datele cu caracter personal nu ar trebui prelucrate în scopuri considerate incompatibile cu scopul în care au fost colectate. Prelucrarea suplimentară de către autoritățile competente pentru un scop care intră în domeniul de aplicare al prezentei directive dar care nu este compatibil cu scopul inițial ar trebui să fie autorizată numai în situații specifice în care o asemenea prelucrare este necesară pentru conformitatea cu o obligație legală, pe baza legislației Uniunii sau a statului membru, care se aplică operatorului sau pentru a proteja interesele vitale ale persoanei vizate sau al altei persoane sau pentru prevenirea unei amenințări imediate grave la adresa siguranței publice. Faptul că datele sunt prelucrate în scopul aplicării legii nu implică în mod necesar că acest scop este compatibil cu scopul inițial. Conceptul utilizării compatibile trebuie interpretat restrictiv. [AM 16]

(25b)

Prelucrarea datelor cu caracter personal în condițiile încălcării dispozițiilor naționale adoptate în conformitate cu prezenta directivă ar trebui oprită. [AM 17]

(26)

Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile și de vulnerabile în ceea ce privește drepturile fundamentale sau viața privată, inclusiv datele genetice, necesită o protecție specifică. Astfel de date nu ar trebui prelucrate, cu excepția cazului în care prelucrarea este în mod expres permisă de o lege necesară pentru executarea unei sarcini efectuate în interes public, pe baza legislației Uniunii sau a statului membru care prevede măsuri corespunzătoare pentru protejarea drepturilor fundamentale și a intereselor legitime ale persoanei vizate; sau prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane; sau prelucrarea se referă la date care sunt făcute publice în mod manifest de persoana vizată. Datele sensibile cu caracter personal ar trebui prelucrate numai dacă acestea completează alte date cu caracter personal deja prelucrate în scopul aplicării legii. Orice derogare de la interdicția de prelucrare a datelor sensibile ar trebui interpretată în mod restrictiv și nu ar trebui să conducă la procesarea frecventă, masivă sau structurală a datelor sensibile cu caracter personal. [AM 18]

(26a)

Prelucrarea datelor genetice ar trebui permisă dacă există o legătură genetică în cursul unei anchete penale sau al unei proceduri judiciare. Datele genetice ar trebui stocate atât timp cât este strict necesar în scopul unor astfel de anchete și proceduri, statele membre având posibilitatea de a stoca timp mai îndelungat în conformitate cu condițiile stabilite de prezenta directivă. [AM 19]

(27)

Orice persoană fizică ar trebui să aibă dreptul de a nu fi supusă unei măsuri care se bazează exclusiv pe prelucrarea , parțial sau total, pe crearea de profiluri prin mijloace de prelucrare automată dacă aceasta aduce prejudicii în plan a datelor. O astfel de procesare, care produce un efect juridic pentru persoana respectivă sau care o afectează în mod semnificativ ar trebui interzisă , cu excepția cazului în care respectiva măsură este permisă de lege și sub rezerva unor măsuri adecvate de protejare a intereselor legitime ale persoanei vizate , inclusiv a dreptului de a i se oferi informații consistente cu privire la logica utilizată în crearea de profiluri. Asemenea prelucrare nu ar trebui nicidecum să cuprindă, să genereze sau să opereze discriminări bazate pe categorii speciale de date. [AM 20]

(28)

Pentru ca persoanele vizate să își poată exercita drepturile, toate informațiile care le sunt adresate trebuie să fie ușor accesibile și ușor de înțeles, limbajul folosit fiind simplu și clar. Aceste informații ar trebui adaptate nevoilor persoanelor vizate, în special atunci când informațiile se adresează în mod specific unui copil. [AM 21]

(29)

Ar trebui prevăzute modalități pentru a facilita exercitarea, de către persoana vizată, a drepturilor pe care i le conferă prezenta directivă, printre care se numără în special mecanismele prin care poate solicita, în mod gratuit, accesul la date, rectificarea și ștergerea acestora. Operatorul ar trebui să fie obligat să răspundă cererilor persoanei vizate fără întârzieri nejustificate întârziere, în termen de o lună de la primirea cererii . În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, operatorul ar trebui să prevadă, de asemenea, modalități de introducere a cererilor pe cale electronică. [AM 22]

(30)

Conform principiului prelucrării echitabile și transparente , persoanele vizate ar trebui să fie informate, în special, cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, la temeiul juridic, la durata stocării datelor, la existența dreptului de acces, de rectificare sau ștergere a datelor și la dreptul de a înainta o plângere. Mai mult, persoana vizată ar trebui informată în legătură cu crearea de profiluri în ceea ce o privește și cu scopul urmărit prin crearea profilului. Atunci când datele sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligația de a furniza datele și care sunt consecințele în cazul unui refuz. [AM 23]

(31)

Informațiile în legătură cu prelucrarea datelor cu caracter personal ar trebui oferite persoanei vizate în momentul colectării acestor date, sau, în cazul în care datele nu sunt obținute de la persoana vizată, în momentul în care sunt înregistrate sau într-o perioadă de timp rezonabilă după colectare, având în vedere circumstanțele specifice ale prelucrării datelor.

(32)

Orice persoană ar trebui să aibă drept de acces la datele colectate care o privesc și ar trebui să își exercite acest drept cu ușurință, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica, în special, în ce scopuri sunt prelucrate datele, temeiul juridic, pentru ce perioadă, care este identitatea destinatarilor datelor, inclusiv în țările terțe , informații inteligibile cu privire la logica procesărilor automate și consecințele semnificative preconizate, dacă este cazul, dreptul de a depune o plângere la autoritatea de supraveghere și datele de contact ale acesteia . Persoanele vizate ar trebui să aibă dreptul de a primi o copie a datelor lor cu caracter personal care sunt prelucrate. [AM 24]

(33)

Statele membre ar trebui să aibă posibilitatea de a adopta măsuri legislative în vederea amânării, sau restricționării parțiale sau totale a informării persoanelor vizate sau a accesului la datele lor cu caracter personal în măsura în care o astfel de restricționare parțială sau totală constituie o măsură necesară și proporțională într-o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei vizate, pentru a se evita obstrucționarea cercetărilor, a anchetelor sau a procedurilor oficiale sau judiciare, pentru a nu se afecta măsurile de prevenire, identificare, investigare sau urmărire penală a infracțiunilor sau executarea pedepselor, pentru a se proteja securitatea publică sau securitatea națională ori pentru a se proteja persoana vizată sau drepturile și libertățile altor persoane. Operatorul ar trebui să evalueze pe baza examinării concrete și individuale a fiecărui caz dacă ar trebui aplicată o restricționare parțială sau totală a dreptului de acces. [AM 25]

(34)

Orice refuz sau restricționare a accesului ar trebui prezentat în scris persoanei vizate, precizându-se motivele de fapt și de drept pe care se bazează decizia.

(34a)

Orice restrângere a drepturilor persoanelor vizate trebuie să fie în conformitate cu Carta, după cum a fost clarificat în jurisprudența Curții de Justiție a Uniunii Europene și a Curții Europene a Drepturilor Omului și, îndeosebi, să respecte esența drepturilor și libertăților. [AM 26]

(35)

În cazul în care statele membre au adoptat măsuri legislative care limitează total sau parțial dreptul de acces, persoana vizată ar trebui să aibă dreptul de a solicita autorității naționale de supraveghere competente să verifice legalitatea prelucrării datelor. Persoana vizată trebuie să fie informată cu privire la acest drept. Atunci când dreptul de acces este exercitat de către autoritatea de supraveghere în numele persoanei vizate, autoritatea de supraveghere ar trebui cel puțin să informeze persoana vizată că toate verificările necesare au avut loc și să îi comunice dacă prelucrarea respectivă este legală sau nu. Autoritatea de supraveghere ar trebui, de asemenea, să informeze persoana vizată în legătură cu dreptul de a introduce o cale de atac în instanță. [AM 27]

(36)

Orice persoană ar trebui să aibă dreptul de a obține rectificarea datelor cu caracter personal inexacte sau procesate ilegal care o privesc și dreptul de eliminare a datelor în cazul în care prelucrarea datelor respective nu este în conformitate cu principiile de bază dispozițiile prevăzute în prezenta directivă. Rectificarea, completarea sau ștergerea ar trebui să fie comunicate destinatarilor divulgării datelor și părților terțe de la care provin datele inexacte. Operatorii ar trebui, de asemenea, să nu comunice mai departe aceste date. În cazul în care datele cu caracter personal sunt prelucrate în cadrul unei anchete și a unor proceduri judiciare, rectificarea, dreptul la informare, dreptul de acces, dreptul de ștergere și de restricționare a prelucrării pot fi exercitate în conformitate cu normele naționale privind procedurile judiciare. [AM 28]

(37)

Ar trebui prevăzută responsabilitatea și răspunderea generală a operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să asigure și să aibă obligația de a demonstra conformitatea fiecărei operațiuni de prelucrare cu normele adoptate în conformitate cu prezenta directivă. [AM 29]

(38)

Protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare pentru a se asigura îndeplinirea cerințelor din prezenta directivă. Pentru a asigura respectarea dispozițiilor adoptate în conformitate cu prezenta directivă, controlorul ar trebui să adopte politici și să pună în aplicare măsuri adecvate, care respectă, în special, principiile de protecție a datelor începând cu momentul conceperii și protecție implicită a datelor.

(39)

Protecția drepturilor și a libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanelor împuternicite de către operator necesită o atribuire clară a responsabilităților în temeiul prezentei directive, inclusiv în cazul în care un operator stabilește scopurile, condițiile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator. Persoana vizată ar trebui să aibă dreptul de a-și exercita drepturile ce decurg din prezenta directivă în raport și în opoziție cu fiecare dintre operatorii comuni. [AM 30]

(40)

Activitățile de prelucrare ar trebui să fie înregistrate de către operator sau de către persoana împuternicită de către operator, în scopul de a monitoriza conformitatea cu prezenta directivă. Fiecare operator și fiecare persoană împuternicită de către operator ar trebui să aibă obligația de a coopera cu autoritatea de supraveghere și de a pune la dispoziția acesteia, la cerere, documentația disponibilă, pentru a putea fi utilizată în scopul monitorizării operațiunilor de prelucrare.

(40a)

Orice operațiune de prelucrare de date cu caracter personal se ia în evidență pentru verificarea legalității prelucrării datelor, pentru monitorizare proprie și pentru asigurarea integrității și a securității corespunzătoare a datelor. Această înregistrare ar trebui să fie pusă la dispoziția autorității de supraveghere la cerere în scopul monitorizării conformității cu normele prevăzute în prezenta directivă. [AM 31]

(40b)

Operatorul sau persoanele împuternicite de operator ar trebui să realizeze o evaluare a impactului privind protecția datelor în cazurile în care operațiunile de prelucrare pot prezenta, prin natura, domeniul de aplicare sau scopurile lor, riscuri specifice la adresa drepturilor și libertăților persoanelor vizate, evaluare care ar trebui să includă în special măsurile, garanțiile și mecanismele preconizate în vederea asigurării protecției datelor cu caracter personal și a conformității cu prezenta directivă. Evaluările de impact ar trebui să vizeze sistemele și procesele relevante aferente prelucrării datelor cu caracter personal, nu cazuri individuale. [AM 32]

(41)

Pentru a garanta protecția eficientă a drepturilor și libertăților persoanelor vizate prin intermediul unor acțiuni preventive, operatorul sau persoana împuternicită de către operator ar trebui să se consulte cu autoritatea de supraveghere în anumite cazuri înainte de prelucrare. În plus, în cazul în care o evaluare de impact asupra protecției datelor relevă că operațiunile de prelucrare pot prezenta riscuri specifice asupra drepturilor și libertăților persoanelor vizate, autoritatea de supraveghere ar trebui să fie în poziția de a preveni, înainte de începerea operațiunilor, o prelucrare riscantă care nu este în conformitate cu prezenta directivă și să facă propuneri pentru a remedia o asemenea situație. Această consultare poate, de asemenea, să aibă loc în timpul elaborării fie a unei măsuri a parlamentului național, fie a unei măsuri întemeiate pe o astfel de măsură legislativă, care definește natura prelucrării și stabilește garanțiile corespunzătoare. [AM 33]

(41a)

În vederea menținerii securității și a prevenirii prelucrărilor care încalcă dispozițiile prezentei directive, operatorul sau persoana împuternicită de către operator ar trebui să evalueze riscurile inerente prelucrării și să pună în aplicare măsuri pentru atenuarea acestor riscuri. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, luând în considerare stadiul actual al tehnologiei și costurile punerii lor în aplicare în raport cu riscurile și natura datelor cu caracter personal a căror protecție trebuie asigurată. La stabilirea standardelor tehnice și a măsurilor organizatorice pentru asigurarea securității procesării, trebuie promovată neutralitatea tehnologică. [AM 34]

(42)

Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate produce efecte negative cauza persoanei fizice în cauză pierderi economice substanțiale și daune sociale , inclusiv asupra reputației persoanei fizice vizate fraudarea identității . Prin urmare, de îndată ce un operator află că a avut loc o astfel de încălcare, aceasta ar trebui să notifice respectiva încălcare autorității naționale competente. Persoanele fizice ale căror date cu caracter personal sau a căror viață privată ar putea fi afectate negativ de încălcare ar trebui să fie înștiințate fără întârziere, pentru a putea să ia măsurile de precauție necesare. Ar trebui să se considere că o încălcare afectează în mod negativ datele cu caracter personal sau viața privată a unei persoane vizate în cazul în care aceasta ar putea avea drept rezultat, de exemplu, furtul sau fraudarea identității, vătămarea corporală, umilirea gravă sau afectarea reputației în legătură cu prelucrarea datelor cu caracter personal. Notificarea ar trebui să includă informații privind măsurile luate de către furnizor pentru a soluționa încălcarea securității, precum și recomandări pentru abonatul sau individul afectat. Notificarea persoanei vizate ar trebui făcută în cel mai scurt timp posibil și în cooperare strânsă cu autoritatea de supraveghere și cu respectarea îndrumărilor acesteia. [AM 35]

(43)

La stabilirea de norme detaliate privind formatul și procedurile aplicabile notificării referitoare la încălcările securității datelor cu caracter personal, ar trebui să se acorde atenția cuvenită circumstanțelor în care a avut loc încălcarea, stabilindu-se inclusiv dacă protecția datelor cu caracter personal a fost sau nu a fost asigurată prin măsuri tehnice de protecție corespunzătoare, care să limiteze efectiv probabilitatea utilizării incorecte. În plus, astfel de norme și proceduri ar trebui să țină cont de interesele legitime ale autorităților competente în cazurile în care divulgarea timpurie ar putea îngreuna în mod inutil investigarea circumstanțelor în care a avut loc o încălcare.

(44)

Operatorul sau persoana împuternicită de către operator ar trebui să desemneze o persoană care să ajute operatorul sau persoana împuternicită de către operator să monitorizeze și să demonstreze respectarea dispozițiilor adoptate în temeiul prezentei directive. Un responsabil cu protecția datelor poate fi numit în comun de mai multe entități ale autorității competente. În cazul în care mai multe autorități competente acționează sub supravegherea unei autorități centrale, cel puțin această autoritate centrală ar trebui să desemneze un astfel de responsabil cu protecția datelor. Responsabilii cu protecția datelor trebuie să fie în măsură să își îndeplinească îndatoririle și sarcinile în mod independent și eficient , îndeosebi prin stabilirea unor norme prin care să se evite conflictul de interese cu alte sarcini efectuate de responsabilii cu protecția datelor . [AM 36]

(45)

Statele membre ar trebui să asigure că transferul către o țară terță nu are loc decât în cazul în care acesta acest transfer specific este necesar pentru prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor sau pentru executarea pedepselor, iar autoritatea de control din țara terță sau dintr-o organizație internațională competentă este o autoritate publică competentă în sensul prezentei directive. Un transfer poate avea loc în cazul în care Comisia decide că țara terță sau organizația internațională în cauză asigură un nivel adecvat de protecție sau că oferă garanții corespunzătoare sau în cazul în care au fost oferite garanții corespunzătoare prin intermediul unui instrument obligatoriu din punct de vedere juridic . Datele transferate către autoritățile publice competente din țările terțe nu ar trebui să fie prelucrate ulterior în alte scopuri decât cele pentru care au fost transferate. [AM 37]

(45a)

Transferurile ulterioare de la autoritățile competente în țările terțe sau organizațiile internaționale către care s-au mai transferat date cu caracter personal ar trebui să fie permise doar în situația în care transferul ulterior este necesar pentru același scop specific precum în cazul transferului inițial și dacă al doilea destinatar este tot o autoritate publică competentă. Nu ar trebui să fie permise transferuri ulterioare în scopuri generale de aplicare a legii. Autoritatea competentă care a realizat transferul inițial ar trebui să fi autorizat transferul ulterior. [AM 38]

(46)

Comisia poate decide, cu efect în întreaga Uniune, că anumite țări terțe sau un teritoriu ori un sector de prelucrare dintr-o țară terță sau o organizație internațională oferă un nivel adecvat de protecție a datelor, furnizând astfel securitate juridică și uniformitate în Uniune în ceea ce privește țările terțe sau organizațiile internaționale care sunt considerate a furniza un astfel de nivel de protecție. În aceste cazuri, transferurile de date cu caracter personal către țările respective pot avea loc fără a fi necesar să se obțină o autorizație suplimentară.

(47)

În conformitate cu valorile fundamentale pe care se întemeiază Uniunea, în special protecția drepturilor omului, Comisia ar trebui să ia în considerare modul în care aceasta respectă statul de drept, accesul la justiție, precum și normele și standardele internaționale în materie de drepturi ale omului.

(48)

Comisia ar trebui, de asemenea, să poată recunoaște că o țară terță, un teritoriu sau un sector de prelucrare a datelor dintr-o țară terță ori o organizație internațională nu oferă un nivel corespunzător de protecție a datelor. În acest caz, transferul de date cu caracter personal către țări terțe ar trebui interzis, cu excepția cazurilor în care acesta se bazează pe un acord internațional, garanții corespunzătoare sau o derogare. Ar trebui să se prevadă proceduri de consultare între Comisie și astfel de țări terțe sau organizații internaționale. Cu toate acestea, o astfel de decizie a Comisiei nu trebuie să aducă atingere posibilității de a efectua transferuri pe baza unor garanții adecvate prin intermediul unui instrument obligatoriu din punct de vedere juridic sau a unei derogări prevăzute în prezenta directivă. [AM 39]

(49)

Transferurile care nu se bazează pe o decizie privind caracterul adecvat al nivelului de protecție ar trebui să fie permise numai în cazul în care au fost prezentate garanții corespunzătoare într-un instrument obligatoriu din punct de vedere juridic, care asigură protecția datelor cu caracter personal în cazul în care operatorul sau persoana împuternicită de către operator a evaluat toate condițiile legate de operațiunea de transfer de date sau de setul de operațiuni de transfer de date și, pe baza acestei evaluări, consideră că există garanții adecvate în ceea ce privește protecția datelor cu caracter personal. În cazul în care nu există motive pentru autorizarea transferului, ar trebui să se permită derogări, dacă este necesar, în vederea protejării intereselor vitale ale persoanei în cauză sau ale unei alte persoane, sau în vederea protejării intereselor legitime ale persoanei vizate, în cazul în care legislația statului membru care transferă datele cu caracter personal prevede acest lucru, sau în cazul în care acestea sunt indispensabile pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe, sau în cazuri specifice, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor sau, în anumite cazuri, pentru constatarea, exercitarea sau apărarea unui drept în instanță. [AM 40]

(49a)

În cazul în care nu există motive pentru autorizarea transferului, ar trebui să se permită derogări, dacă este necesar, în vederea protejării intereselor vitale ale persoanei în cauză sau ale unei alte persoane, sau în vederea protejării intereselor legitime ale persoanei vizate, în cazul în care legislația statului membru care transferă datele cu caracter personal prevede acest lucru, sau în cazul în care acestea sunt indispensabile pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe, sau în cazuri specifice, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării pedepselor sau, în anumite cazuri, pentru constatarea, exercitarea sau apărarea unui drept în instanță. Aceste derogări ar trebui interpretate restrictiv și nu ar trebui să permită transferul frecvent, masiv și structural de date cu caracter personal și nu ar trebui să permită transferul en gros de date care ar trebui să se limiteze la datele strict necesare. În plus, decizia de transfer ar trebui luată de o persoană autorizată în mod corespunzător și acest transfer trebuie documentat și pus la dispoziția autorității de supraveghere la cerere pentru a monitoriza legalitatea transferului. [AM 41]

(50)

Fluxul transfrontalier de date cu caracter personal poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a datelor, pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a acestor date. În același timp, autoritățile de supraveghere pot constata că se află în imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile desfășurate în afara frontierelor lor. Eforturile lor de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere ori de caracterul eterogen al regimurilor juridice. Prin urmare, este necesar să se promoveze o cooperare mai strânsă între autoritățile de supraveghere a protecției datelor pentru a putea face schimb de informații cu omologii lor străini.

(51)

Instituirea în statele membre a unor autorități de supraveghere care să își exercite atribuțiile în deplină independență este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Autoritățile de supraveghere ar trebui să monitorizeze aplicarea dispozițiilor prevăzute de prezenta directivă și să contribuie la aplicarea consecventă a acesteia în întreaga Uniune, în scopul asigurării protecției persoanele fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. În acest sens, autoritățile de supraveghere ar trebui să coopereze între ele și cu Comisia. [AM 42]

(52)

Statele membre pot încredința unei autorități de supraveghere deja existente din statele membre, în conformitate cu Regulamentul (UE) nr. …/2014, responsabilitatea pentru sarcinile care urmează să fie îndeplinite de către autoritățile naționale de supraveghere care urmează a fi înființate în temeiul prezentei directive.

(53)

Statele membre ar trebui să aibă posibilitatea de a institui mai multe autorități de supraveghere, pentru a reflecta structura lor constituțională, organizatorică și administrativă. Fiecare autoritate de supraveghere ar trebui să beneficieze de resurse financiare și umane adecvate, de localuri și de infrastructura necesară , inclusiv capacități, experiență și aptitudini tehnice , pentru îndeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistența reciprocă și cooperarea cu alte autorități de supraveghere în întreaga Uniune. [AM 43]

(54)

Condițiile generale pentru membrii autorității de supraveghere ar trebui stabilite prin lege în fiecare stat membru și ar trebui, în special, să prevadă condiția ca acești membri să fie numiți de parlamentul sau de guvernul statului membru , cu consultarea parlamentului, și să includă dispoziții privind calificarea personală și funcția membrilor respectivi. [AM 44]

(55)

Cu toate că prezenta directivă se aplică, de asemenea, activităților instanțelor naționale, prelucrarea datelor cu caracter personal nu ar trebui să fie de competența autorităților de supraveghere atunci când instanțele își exercită atribuțiile judiciare, în scopul asigurării independenței judecătorilor în îndeplinirea sarcinilor lor judiciare. Cu toate acestea, derogarea ar trebui să se limiteze la activități pur judiciare în cadrul acțiunilor în instanță și să nu se aplice altor activități în care judecătorii ar putea fi implicați, în conformitate cu legislația națională.

(56)

Pentru a se asigura consecvența monitorizării și a aplicării prezentei directive în întreaga Uniune, autoritățile de supraveghere ar trebui să aibă aceleași atribuții și competențe efective în fiecare stat membru, inclusiv competențe efective de investigare, prerogative de accesare a datelor cu caracter personal și toate informațiile necesare pentru îndeplinirea fiecărei funcții de supraveghere, prerogative care să permită accesul la oricare din sediile operatorului de date sau al persoanei împuternicite de operatorul de date, inclusiv la echipamentele de procesare a datelor, și de intervenție obligatorie conform legii, de decizie și sancționare, în special în cazul plângerilor înaintate de persoane fizice, precum și de acționare în justiție. [AM 45]

(57)

Fiecare autoritate de supraveghere ar trebui să răspundă plângerilor depuse de orice persoană vizată și ar trebui să investigheze cazul. Investigația în urma unei plângeri ar trebui să fie efectuată doar dacă se dovedește necesară în respectivul caz și trebuie să poată face obiectul căilor de atac judiciare. Autoritatea de supraveghere ar trebui să informeze persoana vizată cu privire la evoluția și soluționarea plângerii într-un termen rezonabil. În eventualitatea în care cazul necesită o investigare suplimentară sau coordonarea cu o altă autoritate de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate.

(58)

Autoritățile de supraveghere ar trebui să își acorde reciproc asistență în îndeplinirea atribuțiilor care le revin, pentru a se asigura coerența aplicării și a asigurării aplicării dispozițiilor adoptate în temeiul prezentei directive. Fiecare autoritate de supraveghere ar trebui să fie disponibilă pentru a participa la operațiuni comune. Autoritatea de supraveghere căreia i s-a adresat solicitarea ar trebui să aibă obligația de a răspunde cererii într-un anumit termen. [AM 46]

(59)

Comitetul european pentru protecția datelor, instituit prin Regulamentul (UE) …/2012 2014 , ar trebui să contribuie la aplicarea coerentă a prezentei directive în întreaga Uniune, inclusiv prin oferirea de consultanță Comisiei și instituțiilor Uniunii prin promovarea cooperării autorităților de supraveghere în întreaga Uniune și să dea un aviz Comisiei cu prilejul elaborării actelor delegate și de punere în aplicare bazate pe prezenta directivă . [AM 47]

(60)

Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la o autoritate de supraveghere în orice stat membru și dreptul la exercitarea unei căi de atac, în cazul în care consideră că drepturile pe care i le conferă prezenta directivă sunt încălcate sau în cazul în care autoritatea de supraveghere nu reacționează la o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate.

(61)

Orice organism, organizație sau asociație care are drept obiectiv asigurarea protecției drepturilor și a intereselor persoanelor vizate în ceea ce privește protecția datelor acestora și este acționează în interes public, constituit(ă) în conformitate cu legislația unui stat membru ar trebui să aibă dreptul să depună o plângere, să își exercite dreptul la o cale de atac în numele persoanelor vizate, dacă au primit mandat corespunzător din partea acestora, sau să depună, independent de plângerea înaintată de o persoană vizată, o plângere în nume propriu în cazul în care consideră că a avut loc o încălcare a securității datelor cu caracter personal. [AM 48]

(62)

Orice persoană fizică sau juridică ar trebui să aibă dreptul la exercitarea unei căi de atac împotriva deciziilor unei autorități de supraveghere care o privesc. Acțiunile inițiate împotriva unei autorități de supraveghere ar trebui să fie înaintate instanțelor statului membru în care se află autoritatea de supraveghere.

(63)

Statele membre ar trebui să se asigure că acțiunile în justiție, pentru a fi eficiente, permit adoptarea rapidă de măsuri în scopul remedierii sau al prevenirii încălcării prezentei directive.

(64)

Orice daună , inclusiv daunele nepecuniare, pe care o persoană o poate suferi ca urmare a unei prelucrări ilegale ar trebui să fie despăgubită de operator sau de persoana împuternicită de către operator, care pot fi exonerați de răspundere dacă dovedesc că nu sunt răspunzători pentru prejudiciu, în special în cazul în care aceștia dovedesc că s-a produs din culpa persoanei vizate sau este rezultatul unui caz de forță majoră. [AM 49]

(65)

Ar trebui impuse sancțiuni oricărei persoane fizice sau juridice, de drept privat sau public, care nu respectă prezenta directivă. Statele membre ar trebui să se asigure că sancțiunile sunt eficace, proporționale și cu efect de descurajare și ar trebui să adopte toate măsurile pentru punerea în aplicare a sancțiunilor.

(65a)

Transmiterea de date cu caracter personal către alte autorități sau entități private din cadrul Uniunii este interzisă, exceptând situația în care transmiterea este în conformitate cu legea și destinatarul își are sediul într-un stat membru și nu există interese legitime specifice ale persoanei vizate care să împiedice transmiterea, precum și dacă transmiterea este necesară într-un caz specific pentru operatorul care transmite datele, fie pentru îndeplinirea unei sarcini care îi revine prin lege, fie pentru prevenirea unui pericol imediat și grav la adresa siguranței publice sau prevenirea unei încălcări grave a drepturilor unor persoane fizice. Operatorul trebuie să informeze destinatarul de scopul prelucrării și autoritatea de supraveghere în legătură cu transmiterea. Destinatarul ar trebui, de asemenea, să fie informat în legătură cu restricțiile privind prelucrarea și să asigure respectarea acestora. [AM 50]

(66)

Pentru a se realiza obiectivele prezentei directive, și anume protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, dreptul acestora la protecția datelor cu caracter personal, și pentru a se garanta liberul schimb de date cu caracter personal de către autoritățile competente pe teritoriul Uniunii, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui să fie delegată Comisiei. Ar trebui adoptate în special acte delegate în ceea ce privește notificarea autorității de supraveghere în cazul încălcării care să precizeze mai exact criteriile și condițiile pentru operațiunile de reprocesare care necesită o evaluare de impact în privința protecției datelor; criteriile și cerințele pentru încălcarea securității datelor și referitoare la un nivel adecvat de protecție permis de o țară terță ori de un teritoriu sau sector de procesare din acea țară terță, ori de o organizație internațională. Este deosebit de important ca, pe durata activităților pregătitoare, Comisia să desfășoare consultări adecvate, inclusiv la nivel de experți , în special cu Autoritatea Europeană pentru Protecția Datelor . Comisia, atunci când pregătește și elaborează acte delegate, ar trebui să asigure o transmitere simultană, în timp util și adecvată a documentelor relevante către Parlamentul European și către Consiliu. [AM 51]

(67)

Pentru a se asigura condiții uniforme de punere în aplicare a prezentei directive în ceea ce privește documentația deținută de operatori și de persoanele împuternicite de către operatori, securitatea prelucrării, în special în ceea ce privește standardele de criptare, notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal și nivelul adecvat de protecție oferit de o țară terță, un teritoriu sau un sector de prelucrare în țara terță respectivă sau de o organizație internațională, ar trebui să i se confere Comisiei competențe de executare. Aceste competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și a principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie  (6). [AM 52]

(68)

Procedura de examinare ar trebui să fie utilizată pentru adoptarea de măsuri în ceea ce privește documentația deținută de operatori și de persoane împuternicite de către operatori, securitatea prelucrării, și notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal și nivelul adecvat de protecție oferit de o țară terță, un teritoriu sau un sector de prelucrare în țara terță respectivă sau de o organizație internațională, ținând seama de faptul că actele respective au un caracter general. [AM 53]

(69)

Comisia ar trebui să adopte acte de punere în aplicare imediat aplicabile atunci când acest lucru se impune din motive imperative de urgență, în cazuri justificate în mod corespunzător referitoare la o țară terță, un teritoriu sau un sector de prelucrare din țara terță respectivă sau o organizație internațională care nu asigură un nivel de protecție adecvat. [AM 54]

(70)

Întrucât obiectivele prezentei directive, și anume protejarea drepturilor și a libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor lor cu caracter personal și asigurarea liberului schimb de date cu caracter personal de către autoritățile competente în cadrul Uniunii, nu pot fi realizate în mod satisfăcător de către statele membre și, prin urmare , dar , din cauza dimensiunilor sau a efectelor acțiunii, pot fi realizate mai bine la nivelul Uniunii, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum se prevede la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este enunțat în respectivul articol, prezenta directivă nu depășește ceea ce este necesar pentru atingerea acestui obiectiv obiectivelor în cauză . Statele membre pot prevedea standarde mai înalte decât cele stabilite în prezenta directivă. [AM 55]

(71)

Decizia-cadru 2008/977/JAI a Consiliului ar trebui abrogată prin prezenta directivă.

(72)

Dispoziții specifice cu privire la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor în actele Uniunii adoptate înainte de data adoptării prezentei directive, care reglementează prelucrarea datelor cu caracter personal între statele membre și accesul autorităților desemnate de statele membre la sistemele informatizate instituite în temeiul tratatelor, ar trebui să rămână neschimbate. Cum articolul 8 din Cartă și articolul 16 din TFUE precizează că dreptul fundamental la protecția datelor cu caracter personal trebuie asigurat în mod consecvent și uniform în întreaga Uniune, în termen de doi ani de la intrarea în vigoare a prezentei directive . Comisia ar trebui să evalueze situația în ceea ce privește relația dintre prezenta directivă și actele adoptate înainte de data adoptării prezentei directive care reglementează prelucrarea datelor cu caracter personal între statele membre și accesul autorităților desemnate de statele membre la sistemele informatizate instituite în conformitate cu tratatele, pentru a evalua necesitatea alinierii acestor dispoziții specifice cu prezenta directivă și ar trebui să prezinte propuneri adecvate în vederea asigurării unor norme de drept consecvente și uniforme legate de prelucrarea datelor cu caracter personal de către autoritățile competente sau de accesul autorităților desemnate ale statelor membre la sistemele de informare înființate în temeiul tratatelor, precum și de prelucrarea datelor cu caracter personal de către instituțiile, organismele, oficiile și agențiile Uniunii în scopul prevenirii, identificării, investigării sau urmăririi infracțiunilor de natură penală sau al executării pedepselor de natură penală care intră în domeniul de aplicare al prezentei directive . [AM 56]

(73)

În vederea asigurării unei protecții globale și coerente a datelor cu caracter personal în cadrul Uniunii, ar trebui modificate acordurile internaționale încheiate de Uniune sau de statele membre înainte de intrarea în vigoare a prezentei directive în vederea armonizării cu prezenta directivă. [AM 57]

(74)

Prezenta directivă se aplică fără a aduce atingere normelor privind combaterea abuzului sexual, a exploatării sexuale a copiilor și a pornografiei infantile, astfel cum se prevede în Directiva 2011/93/UE a Parlamentului European și a Consiliului (7).

(75)

În conformitate cu articolul 6a din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei în ceea ce privește spațiul de libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Regatul Unit și Irlanda nu sunt obligate să aplice normele stabilite în prezenta directivă întrucât Regatul Unit și Irlanda nu sunt obligate să aplice normele care reglementează formele de cooperare judiciară în materie penală sau de cooperare polițienească, care necesită respectarea dispozițiilor stabilite pe baza articolului 16 din Tratatul privind funcționarea Uniunii Europene.

(76)

În conformitate cu articolele 2 și 2a din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Danemarca nu este obligată de prezenta directivă și nici nu face obiectul aplicării acesteia. Având în vedere faptul că prezenta directivă reprezintă o completare a acquis-ului Schengen, în temeiul titlului V partea a treia din Tratatul privind funcționarea Uniunii Europene, Danemarca, în conformitate cu articolul 4 din protocolul menționat, decide, în termen de șase luni de la adoptarea prezentei directive, dacă o va transpune în legislația sa națională. [AM 58]

(77)

În ceea ce privește Islanda și Norvegia, prezenta directivă constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în conformitate cu acordul încheiat de Consiliul Uniunii Europene și de Republica Islanda și Regatul Norvegiei privind asocierea acestor două state la implementarea, aplicarea și dezvoltarea acquis-ului Schengen (8).

(78)

În ceea ce privește Elveția, prezenta directivă constituie o dezvoltare a dispozițiilor acquis-ului Schengen, în conformitate cu Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen (9).

(79)

În ceea ce privește Liechtenstein, prezenta directivă reprezintă o dezvoltare a dispozițiilor acquis-ului Schengen, astfel cum se prevede în Protocolul dintre Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen (10).

(80)

Prezenta directivă respectă drepturile fundamentale și principiile recunoscute de Cartă, astfel cum sunt consacrate în tratat, în special dreptul la respectarea vieții private și de familie, dreptul la protecția datelor cu caracter personal, dreptul la o cale de atac eficientă și la un proces echitabil. Limitările aduse acestor drepturi sunt în conformitate cu articolul 52 alineatul (1) din cartă întrucât sunt necesare pentru atingerea obiectivelor de interes general recunoscute de Uniune sau pentru a proteja drepturile și libertățile celorlalți.

(81)

În conformitate cu declarația politică comună din 28 septembrie 2011 a statelor membre și a Comisiei privind documentele explicative (11), statele membre s-au angajat să atașeze la notificarea măsurilor de transpunere, în cazuri justificate, unul sau mai multe documente care explică relația dintre elementele unei directive și părțile corespunzătoare ale instrumentelor naționale de transpunere. În ceea ce privește această directivă, legiuitorul consideră că transmiterea unor astfel de documente este justificată.

(82)

Prezenta directivă nu ar trebui să împiedice statele membre să pună în aplicare exercitarea drepturilor persoanelor vizate cu privire la informare, acces, rectificare, ștergere și limitarea prelucrării datelor lor cu caracter personal în cadrul procedurilor penale, precum și eventualele limitări ale acestor drepturi în normele naționale privind procedura penală,

(a)

protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal și a vieții private ale acestora ; precum și

(b)

se asigură că schimbul de date cu caracter personal de către autoritățile competente în cadrul Uniunii nu este limitat sau interzis din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

(a)

în cadrul unei activități care nu intră în sfera dreptului Uniunii, în ceea ce privește, mai ales, securitatea națională;

(b)

de către instituțiile, organele, oficiile și agențiile Uniunii. [AM 60]

1.

„persoană vizată” înseamnă o persoană fizică identificată sau o persoană fizică ce poate fi identificată, în mod direct sau indirect, prin mijloace care pot fi utilizate, cu o probabilitate rezonabilă, de operator sau de orice altă persoană fizică sau juridică, în special prin referire la un număr de identificare, la date de localizare, la identificatori online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei respective;

2.

„date cu caracter personal” înseamnă orice informație privind referitoare la o persoană fizică identificată sau identificabilă ( o persoană vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator unic, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale, sociale sau de gen;

2a.

„date protejate printr-un pseudonim” înseamnă date cu caracter personal care nu pot fi atribuite unei persoane vizate fără a se utiliza informații suplimentare, în măsura în care aceste informații suplimentare sunt stocate separat și fac obiectul unor măsuri de natură tehnică și organizatorică destinate să garanteze că nu va avea loc o astfel de atribuire;

3.

„prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi culegerea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

3a.

„crearea de profiluri” înseamnă orice formă de prelucrare automatizată a datelor cu caracter personal prin care se urmărește evaluarea anumitor aspecte personale legate de o persoană fizică sau efectuarea de analize sau previziuni în legătură, în special, cu performanțele persoanei fizice respective la locul de muncă, situația sa economică, locul în care se află, starea sa de sănătate, preferințele personale, încrederea de care se bucură sau comportamentul acesteia;

4.

„restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate, cu scopul de a limita prelucrarea viitoare a acestora;

5.

„sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

6.

„operator” înseamnă autoritatea publică competentă care, singură sau împreună cu alte autorități, stabilește scopurile, condițiile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile, condițiile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau prin legislația unui stat membru, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin legislația unui stat membru;

7.

„persoana împuternicită de către operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

8.

„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism căruia îi sunt transmise datele cu caracter personal;

9.

„încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, distrugerea în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod;

10.

„date genetice” înseamnă toate datele, indiferent de tipul acestora, referitoare la caracteristicile unei persoane, care sunt moștenite sau dobândite într-un stadiu precoce de dezvoltare prenatală;

11.

„date biometrice” înseamnă orice date cu caracter personal referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane, care permit identificarea unică a acesteia, cum ar fi imaginile faciale sau datele dactiloscopice;

12.

„date privind sănătatea” înseamnă orice informații date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane sau de acordarea de servicii medicale persoanei respective;

13.

„minor” înseamnă orice persoană cu vârsta sub 18 ani;

14.

„autorități competente” înseamnă orice autoritate publică abilitată în vederea prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor;

15.

„autoritate de supraveghere” înseamnă o autoritate publică instituită de un stat membru în conformitate cu articolul 39. [AM 61]

(a)

prelucrate în mod corect și în conformitate cu dispozițiile legale , în mod corect, transparent și verificabil față de persoana vizată ;

(b)

colectate în scopuri determinate, explicite și legitime și nu trebuie prelucrate ulterior într-un mod incompatibil cu aceste scopuri;

(c)

să fie adecvate, relevante și neexcesive limitate la minimul necesar în ceea ce privește scopurile în care sunt prelucrate; aceste date sunt prelucrate dacă și în măsura în care scopurile nu au putut fi îndeplinite prin prelucrarea unor informații care nu implică date cu caracter personal;

(d)

să fie exacte și, dacă este necesar, actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;

(e)

să fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor pentru care sunt prelucrate datele cu caracter personal;

(f)

prelucrate sub responsabilitatea și răspunderea operatorului, care asigură și demonstrează respectarea dispozițiilor adoptate în conformitate cu prezenta directivă;

(fa)

prelucrate în așa fel încât să se permită în mod eficient persoanei vizate să își exercite drepturile menționate la articolele 10-17;

(fb)

să fie procesate astfel încât să fie protejate împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare;

(fc)

să fie prelucrate doar de personalul autorizat corespunzător al autorităților competente care au nevoie de acesta pentru îndeplinirea sarcinilor respective. [AM 62]

(a)

accesul este permis doar personalului autorizat în acest sens al autorităților competente în exercitarea sarcinilor lor atunci când, într-un caz specific, există motive rezonabile pentru a crede că prelucrarea datelor cu caracter personal va contribui în mod substanțial la prevenirea, identificarea, investigarea sau urmărirea infracțiunilor sau la executarea pedepselor de natură penală;

(b)

cererea de acordare a accesului trebuie făcută în scris și să menționeze temeiul juridic al cererii;

(c)

cererea scrisă trebuie să fie documentată; și

(d)

sunt implementate garanții adecvate pentru a asigura protecția drepturilor și libertăților fundamentale în ceea ce privește prelucrarea datelor cu caracter personal. Aceste garanții nu aduc atingere condițiilor specifice de accesare a datelor cu caracter personal și sunt complementare acestora, ca, de exemplu, autorizarea judecătorească în conformitate cu legislația statelor membre.

(a)

persoane în privința cărora există motive serioase rezonabile să se creadă că au săvârșit sau că urmează să săvârșească o infracțiune;

(b)

persoane condamnate pentru comiterea unei infracțiuni o infracțiune ;

(c)

victime ale unei infracțiuni sau persoane în privința cărora, în baza anumitor fapte, există motive să se creadă că persoanele respective ar putea fi victimele unei infracțiuni; și

(d)

părți terțe la infracțiune, ca de exemplu persoane care ar putea fi chemate să depună mărturie în cadrul anchetelor legate de infracțiuni sau în cadrul procedurilor penale ulterioare sau persoane care pot oferi informații cu privire la infracțiuni sau persoane care sunt în legătură sau asociate cu persoanele menționate la literele (a) și (b).și

(e)

persoane care nu se încadrează în niciuna dintre categoriile menționate mai sus.

(a)

în măsura în care acest lucru este necesar pentru investigarea sau urmărirea penală a unei infracțiuni specifice în vederea evaluării relevanței datelor referitor la una dintre categoriile indicate la alineatul (1); sau

(b)

în cazurile în care prelucrarea este indispensabilă în scopuri specifice de prevenire sau în scopuri de analiză a infracțiunilor, dacă și în măsura în care acest scop este legitim, bine definit și specific, iar prelucrarea este strict limitată la evaluarea relevanței datelor pentru una dintre categoriile indicate la alineatul (1). Aceasta se revizuiește cel puțin o dată la șase luni. Orice utilizare ulterioară este interzisă.

(a)

pentru executarea unei sarcini de către o autoritate competentă, conform legislației, în scopurile prevăzute la articolul 1 alineatul (1); sau

(b)

pentru respectarea unei obligații legale care revine operatorului; sau

(c)

pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane; sau

(d)

pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice.

(a)

scopurile prelucrării;

(b)

datele cu caracter personal de procesat;

(c)

scopurile specifice și mijloacele de prelucrare;

(d)

numirea operatorului sau criterii specifice pentru numirea acestuia;

(e)

categorii de personal autorizat în acest scop al autorităților competente pentru prelucrarea datelor cu caracter personal;

(f)

procedura de urmat pentru procesul de prelucrare;

(g)

utilizarea posibilă a datelor cu caracter personal obținute;

(h)

limitări ale domeniului de aplicare al oricăror prerogative conferite autorităților competente în raport cu activitățile de prelucrare; [AM 67]

(a)

prelucrarea este strict necesară și proporțională într-o societate democratică și impusă de dreptul Uniunii sau al statelor membre pentru un scop legitim, bine definit și specific;

(b)

prelucrarea este strict limitată la o perioadă care nu depășește timpul necesar pentru operațiunea specifică de prelucrare a datelor;

(c)

orice altă utilizare ulterioară în alte scopuri este interzisă.

(a)

scopurile și mijloacele specifice ale respectivei prelucrări;

(b)

faptul că accesul este permis doar pentru personalul autorizat în acest sens al autorităților competente în exercitarea sarcinilor lor atunci când, într-un caz specific, există motive rezonabile pentru a crede că prelucrarea datelor cu caracter personal va contribui în mod substanțial la prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau la executarea pedepselor de natură penală; precum și

(c)

stabilirea unor garanții adecvate, cu scopul de a asigura protecția drepturilor și libertăților fundamentale în ceea ce privește prelucrarea datelor cu caracter personal.

(a)

prelucrarea este permisă printr-o lege care oferă garanții adecvate este strict necesară și proporționată pentru îndeplinirea unei sarcini efectuate de autoritățile competente, în scopurile menționate la articolul 1 alineatul (1), pe baza dreptului Uniunii sau al statelor membre, care prevede măsuri specifice și corespunzătoare pentru protejarea intereselor legitime ale persoanei vizate, inclusiv o autorizare specifică din partea unei autorități judiciare, dacă legislația națională impune acest lucru ; sau

(b)

prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane; sau

(c)

prelucrarea se referă la date care sunt făcute publice în mod manifest de persoana vizată , cu condiția ca acestea să fie relevante și de strictă necesitate pentru scopul urmărit în cazul respectiv . [AM 69]

(a)

identitatea și datele de contact ale operatorului și ale responsabilului cu protecția datelor;

(b)

temeiul juridic și scopurile în care sunt prelucrate datele cu caracter personal;

(c)

perioada de stocare a datelor cu caracter personal;

(d)

existența dreptului de a solicita operatorului accesul și rectificarea, ștergerea sau limitarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

(e)

dreptul de a depune o plângere la autoritatea de supraveghere prevăzută la articolul 39 și datele de contact ale acestei autorități;

(f)

destinatarii sau categoriile de destinatari ai datelor cu caracter personal, inclusiv în țări terțe sau organizații internaționale și entitatea autorizată să acceseze datele în temeiul legilor țării terțe respective sau al normelor unei organizații internaționale, existența sau inexistența unei decizii din partea Comisiei privind caracterul adecvat al protecției sau, în cazul transferurilor menționate la articolele 35 și 36, modalitățile de a obține o copie a garanțiilor corespunzătoare utilizate pentru transfer ;

(fa)

în cazul în care operatorul procesează date cu caracter personal astfel cum este descris la articolul 9 alineatul (1), informațiile cu privire la existența prelucrării pentru o măsură de tipul celor menționate la articolul 9 alineatul (1) și efectele preconizate ale unei astfel de prelucrări asupra persoanei vizate, precum și informații cu privire la logica folosită în stabilirea profilelor și dreptul de a obține o evaluare umană;

(fb)

informații cu privire la măsurile de securitate luate pentru a proteja datele cu caracter personal;

(g)

orice alte informații suplimentare, în măsura în care astfel de informații suplimentare sunt necesare pentru garantarea prelucrării echitabile în ceea ce privește persoana vizată, având în vedere circumstanțele specifice în care sunt prelucrate datele cu caracter personal.

(a)

în momentul obținerii datelor cu caracter personal de la persoana vizată; sau

(b)

în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, în momentul în care sunt înregistrate sau într-o perioadă de timp rezonabilă după colectare, având în vedere circumstanțele specifice ale prelucrării datelor.

(a)

pentru evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)

pentru a nu prejudicia prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)

pentru protejarea siguranței publice;

(d)

pentru protejarea securității naționale;

(e)

pentru protejarea drepturilor și libertăților celorlalți.

(-a)

comunicarea datelor cu caracter personal care fac obiectul prelucrării și a oricărei informații disponibile cu privire la originea datelor și, după caz, informații inteligibile referitoare la logica utilizată în orice prelucrare automată;

(-aa)

semnificația și consecințele avute în vedere ale acestei prelucrări, cel puțin în cazul măsurilor menționate la articolul 9;

(a)

scopurile prelucrării , precum și temeiurile juridice ale prelucrării ;

(b)

categoriile de date cu caracter personal vizate;

(c)

destinatarii sau categoriile de destinatari cărora le-au fost dezvăluite datele cu caracter personal, în special destinatarii din țări terțe;

(d)

perioada de stocare a datelor cu caracter personal;

(e)

existența dreptului de a solicita de la operator rectificarea, ștergerea sau restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

(f)

dreptul de a depune o plângere în fața autorității de supraveghere și datele de contact ale autorității de supraveghere.

(g)

comunicarea datelor cu caracter personal care fac obiectul prelucrării și a oricărei informații disponibile cu privire la originea datelor.

(a)

pentru evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b)

pentru a nu prejudicia prevenirea, identificarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c)

pentru protejarea siguranței publice;

(d)

pentru protejarea securității naționale;

(e)

pentru protejarea drepturilor și libertăților celorlalți.

(a)

persoana vizată contestă exactitatea acestor date, pentru o perioadă care să îi permită operatorului să verifice exactitatea datelor;

(b)

datele cu caracter personal trebuie să fie păstrate ca dovadă sau pentru protecția intereselor vitale ale persoanei vizate sau ale altei persoane.

(c)

persoana vizată se opune ștergerii și solicită în schimb restricționarea utilizării acestora.

(a)

păstrarea documentației menționate la articolul 23;

(aa)

efectuarea unei evaluări a impactului privind protecția datelor, în conformitate cu articolul 25a;

(b)

respectarea cerințelor privind consultarea prealabilă, în temeiul articolului 26;

(c)

punerea în aplicare a cerințelor privind securitatea datelor prevăzute la articolul 27;

(d)

desemnarea unui responsabil cu protecția datelor, în temeiul articolului 30;

(da)

după caz, conceperea și punerea în aplicare a unor garanții specifice cu privire la procesarea datelor cu caracter personal referitoare la copii.

(a)

acționează numai la instrucțiunile operatorului;

(b)

angajează doar persoane care au fost de acord să li se impună obligația de confidențialitate sau respectă o obligație legală de confidențialitate;

(c)

adoptă toate măsurile necesare în conformitate cu articolul 27;

(d)

angajează o altă persoană împuternicită de către operator doar cu permisiunea operatorului și, prin urmare, îl informează din timp pe operator cu privire la intenția de a angaja o altă persoană împuternicită de către operator, astfel încât acesta să aibă posibilitatea de a obiecta;

(e)

în măsura în care acest lucru este posibil, având în vedere caracterul prelucrării, adoptă, în acord cu operatorul, condițiile tehnice și organizatorice necesare pentru ca operatorul să își îndeplinească obligația de a răspunde cererilor privind exercitarea, de către persoana vizată, a drepturilor prevăzute în capitolul III;

(f)

ajută operatorul să asigure respectarea obligațiilor prevăzute la articolele 25a-29;

(g)

transmite operatorului toate rezultatele după terminarea procesului de prelucrare, nu prelucrează în niciun alt mod datele cu caracter personal și șterge copiile existente, dacă legislația Uniunii sau a statelor membre nu impune stocarea lor;

(h)

pune la dispoziția operatorului și a autorității de supraveghere toate informațiile necesare pentru a se controla respectarea obligațiilor prevăzute în prezentul articol;

(i)

ține cont de principiile protecției datelor începând cu momentul conceperii și protecției implicite a datelor.

(a)

numele și datele de contact ale operatorului, sau ale oricărui operator asociat sau persoane împuternicite de către operator;

(aa)

un acord cu caracter obligatoriu, în cazul în care există operatori comuni; o listă a persoanelor împuternicite de către operator și a activităților desfășurate de către acestea;

(b)

scopurile prelucrării;

(ba)

indicarea secțiunilor din cadrul organizației operatorului sau a persoanei împuternicite de către operator responsabile cu prelucrarea datelor cu caracter personal într-un scop anumit;

(bb)

o descriere a categoriei sau categoriilor de persoane vizate și a datelor sau categoriilor de date referitoare la acestea;

(c)

destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

(ca)

după caz, informații cu privire la existența creării de profiluri, a unor măsuri bazate pe crearea de profiluri și cu privire la mecanisme de a contesta crearea de profiluri;

(cb)

informații inteligibile despre logica care stă la baza oricărei operațiuni de prelucrare automatizată;

(d)

transferurile de date către o țară terță sau către o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și temeiurile juridice în baza cărora datele sunt transferate ; se prezintă o explicație substanțială atunci când un transfer are la bază articolul 35 sau articolul 36 din prezenta directivă;

(da)

termenele pentru ștergerea diferitelor categorii de date;

(db)

rezultatele verificărilor măsurilor menționate la articolul 18 alineatul (1);

(dc)

indicarea temeiului juridic al operațiunii de prelucrare pentru care sunt destinate datele.

(a)

prelucrarea datelor cu caracter personal în cadrul unor sisteme de evidență de mari dimensiuni în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor și al executării pedepselor;

(b)

prelucrarea unor categorii speciale de date cu caracter personal, menționată la articolul 8, a datelor cu caracter personal referitoare la copii și a datelor biometrice în scopul prevenirii, identificării, investigării sau urmăririi penale a infracțiunilor și al executării pedepselor.

(c)

evaluarea aspectelor personale privind o persoană fizică sau în scopul analizării sau prezicerii în special a comportamentului persoanei fizice, care se bazează pe prelucrarea automată și poate avea drept consecință măsuri care produc efecte juridice cu privire la persoana respectivă sau care o afectează în mod semnificativ pe aceasta;

(d)

monitorizarea zonelor accesibile publicului, mai ales în cazul utilizării dispozitivelor optoelectronice (supravegherea video); sau

(e)

alte operațiuni de prelucrare pentru care este necesară consultarea autorității de supraveghere în conformitate cu articolul 26 alineatul (1).

(a)

o descriere sistematică a operațiunilor de prelucrare avute în vedere;

(b)

o evaluare a necesității și proporționalității operațiunilor de prelucrare în raport cu scopurile;

(c)

o evaluare a riscurilor din perspectiva drepturilor și libertăților persoanelor vizate și a măsurilor avute în vedere pentru a aborda aceste riscuri și pentru a minimiza volumul de date cu caracter personal prelucrat;

(d)

garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile adoptate în temeiul prezentei directive, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate;

(e)

o indicație generală a termenelor-limită pentru ștergerea diferitelor categorii de date;

(f)

dacă este cazul, o listă a transferurilor de date avute în vedere către o țară terță sau o organizație internațională, inclusiv identificarea țării terțe sau a organizației internaționale respective și, în cazul transferurilor prevăzute la articolul 36 alineatul (2), documentația care dovedește existența unor garanții corespunzătoare;

(a)

urmează a fi prelucrate categorii speciale de date, menționate la articolul 8 o evaluare a impactului privind protecția datelor, astfel cum se prevede la articolul 25a, indică faptul că operațiunile de prelucrare pot prezenta, prin însăși natura, domeniul de aplicare și/sau scopurile lor, un grad înalt de riscuri specifice; sau ;

(b)

tipul prelucrării, în special prin utilizarea de tehnologii, mecanisme sau proceduri noi prezintă riscuri specifice pentru drepturile și libertățile fundamentale, în special pentru protecția datelor cu caracter personal ale persoanelor vizate autoritatea de supraveghere consideră că este necesar să se efectueze o consultare prealabilă cu privire la operațiunile de prelucrare specificate care pot prezenta riscuri specifice pentru drepturile și libertățile persoanelor vizate prin însăși natura, domeniul de aplicare sau scopurile lor. .

(a)

să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare a datelor utilizate pentru prelucrarea datelor cu caracter personal (controlul accesului la echipamente);

(b)

să împiedice orice citire, copiere, modificare sau eliminare neautorizată a suporturilor de date (controlul suporturilor de date);

(c)

să împiedice introducerea neautorizată de date și inspectarea, modificarea sau ștergerea neautorizată a datelor cu caracter personal stocate (controlul stocării);

(d)

să împiedice utilizarea sistemelor de prelucrare automată a datelor de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor (controlul utilizatorului);

(e)

să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată a datelor au acces numai la datele pentru care au autorizare (controlul accesului la date);

(f)

să asigure că este posibilă verificarea și identificarea organismelor cărora le-au fost transmise sau puse la dispoziție sau s-ar putea să le fie transmise sau puse la dispoziție date cu caracter personal utilizându-se echipamente de comunicare a datelor (controlul comunicării);

(g)

să asigure că este posibil ulterior să se verifice și să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată a datelor, momentul introducerii acestora și entitatea care le-a introdus (controlul introducerii datelor);

(h)

să împiedice citirea, copierea, modificarea sau ștergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date (controlul transportării);

(i)

să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi (recuperarea);

(j)

să asigure funcționarea sistemului, raportarea defecțiunilor de funcționare (fiabilitate) și imposibilitatea coruperii datelor cu caracter personal stocate, din cauza funcționării defectuoase a sistemului (integritate);

(ja)

să se asigure că în cazul prelucrării datelor sensibile cu caracter personal, în conformitate cu articolul 8, sunt aplicate măsuri de securitate suplimentare, pentru a garanta conștientizarea diferitelor situații care presupun riscuri și capacitatea de a adopta măsuri preventive, corective și de atenuare în timp aproape real pentru a răspunde vulnerabilităților și incidentelor detectate care ar putea constitui riscuri pentru securitatea datelor;

(a)

să descrie caracterul încălcării securității datelor cu caracter personal, inclusiv categoriile și numărul persoanelor vizate în cauză, precum și categoriile și numărul de înregistrări de date în cauză;

(b)

să comunice identitatea și datele de contact ale responsabilului cu protecția datelor menționat la articolul 30 sau alt punct de contact unde pot fi obținute mai multe informații;

(c)

să recomande măsuri de atenuare a eventualelor efecte negative ale încălcării securității datelor cu caracter personal;

(d)

să descrie consecințele posibile ale încălcării securității datelor cu caracter personal;

(e)

să descrie măsurile propuse sau adoptate de operator pentru a remedia problema încălcării securității datelor cu caracter personal și pentru a limita efectele acesteia .

(a)

sensibilizarea, informarea și consilierea operatorului sau a persoanei împuternicite de către operator cu privire la obligațiile care îi revin în conformitate cu dispozițiile adoptate în temeiul prezentei directive , în special în ceea ce privește măsurile și procedurile tehnice și organizatorice, și păstrarea documentelor referitoare la această activitate și la răspunsurile primite;

(b)

monitorizarea aplicării politicilor în ceea ce privește protecția datelor cu caracter personal, inclusiv alocarea responsabilităților, formarea personalului implicat în operațiunile de prelucrare și auditurile aferente;

(c)

monitorizarea punerii în aplicare și aplicarea dispozițiilor adoptate în temeiul prezentei directive, în special cu privire la cerințele legate de protecția datelor începând cu momentul conceperii, de protecția implicită a datelor, securitatea datelor și de informarea persoanelor vizate, precum și de solicitările acestora în exercitarea drepturilor lor prevăzute de dispozițiile adoptate în temeiul prezentei directive;

(d)

asigurarea păstrării documentației, prevăzute la articolul 23;

(e)

monitorizarea documentației, a notificării și a comunicării cazurilor de încălcare a securității datelor cu caracter personal, în temeiul articolelor 28 și 29;

(f)

monitorizarea aplicării evaluării impactului de către operator sau de persoana împuternicită și a cererii de consultare prealabilă adresată autorității de supraveghere, în cazul în care este necesar, în conformitate cu articolul 26 alineatul (1) ;

(g)

monitorizarea răspunsului la solicitările autorității de supraveghere și, în limitele ariei de competență a responsabilului cu protecția datelor, cooperarea cu autoritatea de supraveghere, la cererea acesteia sau din proprie inițiativă;

(h)

asumarea rolului de punct de contact pentru autoritatea de supraveghere privind aspectele legate de prelucrare și, dacă este cazul, de consultare a autorității de supraveghere, din propria inițiativă a responsabilului cu protecția datelor. [AM 95]

(a)

transferul specific este necesar pentru prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor ori pentru executarea pedepselor; precum și

(aa)

datele sunt transferate unui operator într-o țară terță sau unei organizații internaționale competente în sensul articolului 1 alineatul (1); precum și

(ab)

condițiile prevăzute în prezentul capitol sunt respectate de operator sau de persoana împuternicită de către operator, inclusiv pentru transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională într-o altă țară terță sau la o altă organizație internațională; precum și

(b)

condițiile prevăzute în prezentul capitol celelalte condiții adoptate în conformitate cu prezenta directivă sunt respectate de operator și de persoana împuternicită de către operator;

(ba)

nivelul de protecție a datelor cu caracter personal garantat în Uniune prin prezenta directivă nu este subminat. precum și

(bb)

dacă Comisia a decis, în conformitate cu condițiile și procedura menționate la articolul 34, că țara terță sau organizația internațională respectivă asigură un nivel adecvat de protecție; sau

(bc)

dacă s-au prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu caracter juridic obligatoriu, așa cum este prevăzut la articolul 35.

(a)

transferul ulterior este necesar pentru realizarea aceluiași scop specific ca transferul inițial; precum și

(b)

autoritatea competentă care a realizat transferul inițial autorizează transferul ulterior. [AM 96]

(a)

statul de drept, legislația relevantă în vigoare, atât generală, cât și sectorială, inclusiv cea referitoare la securitatea publică, la apărare, la securitatea națională și la dreptul penal, măsurile precum și implementarea acestei legislații și a măsurilor de securitate respectate în țara respectivă sau de respectiva organizație internațională, Precedentele din jurisprudență, precum și drepturile efective și opozabile, inclusiv căile de atac administrative și judiciare efective ale persoanelor vizate, în special în cazul persoanelor vizate care au reședința în Uniune și ale căror date cu caracter personal sunt transferate;

(b)

existența și funcționarea efectivă a uneia sau a mai multor autorități de supraveghere independente în țara terță sau în cadrul organizației internaționale în cauză, care are responsabilitatea de a asigura respectarea normelor în materie de protecție a datelor , inclusiv suficiente competențe de sancționare, de a asista și de a consilia persoana vizată în ceea ce privește exercitarea drepturilor sale și de a coopera cu autoritățile de supraveghere din statele membre și din Uniune precum și

(c)

angajamentele internaționale la care a aderat țara terță sau organizația internațională în cauză, în special orice convenții sau instrumente obligatorii din punct de vedere juridic, în ceea ce privește protecția datelor personale .

(a)

s-au prezentat garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal printr-un instrument cu forță juridică obligatorie sau

(b)

operatorul sau persoana împuternicită de către operator a evaluat toate circumstanțele aferente transferului de date cu caracter personal și a concluzionat că există garanții corespunzătoare în ceea ce privește protecția datelor cu caracter personal.

(a)

transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane sau

(b)

transferul este necesar pentru protejarea intereselor legitime ale persoanei vizate, în cazul în care legea statului membru care transferă datele cu caracter personal prevede acest lucru sau

(c)

transferul datelor este esențial pentru prevenirea unei amenințări imediate și grave la adresa siguranței publice a unui stat membru sau a unei țări terțe sau

(d)

transferul este necesar, în cazuri individuale, în scopul prevenirii, investigării, identificării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale sau

(e)

transferul este necesar, în cazuri individuale, pentru constatarea, exercitarea sau apărarea unui drept în instanță legat de prevenirea, investigarea, identificarea sau urmărirea penală a infracțiunilor sau de executarea unei anumite sancțiuni penale.

(a)

elaborarea de mecanisme eficiente de cooperare internațională pentru a facilita asigurarea asigura aplicarea legislației privind protecția datelor cu caracter personal; [AM 101]

(b)

acordarea de asistență internațională reciprocă în asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal, inclusiv prin notificare, transferul reclamațiilor, asistență în anchete și schimb de informații, sub rezerva unor garanții adecvate pentru protecția datelor cu caracter personal și a altor drepturi și libertăți fundamentale;

(c)

implicarea părților interesate relevante în discuțiile și activitățile care au ca scop lărgirea cooperării internaționale în vederea asigurarea aplicării legislației din domeniul protecției datelor cu caracter personal;

(d)

promovarea schimbului și a documentației cu privire la legislația și practicile în materie de protecție a datelor cu caracter personal;

(da)

clarificarea și consultarea privind conflictele jurisdicționale cu țările terțe. [AM 102]

(6)

Fiecare stat membru se asigură că autoritatea de supraveghere dispune de personal propriu, care este numit de șeful autorității de supraveghere și care răspunde în fața acestuia.

(a)

instituirea și statutul autorității de supraveghere în conformitate cu articolele 39 și 40;

(b)

calificările, experiența și competențele necesare pentru exercitarea funcției de membru al autorității de supraveghere;

(c)

normele și procedurile pentru numirea membrilor autorității de supraveghere, precum și normele privind acțiunile sau ocupațiile incompatibile cu funcțiile membrilor;

(d)

durata mandatului membrilor autorității de supraveghere, care nu poate fi sub patru ani, cu excepția primului mandat după intrarea în vigoare a prezentei directive, care poate fi pe o perioadă mai scurtă;

(e)

posibilitatea de reînnoire a mandatului membrilor autorității de supraveghere;

(f)

regulile și condițiile comune care reglementează îndatoririle membrilor și ale personalului autorității de supraveghere;

(g)

normele și procedurile privind încetarea funcțiilor asumate de membrii autorității de supraveghere, inclusiv în cazul în care nu mai îndeplinesc condițiile necesare pentru exercitarea atribuțiilor lor sau în cazul în care sunt vinovați de comiterea unei abateri disciplinare grave.

(a)

monitorizează și asigură aplicarea dispozițiilor adoptate în temeiul prezentei directive, precum și a măsurilor de punere în aplicare aferente acesteia;

(b)

primește reclamațiile depuse de orice persoană vizată sau de o asociație care reprezintă persoana vizată respectivă și este împuternicită în mod corespunzător de aceasta, în conformitate cu articolul 50, investighează chestiunea, în măsura în care este adecvat, și informează, într-un termen rezonabil, persoana vizată sau asociația cu privire la evoluția și rezultatul reclamației, în special dacă este necesară efectuarea unei cercetări mai detaliate sau coordonarea cu o altă autoritate de supraveghere;

(c)

verifică legalitatea prelucrării datelor în conformitate cu articolul 14 și informează persoana vizată, într-un termen rezonabil, cu privire la rezultatul verificării sau la motivele pentru care nu a avut loc verificarea;

(d)

oferă asistență reciprocă altor autorități de supraveghere și asigură consecvența aplicării și a asigurării aplicării dispozițiilor adoptate în temeiul prezentei directive;

(e)

desfășoară anchete, inspecții și audituri fie din proprie inițiativă, fie pe baza unei reclamații sau la cererea altei autorități de supraveghere și informează într-un termen rezonabil persoana vizată cu privire la rezultatul anchetelor, în cazul în care persoana vizată a depus o reclamație;

(f)

monitorizează evoluțiile relevante, în măsura în care acestea au impact asupra protecției datelor cu caracter personal, în special evoluția tehnologiilor informațiilor și comunicațiilor;

(g)

este consultată de instituțiile și organele statului membru cu privire la măsurile legislative și administrative referitoare la protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal;

(h)

este consultată cu privire la operațiunile de prelucrare prevăzute la articolul 26;

(i)

participă la activitățile Comitetului european pentru protecția datelor.

(a)

competențe de investigare, cum ar fi competențe privind accesul la datele care fac obiectul operațiilor de prelucrare și competențe privind colectarea tuturor informațiilor necesare pentru îndeplinirea îndatoririlor sale de supraveghere; să notifice operatorul sau persoana împuternicită de către operator cu privire la presupusa încălcare a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, să dispună remedierea încălcării de către operator sau persoana împuternicită de către operator, în mod specific, pentru îmbunătățirea protecției de care beneficiază persoana vizată;

(b)

competențe efective de intervenție, cum ar fi competențe de a emite avize înainte ca operațiunile de prelucrare să fie efectuate și de a asigura publicarea corespunzătoare a acestor avize, de a ordona restricționarea, ștergerea sau distrugerea datelor, de a impune o interdicție temporară sau definitivă de prelucrare, de a adresa operatorului un avertisment sau o mustrare sau de a sesiza parlamentele naționale sau alte instituții politice; să impună operatorului să respecte cerințele persoanei vizate de a-și exercita drepturile în conformitate cu prezenta directivă, inclusiv cu cele prevăzute la articolele 12-17, atunci când aceste cerințe au fost refuzate ca o încălcare a dispozițiilor respective;

(c)

competența de a acționa în justiție în cazul în care dispozițiile adoptate în temeiul prezentei directive au fost încălcate sau de a aduce aceste încălcări în atenția autorităților judiciare. să impună operatorului sau persoanei împuternicite de operator să furnizeze informații în conformitate cu articolul 10 alineatele (1) și (2) și articolele 11, 28 și 29;

(d)

să asigure respectarea avizelor privind consultările prealabile prevăzute la articolul 26;

(e)

să adreseze un avertisment sau o mustrare operatorului sau persoanei împuternicite de către operator;

(f)

să dispună rectificarea, ștergerea sau distrugerea tuturor datelor atunci când acestea au fost prelucrate cu încălcarea dispozițiilor prezentei directive, precum și notificarea acestor acțiuni terților cărora le-au fost dezvăluite aceste date;

(g)

să impună interdicția temporară sau definitivă privind prelucrarea;

(h)

să suspende fluxurile de date către un destinatar într-o țară terță sau către o organizație internațională;

(i)

să informeze parlamentele naționale, guvernul sau alte instituții publice și publicul în acest sens.

(a)

accesul la toate datele cu caracter personal și la toate informațiile necesare pentru executarea atribuțiilor sale de supraveghere;

(b)

accesul la oricare din localurile sale, inclusiv la eventualele echipamente și mijloace de prelucrare a datelor, în conformitate cu legislația națională, în cazul în care există motive întemeiate de a presupune că se efectuează o activitate care contravine prezentei directive, fără a aduce atingere unei autorizări judiciare, dacă legislația națională impune acest lucru.

(a)

nu are competența de a trata solicitarea sau

(b)

tratarea solicitării ar fi incompatibilă cu dispozițiile adoptate în conformitate cu prezenta directivă.

(a)

să ofere Comisiei instituțiilor Uniunii consiliere cu privire la orice aspect legat de protecția datelor cu caracter personal în cadrul Uniunii, inclusiv cu privire la orice propunere de modificare a prezentei directive;

(b)

să analizeze, la cererea Comisiei, a Parlamentului European sau a Consiliului, din proprie inițiativă sau la inițiativa unuia dintre membrii săi, orice chestiune referitoare la punerea în aplicare a dispozițiilor adoptate în temeiul prezentei directive și să emită orientări, recomandări și bune practici adresate autorităților de supraveghere pentru a încuraja aplicarea uniformă a dispozițiilor respective, inclusiv utilizarea competențelor de punere în aplicare ;

(c)

să revizuiască aplicarea practică a orientărilor, recomandărilor și bunelor practici menționate la litera (b) și să raporteze periodic Comisiei cu privire la acestea;

(d)

să comunice Comisiei un aviz privind nivelul de protecție în țările terțe sau organizațiile internaționale;

(e)

să promoveze cooperarea și schimbul eficient bilateral și multilateral de informații și practici între autoritățile de supraveghere, inclusiv coordonarea operațiilor comune și a altor activități comune, atunci când decide astfel, la solicitarea unei sau a mai multor autorități de supraveghere ;

(f)

să promoveze programe comune de formare și să faciliteze schimburile de personal între autoritățile de supraveghere, precum și, după caz, cu autoritățile de supraveghere ale țărilor terțe sau organizațiilor internaționale;

(g)

să promoveze schimbul de cunoștințe și de documente cu autoritățile de supraveghere a protecției datelor la nivel mondial, inclusiv privind legislația și practicile în materie de protecție a datelor;

(ga)

să prezinte Comisiei avizul său în pregătirea actelor delegate și de punere în aplicare adoptate în conformitate cu prezenta directivă.

(a)

transmiterea respectă dreptul Uniunii sau al statului membru; precum și

(b)

destinatarul are domiciliul într-un stat membru al Uniunii Europene; precum și

(c)

niciun interes specific legitim al persoanei vizate nu împiedică transmiterea; precum și

(d)

transmiterea este necesară într-o situație specifică în care operatorul transmite date cu caracter personal pentru: