13/Volumul 30

RO

Jurnalul Ofícial al Uniunii Europene

142


32001R0045


L 008/1

JURNALUL OFÍCIAL AL UNIUNII EUROPENE


REGULAMENTUL (CE) NR. 45/2001 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 18 decembrie 2000

privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul de instituire a Comunității Europene, în special articolul 286,

având în vedere propunerea Comisiei (1),

având în vedere avizul Comitetului Economic și Social (2),

în conformitate cu procedura stabilită la articolul 251 din tratat (3),

întrucât:

(1)

Articolul 286 din tratat impune aplicarea, în cazul instituțiilor și organelor comunitare, a actelor comunitare privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și la libera circulație a acestor date.

(2)

Un sistem complet dezvoltat de protecție a datelor cu caracter personal nu implică doar conferirea de drepturi persoanelor vizate și de obligații în sarcina celor care prelucrează datele cu caracter personal, ci și stabilirea de sancțiuni corespunzătoare pentru contravenienți și monitorizarea acestora de către o autoritate independentă de supraveghere.

(3)

Articolul 286 alineatul (2) din tratat prevede instituirea unei autorități independente de supraveghere însărcinate cu monitorizarea aplicării respectivelor acte comunitare în cazul instituțiilor și organelor comunitare.

(4)

Articolul 286 alineatul (2) din tratat prevede adoptarea oricăror altor dispoziții necesare.

(5)

Este necesar un regulament care să confere persoanelor drepturi garantate din punct de vedere juridic, să definească obligațiile operatorilor în cadrul instituțiilor și organelor comunitare și să prevadă instituirea unei autorități independente de supraveghere care să răspundă de monitorizarea prelucrării datelor cu caracter personal de către instituțiile și organele comunitare.

(6)

A fost consultat grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, constituit în conformitate cu dispozițiile articolului 29 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație (4) a acestor date.

(7)

Persoanele care urmează să fie protejate sunt cele ale căror date personale sunt prelucrate de către instituțiile sau organele comunitare indiferent de context, de exemplu pentru că persoanele menționate mai sus sunt angajate de către aceste instituții sau organe.

(8)

Este necesar ca principiile protecției datelor să se aplice oricărei informații referitoare la o persoană identificată sau identificabilă. Pentru a determina dacă o persoană este identificabilă, este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de către operator, fie de către orice altă persoană pentru a identifica persoana vizată. Principiile protecției nu se aplică datelor anonime, astfel încât persoana vizată să nu mai fie identificabilă.

(9)

Directiva 95/46/CE impune statelor membre să asigure protecția drepturilor și libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la viața privată în ceea ce privește prelucrarea datelor cu caracter personal, pentru a asigura libera circulație a datelor cu caracter personal în cadrul Comunității.

(10)

Directiva 97/66/CE a Parlamentului European și a Consiliului din 15 decembrie 1997 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul telecomunicațiilor (5) aduce precizări și completări Directivei 95/46/CE în ceea ce privește prelucrarea datelor cu caracter personal în sectorul telecomunicațiilor.

(11)

Diverse alte dispoziții comunitare, inclusiv în materie de asistență reciprocă între autoritățile naționale și Comisie, au de asemenea rolul de a aduce precizări și completări Directivei 95/46/CE în sectoarele la care se referă.

(12)

Este necesar să fie asigurată aplicarea consecventă și omogenă a normelor de protecție a drepturilor și libertăților fundamentale ale persoanelor în ceea ce privește prelucrarea datelor cu caracter personal pe întreg teritoriul Comunității.

(13)

Scopul este să se asigure atât o respectare efectivă a normelor privind protecția drepturilor și libertăților fundamentale ale persoanelor, cât și libera circulație a datelor cu caracter personal între statele membre și instituțiile și organele comunitare sau între instituțiile și organele comunitare, în exercitarea competențelor lor respective.

(14)

În acest scop, este oportun să se adopte dispoziții obligatorii pentru instituțiile și organele comunitare. Este necesar ca aceste dispoziții să se aplice în cazul oricărei prelucrări a datelor cu caracter personal efectuate de către toate instituțiile și organele comunitare în măsura în care aceste prelucrări sunt efectuate pentru desfășurarea tuturor sau a unei părți din activitățile care intră sub incidența domeniului de aplicare a dreptului comunitar.

(15)

În cazul în care aceste prelucrări de date sunt efectuate de instituțiile sau organele comunitare în desfășurarea activităților care nu intră sub incidența domeniului de aplicare a prezentului regulament, în special a acelora prevăzute de titlurile V și VI din Tratatul privind Uniunea Europeană, protecția drepturilor și libertăților fundamentale ale persoanelor este asigurată în conformitate cu articolul 6 din Tratatul privind Uniunea Europeană. Accesul la documente, inclusiv condițiile de acces la documente conținând date cu caracter personal, este reglementat prin normele adoptate în temeiul articolului 255 din Tratatul CE sub incidența căruia intră și titlurile V și VI din Tratatul privind Uniunea Europeană.

(16)

Aceste dispoziții nu se aplică organelor din afara structurii comunitare, după cum nici Autoritatea europeană pentru protecția datelor nu are competența de a monitoriza prelucrarea datelor cu caracter personal efectuată de către aceste organe.

(17)

Eficacitatea protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal în cadrul Uniunii Europene presupune coerența normelor și procedurilor aplicabile activităților care rezultă din diverse contexte juridice. Un prim pas în această direcție îl reprezintă elaborarea unor principii fundamentale de protecție a datelor cu caracter personal în domeniile cooperării judiciare în materie penală, precum și în domeniile cooperării polițienești și vamale și constituirea unui Secretariat pentru autoritățile comune de control, instituit prin Convenția Europol, Convenția asupra folosirii tehnologiei informațiilor în activitățile vamale și Acordul Schengen.

(18)

Prezentul regulament nu aduce atingere drepturilor și obligațiilor statelor membre prevăzute de Directivele 95/46/CE și 97/66/CE. Acesta nu are ca obiect modificarea procedurilor și practicilor legal puse în aplicare de către statele membre în domeniile siguranței naționale, apărării ordinii publice, precum și a prevenirii, depistării, cercetării și urmăririi infracțiunilor în conformitate cu Protocolul privind privilegiile și imunitățile Comunităților Europene și în conformitate cu dreptul internațional.

(19)

Instituțiile și organele comunitare trebuie să informeze autoritățile competente din statele membre atunci când consideră că informațiile aflate în circulație în rețelele lor de telecomunicații trebuie interceptate cu respectarea dispozițiilor de drept intern aplicabile.

(20)

Este oportun ca dispozițiile aplicabile instituțiilor și organelor comunitare să corespundă dispozițiilor prevăzute pentru armonizarea legislațiilor interne sau punerea în aplicare a altor politici comunitare, cu precădere în materia asistenței reciproce. Cu toate acestea, pot fi necesare precizări și dispoziții suplimentare pentru asigurarea protecției în cazul prelucrării de date cu caracter personal de către instituțiile și organele comunitare.

(21)

Acest fapt se aplică și în cazul drepturilor persoanelor ale căror date sunt prelucrate, în cazul obligațiilor instituțiilor și organelor comunitare responsabile de prelucrarea datelor și a competențelor de care dispune autoritatea independentă de supraveghere care răspunde de verificarea aplicării corecte a prezentului regulament.

(22)

Drepturile conferite persoanelor vizate și exercitarea acestora nu aduc atingere obligațiilor impuse operatorului.

(23)

Autoritatea de supraveghere independentă își exercită funcțiile de supraveghere în conformitate cu tratatul și cu respectarea drepturilor și libertăților fundamentale ale omului. Aceasta trebuie să își desfășoare anchetele în conformitate cu Protocolul privind privilegiile și imunitățile și cu Statutul funcționarilor Comunităților Europene, precum și cu regimul aplicabil altor agenți ai Comunităților.

(24)

Este necesar să se adopte măsurile tehnice necesare pentru a permite accesul la registrele prelucrărilor în curs care sunt ținute de către responsabilii cu protecția datelor prin intermediul autorității independente de supraveghere.

(25)

Este oportun ca deciziile autorității independente de supraveghere privind excepțiile, garanțiile, autorizațiile și condițiile privind prelucrarea datelor, așa cum sunt acestea definite de prezentul regulament, să fie publicate în raportul de activitate. Independent de publicarea unui raport anual de activitate, autoritatea independentă de supraveghere poate publica rapoarte privind teme specifice.

(26)

Anumite operațiuni de prelucrare a datelor care pot prezinta riscuri specifice în legătură cu drepturile și libertățile persoanelor vizate sunt supuse unei verificări prealabile de către autoritatea independentă de supraveghere. Avizul dat în contextul acestei verificări prealabile, inclusiv avizul care rezultă în absența unui răspuns în termenul stabilit, nu trebuie să aducă atingere exercitării ulterioare, de către autoritatea independentă de supraveghere, a competențelor sale în ceea ce privește prelucrarea respectivă.

(27)

Prelucrarea de date cu caracter personal în scopul îndeplinirii unor misiuni de interes public de către instituțiile și organele comunitare include prelucrarea datelor cu caracter personal necesare administrării și funcționării acestor instituții și organe.

(28)

În anumite cazuri, prelucrarea datelor trebuie autorizată prin dispoziții comunitare sau prin acte de transpunere a dispozițiilor comunitare. Cu toate acestea, cu titlu tranzitoriu, în cazul în care astfel de dispoziții nu există, urmând a fi adoptate, Autoritatea europeană pentru protecția datelor poate autoriza prelucrarea unor astfel de date cu condiția adoptării unor garanții adecvate. În acest sens, aceasta trebuie să ia în considerare, în mod special, dispozițiile adoptate de către statele membre pentru reglementarea unor cazuri similare.

(29)

Aceste cazuri privesc prelucrarea de date despre originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența sindicală, precum și prelucrarea de date privind starea de sănătate sau viața sexuală, care sunt necesare pentru a respecta drepturile și obligațiile specifice ale operatorului în materia dreptului muncii sau pentru un motiv de larg interes public. Totodată, acestea se referă la prelucrarea de date privind infracțiunile, condamnările penale ori măsurile de siguranță sau autorizarea privind supunerea persoanei vizate unei decizii care produce efecte juridice în ceea ce o privește pe aceasta sau care îi aduce atingere în mod semnificativ, decizie luată exclusiv pe temeiul prelucrării automatizate a datelor destinate evaluării anumitor aspecte ale personalității persoanei vizate.

(30)

Poate fi necesară monitorizarea rețelelor computerizate care funcționează sub controlul instituțiilor și organelor comunitare în vederea prevenirii utilizării lor neautorizate. Autoritatea europeană pentru protecția datelor trebuie să stabilească dacă și în ce condiții este posibil acest lucru.

(31)

Răspunderea care derivă din orice încălcare a prezentului regulament este reglementată de articolul 288 paragraful al doilea din tratat.

(32)

În cadrul fiecărei instituții sau organ comunitar, unul sau mai mulți responsabili cu protecția datelor trebuie să asigure aplicarea dispozițiilor prezentului regulament și să consilieze operatorii în îndeplinirea obligațiilor acestora.

(33)

În conformitate cu articolul 21 din Regulamentul (CE) nr. 322/97 al Consiliului din 17 februarie 1997 privind statisticile comunitare (6), regulamentul respectiv se aplică fără a aduce atingere Directivei 95/46/CE.

(34)

În conformitate cu articolul 8 alineatul (8) din Regulamentul (CE) nr. 2533/98 al Consiliului din 23 noiembrie 1998 privind colectarea de informații statistice de către Banca Centrală Europeană (7), regulamentul respectiv se aplică fără a aduce atingere Directivei 95/46/CE.

(35)

În conformitate cu articolul 1 alineatul (2) din Regulamentul (Euratom, CEE) nr. 1588/90 al Consiliului din 11 iunie 1990 privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene (8), regulamentul respectiv nu derogă de la dispozițiile speciale comunitare sau de drept intern privind păstrarea confidențialității, alta decât confidențialitatea statisticilor.

(36)

Prezentul regulament nu are ca scop limitarea spațiului de manevră al statelor membre în elaborarea propriului drept intern în materia protecției datelor în temeiul articolului 32 din Directiva 95/46/CE, în conformitate cu articolul 249 din tratat,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiectul regulamentului

(1)   În conformitate cu prezentul regulament, instituțiile și organele instituite de către sau în temeiul tratatelor de instituire a Comunităților Europene, denumite în continuare „instituții sau organe comunitare”, protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora la viață privată în ceea ce privește prelucrarea datelor cu caracter personal și nu limitează sau interzice libera circulație a datelor cu caracter personal între acestea sau către destinatarii aflați sub incidența legislației interne a statelor membre care pun în aplicare Directiva 95/46/CE.

(2)   Autoritatea independentă de supraveghere instituită în temeiul prezentului regulament, denumită în continuare Autoritatea europeană pentru protecția datelor, monitorizează aplicarea dispozițiilor prezentului regulament în cazul tuturor prelucrărilor de date efectuate de către o instituție sau un organ comunitar.

Articolul 2

Definiții

În sensul prezentului regulament:

(a)

„date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (denumită în continuare „persoana vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;

(b)

„prelucrarea datelor cu caracter personal” (denumită în continuare „prelucrare”) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automatizate sau neautomatizate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau în orice alt mod, alăturarea ori combinarea, precum și blocarea, ștergerea sau distrugerea;

(c)

„sistem de evidență a datelor cu caracter personal” (denumit în continuare „sistem de evidență”) înseamnă orice serie structurată de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;

(d)

„operator” înseamnă instituția sau organul comunitar, direcția generală, unitatea sau orice altă entitate organizațională care stabilește, singură sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele de prelucrare sunt stabilite printr-un act comunitar special, operatorul și criteriile specifice necesare desemnării acestuia pot fi stabilite printr-un astfel de act comunitar;

(e)

„persoana împuternicită de către operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care prelucrează datele cu caracter personal în numele operatorului;

(f)

„terț” înseamnă o persoană fizică sau juridică, autoritatea publică, agenția sau orice organism, altul decât persoana vizată, operatorul, persoana împuternicită de către operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de către operator, sunt autorizate să prelucreze datele;

(g)

„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau oricare alt organism căruia îi sunt transmise datele, indiferent dacă este sau nu terț; cu toate acestea, autoritățile cărora li se comunică date în cadrul unei anumite anchete nu trebuie să fie considerate destinatari;

(h)

„consimțământul persoanei vizate” înseamnă orice manifestare de voință, liberă, specifică și informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.

Articolul 3

Domeniul de aplicare

(1)   Prezentul regulament se aplică prelucrării de date cu caracter personal din cadrul tuturor instituțiilor și organelor comunitare în măsura în care această prelucrare este efectuată prin desfășurarea tuturor sau a unei părți a activităților care intră sub incidența dreptului comunitar.

(2)   Prezentul regulament se aplică prelucrării de date cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență.

CAPITOLUL II

NORME GENERALE PRIVIND LEGALITATEA PRELUCRĂRII DATELOR CU CARACTER PERSONAL

SECȚIUNEA 1

PRINCIPII REFERITOARE LA CALITATEA DATELOR

Articolul 4

Calitatea datelor

(1)   Datele cu caracter personal trebuie să fie:

(a)

prelucrate în mod corect și legal;

(b)

colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor cu caracter personal în scopuri istorice, statistice sau științifice nu este considerată incompatibilă în măsura în care operatorul ia măsurile de securitate adecvate, în special pentru a se asigura că datele nu sunt prelucrate în nici un alt scop și nici utilizate pentru a sprijini dispoziții sau decizii luate în privința unei persoane anume;

(c)

adecvate, relevante și neexcesive în raport cu scopurile pentru care sunt colectate și prelucrate ulterior;

(d)

exacte, și dacă este necesar, actualizate; pot fi luate orice măsuri justificate pentru ca datele inexacte sau incomplete să fie șterse sau rectificate, având în vedere scopurile pentru care acestea sunt colectate sau pentru care sunt ulterior prelucrate;

(e)

păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă de timp care nu o depășește pe cea necesară scopurilor pentru care au fost colectate sau pentru care sunt ulterior prelucrate. Instituțiile sau organele comunitare stabilesc ca datele cu caracter personal care urmează să fie păstrate pe perioade mai lungi decât perioada menționată în scopuri istorice, statistice sau științifice trebuie păstrate doar într-o formă anonimă sau, în cazul în care acest lucru nu este posibil, să fie stocate numai cu condiția codificării identității persoanei vizate. În orice caz, datele nu trebuie folosite în alte scopuri decât cele istorice, statistice sau științifice.

(2)   Asigurarea respectării dispozițiilor alineatului (1) incumbă operatorului.

SECȚIUNEA 2

CRITERII DE LEGITIMITATE A PRELUCRĂRII DE DATE

Articolul 5

Legalitatea prelucrării

Datele cu caracter personal pot fi prelucrate numai în cazul în care:

(a)

prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public în temeiul tratatelor de instituire a Comunităților Europene sau a altor instrumente legislative adoptate în temeiul tratatelor sau care aparțin de domeniul exercitării legitime a autorității publice cu care este învestită instituția sau organul comunitar sau un terț căruia îi sunt dezvăluite datele sau

(b)

prelucrarea este necesară pentru a se respecta obligația legală a operatorului sau

(c)

prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte contractantă sau pentru executarea unor dispoziții precontractuale adoptate la cererea persoanei vizate sau

(d)

persoana vizată și-a dat în mod clar consimțământul sau

(e)

prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate.

Articolul 6

Modificarea scopului

Fără a aduce atingere articolelor 4, 5 și 10:

1.

Datele cu caracter personal nu pot fi prelucrate în alte scopuri decât cele pentru care au fost colectate decât în cazul în care modificarea scopului este permisă expres de normele interne ale instituției sau organului comunitar.

2.

Datele cu caracter personal colectate exclusiv în scopul asigurării securității sau controlului sistemelor sau operațiunilor de prelucrare nu pot fi utilizate în alt scop, cu excepția prevenirii, cercetării, depistării și urmăririi infracțiunilor grave.

Articolul 7

Transferul datelor cu caracter personal între instituții sau organe comunitare sau în cadrul acestora

Fără a aduce atingere articolelor 4, 5, 6 și 10:

1.

Datele cu caracter personal nu sunt transferate între instituții sau organe comunitare sau în cadrul acestora decât în cazul în care sunt necesare pentru îndeplinirea legitimă a sarcinilor care sunt de competența destinatarului.

2.

În cazul în care datele sunt transferate ca urmare a unei cereri a destinatarului, atât operatorul, cât și destinatarul își asumă răspunderea pentru legitimitatea acestui transfer.

Operatorul este obligat să verifice competența destinatarului și să facă o evaluare provizorie a necesității transferului de date. În cazul în care apar îndoieli în privința necesității acestui transfer, operatorul solicită destinatarului mai multe informații.

Destinatarul se asigură că necesitatea transferului de date poate fi verificată ulterior.

(3)

Destinatarul prelucrează datele cu caracter personal numai în scopurile care au determinat transferul.

Articolul 8

Transferul de date cu caracter personal către destinatari, alții decât instituțiile și organele comunitare, reglementat de Directiva 95/46/CE

Fără a aduce atingere articolelor 4, 5, 6 și 10, datele cu caracter personal sunt transferate numai către destinatari aflați sub incidența legislației interne adoptate pentru punerea în aplicare a Directivei 95/46/CE,

(a)

în cazul în care destinatarul demonstrează că datele sunt necesare pentru îndeplinirea unei sarcini de interes public sau că țin de domeniul exercitării autorității publice sau

(b)

în cazul în care destinatarul demonstrează că există necesitatea transferului de date și în care nu există nici un motiv să se presupună că transferul ar putea aduce atingere intereselor legitime ale persoanei vizate.

Articolul 9

Transferul de date cu caracter personal către destinatari, alții decât instituțiile și organele comunitare, care nu este reglementat de Directiva 95/46/CE

(1)   Datele cu caracter personal sunt transferate către destinatari, alții decât instituțiile și organele comunitare, care nu se supun legislației interne adoptate în aplicarea Directivei 95/46/CE, numai în cazul în care este asigurat un nivel adecvat de protecție în țara destinatarului sau în cadrul organizației internaționale destinatare și în care datele sunt transferate exclusiv pentru a permite îndeplinirea sarcinilor care sunt de competența operatorului.

(2)   Caracterul adecvat al nivelului de protecție oferit de către țara terță sau organizația internațională în cauză este evaluat în lumina tuturor factorilor prezenți într-o operațiune sau ansamblu de operațiuni de transfer de date; se acordă o atenție specială tipului de date, scopului și duratei operațiunii sau operațiunilor de prelucrare propuse, țării terțe sau organizației internaționale destinatare, legislației, atât generale cât și sectoriale, în vigoare în țara terță sau în cadrul organizației internaționale în cauză și normelor profesionale și măsurilor de securitate care sunt aplicate în țara terță sau organizația internațională.

(3)   Instituțiile și organele comunitare informează Comisia și Autoritatea europeană pentru protecția datelor despre situațiile în care consideră că țara sau organizația internațională în cauză nu asigură un nivel adecvat de protejare în condițiile menționate la alineatul (2).

(4)   Comisia informează statele membre despre cazurile menționate la alineatul (3).

(5)   Instituțiile și organele comunitare iau măsurile necesare pentru a se conforma deciziilor luate de către Comisie, care hotărăște, în conformitate cu articolul 25 alineatele (4) și (6) din Directiva 95/46/CE, dacă o țară terță sau o organizație internațională asigură sau nu un nivel adecvat de protecție.

(6)   Prin derogare de la alineatele (1) și (2), instituția sau organul comunitar poate transfera date cu caracter personal în cazul în care:

(a)

persoana vizată și-a dat în mod clar acordul pentru transferul propus sau

(b)

transferul este necesar pentru executarea unui contract între persoana vizată și operator sau pentru executarea unor dispoziții precontractuale adoptate la cererea persoanei vizate sau

(c)

transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate, între operator și un terț sau

(d)

transferul este necesar sau impus prin lege din motive de larg interes public, sau pentru constatarea, exercitarea sau apărarea unui drept în justiție sau

(e)

transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau

(f)

transferul este efectuat dintr-un registru care, în conformitate cu legislația comunitară, are rolul de a oferi informații publicului și care este deschis spre consultare fie publicului în general, fie oricărei persoane care justifică un interes legitim, în măsura în care condițiile stabilite prin legislația comunitară pentru consultarea sa sunt îndeplinite pentru fiecare caz în parte.

(7)   Fără a aduce atingere alineatului (6), Autoritatea europeană pentru protecția datelor poate autoriza un transfer sau un ansamblu de transferuri de date cu caracter personal către o țară terță sau o organizație internațională care nu asigură un nivel adecvat de protecție în condițiile stabilite la alineatele (1) și (2), cazuri în care operatorul prezintă garanții adecvate în privința protejării vieții private și a drepturilor și libertăților fundamentale ale persoanelor, precum și în privința exercitării drepturilor conexe; astfel de garanții pot decurge în special din clauze contractuale adecvate.

(8)   Instituțiile și organele comunitare informează Autoritatea europeană pentru protecția datelor despre categoriile de cazuri în care au pus în aplicare alineatele (6) și (7).

SECȚIUNEA 3

CATEGORII SPECIALE DE PRELUCRARE

Articolul 10

Prelucrarea unor categorii speciale de date

(1)   Este interzisă prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală.

(2)   Alineatul (1) nu se aplică atunci când:

(a)

persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date, cu excepția cazului în care normele interne ale instituției sau organului comunitar prevăd ca interdicția menționată la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate sau

(b)

prelucrarea este necesară în scopul respectării obligațiilor și drepturilor specifice ale operatorului în materie de drept al muncii, în măsura în care este autorizat de tratatele de instituire a Comunităților Europene sau de alte instrumente legislative adoptate în temeiul acestora, sau, dacă este necesar, în măsura în care este acceptat de către Autoritatea europeană pentru protecția datelor, cu condiția adoptării unor garanții adecvate sau

(c)

prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să își dea consimțământul sau

(d)

prelucrarea se referă la date care sunt făcute publice de către persoana vizată în mod manifest sau este necesară pentru constatarea, exercitarea sau apărarea unui drept în justiție sau

(e)

prelucrarea este efectuată, în cursul activităților legitime ale acestuia și cu garanții adecvate, de către un organism non-profit care se constituie ca entitate care face parte integrantă dintr-o instituție sau organ comunitar, care nu intră sub incidența dreptului intern aplicabil în materia protecției datelor în temeiul articolului 4 din Directiva 95/46/CE și care are un specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se raporteze exclusiv la membrii acestui organism sau la persoane aflate în permanent contact cu acesta ca urmare a obiectivelor sale și ca datele să nu fie dezvăluite unui terț fără consimțământul persoanelor vizate.

(3)   Alineatul (1) nu se aplică atunci când prelucrarea datelor este necesară în scopuri legate de medicina preventivă, de stabilirea diagnosticelor medicale, de administrarea unor îngrijirii sau tratamente ori de gestionarea serviciilor de sănătate și atunci când datele sunt prelucrate de un cadru medical supus secretului profesional sau de către altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește secretul.

(4)   Sub rezerva unor garanții corespunzătoare și pentru un motiv de interes public important pot fi prevăzute de tratatele de instituire a Comunităților Europene sau de alte instrumente legislative adoptate în temeiul acestora, derogări, altele decât cele prevăzute la alineatul (2), sau, dacă este necesar, prin decizia Autorității europene pentru protecția datelor.

(5)   Prelucrarea datelor referitoare la infracțiuni, condamnări penale sau măsuri de siguranță poate fi efectuată numai în cazul în care este autorizată prin tratatele de instituire a Comunităților Europene sau de alte instrumente legislative adoptate în temeiul acestora sau, dacă este necesar, de către Autoritatea europeană pentru protecția datelor, sub rezerva unor garanții speciale și corespunzătoare.

(6)   Autoritatea europeană pentru protecția datelor stabilește condițiile în care un număr personal sau orice alt element de identificare cu aplicare generală poate fi prelucrat de către o instituție sau un organ comunitar.

SECȚIUNEA 4

INFORMAȚII CARE SE COMUNICĂ PERSOANEI VIZATE

Articolul 11

Informațiile care urmează să fie furnizate în cazul în care datele au fost colectate de la persoana vizată

(1)   Operatorul furnizează persoanei de la care sunt colectate date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a)

identitatea operatorului;

(b)

scopurile prelucrării căreia îi sunt destinate datele;

(c)

destinatarii sau categoriile de destinatari ai datelor;

(d)

caracterul obligatoriu sau facultativ al răspunsului la întrebări, precum și consecințele posibile în cazul absenței unui răspuns;

(e)

existența dreptului de acces la datele care o privesc și de rectificare a acestor date;

(f)

orice alte informații suplimentare, cum ar fi:

(i)

temeiul juridic al prelucrării pentru care sunt destinate datele;

(ii)

termenele de stocare a datelor;

(iii)

dreptul de a sesiza în orice moment Autoritatea europeană pentru protecția datelor,

în măsura în care astfel de informații suplimentare sunt necesare, având în vedere circumstanțele speciale în care datele sunt colectate, pentru a garanta, în ceea ce privește persoana vizată, o prelucrare corectă a datelor.

(2)   Prin derogare de la alineatul (1), comunicarea de informații sau elemente ale acestora, cu excepția informațiilor menționate la alineatul (1) literele (a), (b) și (d) poate fi amânată atât cât este necesar în scopuri statistice. Informațiile trebuie comunicate de îndată ce motivul pentru care acestea nu au fost dezvăluite încetează să existe.

Articolul 12

Informațiile care urmează să fie furnizate în cazul în care datele nu au fost colectate de la persoana vizată

(1)   În cazul în care datele nu au fost colectate de la persoana vizată, operatorul trebuie să furnizeze persoanei vizate, în momentul înregistrării datelor sau, dacă se are în vedere o comunicare a datelor către un terț, nu mai târziu de momentul în care datele sunt comunicate prima dată, cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a)

identitatea operatorului;

(b)

scopurile prelucrării;

(c)

categoriile de date avute în vedere;

(d)

destinatarii sau categoriile de destinatari ai datelor;

(e)

existența dreptului de acces la datele care o privesc și de rectificare a acestor date;

(f)

oricare alte informații suplimentare, cum ar fi:

(i)

temeiul juridic al prelucrării pentru care sunt destinate datele;

(ii)

termenele de stocare a datelor;

(iii)

dreptul de a sesiza în orice moment Autoritatea europeană pentru protecția datelor;

(iv)

originea datelor, cu excepția cazului în care operatorul nu poate divulga această informație din motive de secret profesional,

în măsura în care astfel de informații suplimentare sunt necesare, având în vedere circumstanțele speciale în care datele sunt colectate, pentru a garanta, în ceea ce privește persoana vizată, o prelucrare corectă a datelor.

(2)   Alineatul (1) nu se aplică atunci când, în special în cazul prelucrării în scopuri statistice sau de cercetare istorică ori științifică, informarea persoanei vizate se dovedește a fi imposibilă, implică eforturi disproporționate sau dacă legislația comunitară prevede expres înregistrarea ori comunicarea datelor. În aceste cazuri, instituția sau organul comunitar prevede garanții corespunzătoare, după consultarea Autorității europene pentru protecția datelor.

SECȚIUNEA 5

DREPTURILE PERSOANEI VIZATE

Articolul 13

Dreptul de acces

Persoana vizată are dreptul de a obține de la operator, fără constrângere, în orice moment în termen de trei luni de la primirea cererii și în mod gratuit:

(a)

confirmarea că datele care o privesc sunt sau nu sunt prelucrate;

(b)

informații referitoare la scopul prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;

(c)

comunicarea într-o formă inteligibilă a datelor care fac obiectul prelucrării, precum și a altor informații disponibile cu privire la originea datelor;

(d)

informații privind logica subiacentă oricărei prelucrări automatizate a datelor care o privesc.

Articolul 14

Rectificarea

Persoana vizată are dreptul de a obține de la operator rectificarea fără întârziere a datelor cu caracter personal inexacte sau incomplete.

Articolul 15

Blocarea datelor

(1)   Persoana vizată are dreptul de a obține din partea operatorului blocarea datelor în cazul în care:

(a)

acuratețea acestora este contestată de către persoana vizată, într-un termen care să îi permită operatorului să verifice acuratețea, precum și exhaustivitatea datelor sau

(b)

operatorul nu mai are nevoie de acestea pentru îndeplinirea sarcinilor sale, însă datele trebuie păstrate cu titlu probatoriu sau

(c)

prelucrarea este ilegală și persoana vizată se opune ștergerii, solicitând, în schimb, blocarea datelor.

(2)   În ceea ce privește fișierele automatizate, blocarea este, în principal, asigurată prin mijloace tehnice. Faptul că datele cu caracter personal sunt blocate este indicat în sistem astfel încât să devină clar că aceste date nu pot fi utilizate.

(3)   Datele cu caracter personal care au fost blocate în aplicarea prezentului articol nu sunt prelucrate, cu excepția stocării acestora, exclusiv în scop probatoriu, sau cu consimțământul persoanei vizate, sau pentru protejarea drepturilor terților.

(4)   Persoana vizată care a solicitat și a obținut blocarea datelor care o privesc este informată de către operator despre deblocare, înainte ca datele să fie deblocate.

Articolul 16

Ștergerea

Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor în cazul în care prelucrarea acestora este ilegală, în special în cazul încălcării dispozițiilor secțiunilor 1, 2 și 3 ale capitolului II.

Articolul 17

Notificarea terților

Persoana vizată are dreptul de a obține din partea operatorului notificarea unui terț căruia i-au fost comunicate datele în ceea ce privește orice rectificare, ștergere sau blocare în conformitate cu articolele 13-16, cu excepția cazului în care acest lucru este imposibil sau presupune un efort disproporționat.

Articolul 18

Dreptul la opoziție al persoanei vizate

Persoana vizată are dreptul:

(a)

de a se opune în orice moment, din motive întemeiate și legitime legate de situația sa particulară, ca datele care o privesc să facă obiectul unei prelucrări, cu excepția cazurilor prevăzute la articolul 5 literele (b), (c) și (d). În cazul în care opoziția este justificată, prelucrarea în cauză nu mai poate viza aceste date;

(b)

de a fi informată înainte ca datele cu caracter personal să fie comunicate pentru prima dată terților sau înainte ca datele să fie utilizate în numele terților în scopul marketingului direct și de a i se oferi în mod expres dreptul de a se opune, în mod gratuit, la această comunicare sau utilizare.

Articolul 19

Deciziile individuale automatizate

Persoana vizată are dreptul de a nu face obiectul unei decizii producătoare de efecte juridice asupra sa sau care să îi aducă atingere în mod semnificativ și care să fie întemeiată exclusiv pe prelucrarea automatizată a datelor destinată să evalueze anumite aspecte ale personalității sale, cum ar fi randamentul profesional, credibilitatea sau conduita, cu excepția cazului în care decizia este autorizată în mod expres în temeiul legislației interne sau comunitare sau, dacă este necesar, de către Autoritatea europeană pentru protecția datelor. În ambele cazuri, trebuie luate măsuri de garantare a intereselor legitime ale persoanei vizate, cum ar fi măsurile care să permită exprimarea punctului propriu de vedere.

SECȚIUNEA 6

EXCEPȚII ȘI RESTRICȚII

Articolul 20

Excepții și restricții

(1)   Instituțiile și organele comunitare pot limita aplicarea articolului 4 alineatul (1), a articolului 11, a articolului 12 alineatul (1), a articolelor 13-17 și a articolului 37 alineatul (1) în cazul în care o astfel de restricție constituie o măsură necesară pentru:

(a)

a asigura prevenirea, cercetarea, depistarea și urmărirea în justiție a infracțiunilor;

(b)

a proteja un interes financiar sau economic important al unui stat membru sau al Comunităților Europene, inclusiv în domeniile monetar, bugetar sau fiscal;

(c)

a garanta protecția persoanei vizate sau a drepturilor și libertăților altora;

(d)

a asigura siguranța națională, siguranța publică și apărarea statelor membre;

(e)

a asigura o funcție de monitorizare, de inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (a) și (b).

(2)   Articolele 13-16 nu se aplică în cazul în care datele sunt prelucrate exclusiv în scopuri de cercetare științifică sau sunt stocate sub formă de date cu caracter personal pentru o perioadă de timp care să nu depășească perioada necesară unicului scop de a realiza statistici, cu condiția să nu existe nici un risc de atingere adusă vieții private a persoanei vizate și ca operatorul să ofere garanții juridice corespunzătoare, în special să se asigure că datele nu sunt utilizate pentru luarea de măsuri sau decizii privind persoane determinate.

(3)   În cazul în care se impune aplicarea unei restricții prevăzute la alineatul (1), persoana vizată este informată în conformitate cu dreptul comunitar asupra principalelor motive pe care se întemeiază restricția respectivă și asupra dreptului acesteia de a sesiza Autoritatea europeană pentru protecția datelor.

(4)   În cazul în care se invocă o restricție prevăzută la alineatul (1) pentru a refuza accesul persoanei vizate, Autoritatea europeană pentru protecția datelor doar o informează, pe parcursul investigării plângerii, dacă datele au fost prelucrate corect și, în caz contrar, dacă au fost efectuate rectificările necesare.

(5)   Furnizarea informației menționate la alineatele (3) și (4) poate fi amânată atât timp cât această informație lipsește de efect restricția impusă de alineatul (1).

SECȚIUNEA 7

CONFIDENȚIALITATEA ȘI SECURITATEA PRELUCRĂRILOR

Articolul 21

Confidențialitatea prelucrărilor

O persoană angajată de o instituție sau un organ comunitar, precum și instituțiile sau organele comunitare care acționează în calitate de persoană împuternicită de către operator, cu acces la date cu caracter personal, nu pot prelucra datele decât pe baza instrucțiunile operatorului, cu excepția cazului în care legislația internă sau comunitară impune acest lucru.

Articolul 22

Securitatea prelucrărilor

(1)   Având în vedere stadiul actual al tehnicii și costurile implementării acesteia, operatorul pune în aplicare măsurile organizaționale și tehnice adecvate pentru a asigura un nivel de securitate în concordanță cu riscurile reprezentate de către prelucrarea și tipul datelor cu caracter personal care trebuie protejate.

Aceste măsuri se iau în mod special pentru a preveni orice dezvăluire sau acces neautorizat, distrugerea ilegală sau accidentală sau pierderea accidentală, sau modificarea, precum și pentru a preveni orice altă modalitate ilegală de prelucrare.

(2)   În cazul în care datele cu caracter personal fac obiectul unei prelucrări automatizate, se iau măsuri adecvate riscurilor, în special cu scopul:

(a)

de a împiedica accesul oricărei persoane neautorizate la sistemele computerizate de prelucrare a datelor cu caracter personal;

(b)

de a împiedica orice citire, copiere, modificare sau eliminare a suporturilor de stocare;

(c)

de a împiedica orice introducere neautorizată de date în memorie, precum și orice divulgare, modificare sau ștergere neautorizată a datelor cu caracter personal memorate;

(d)

de a împiedica persoanele neautorizate să utilizeze sistemele de prelucrare a datelor prin intermediul mijloacelor de transmitere a datelor;

(e)

de a garanta faptul că utilizatorii autorizați ai sistemelor de prelucrare a datelor nu pot accesa decât acele date cu caracter personal pe care dreptul lor de acces le permite să le consulte;

(f)

de a înregistra datele cu caracter personal care au fost comunicate, momentul în care au fost comunicate și destinatarul acestora;

(g)

de a garanta că se poate verifica ulterior care date cu caracter personal care au fost prelucrate, în ce moment și cine a efectuat prelucrarea;

(h)

de a garanta că datele cu caracter personal prelucrate în numele unor terți pot fi prelucrate numai în modul prevăzută de către instituția sau organul contractant;

(i)

de a garanta faptul că, din momentul comunicării datelor cu caracter personal și transportului suporturilor de stocare, datele nu pot fi citite, copiate sau șterse fără autorizare;

(j)

de a concepe structura organizațională internă a unei instituții sau a unui organ astfel încât să fie îndeplinite cerințele speciale de protecție a datelor.

Articolul 23

Prelucrarea datelor cu caracter personal în numele operatorului

(1)   În cazul în care prelucrarea se efectuează în numele său, operatorul alege o persoană împuternicită care să ofere garanții suficiente în privința măsurilor de securitate tehnică și organizaționale prevăzute la articolul 22 și asigură respectarea acestor măsuri.

(2)   Efectuarea prelucrărilor prin reprezentare trebuie să fie reglementată printr-un contract sau un act juridic care să oblige persoana împuternicită față de operator și care prevede, în special, că:

(a)

persoana împuternicită de către operator acționează numai în conformitate cu instrucțiunile operatorului;

(b)

obligațiile menționate la articolele 21 și 22 incumbă în egală măsură persoanei împuternicite de către operator, cu excepția cazului în care, în temeiul articolului 16 sau al articolului 17 alineatul (3) a doua liniuță din Directiva 95/46/CE, persoana împuternicită de către operator se supune deja obligațiilor privind confidențialitatea și securitatea stabilite de legislația internă a unuia dintre statele membre.

(3)   În scopul păstrării dovezilor, elementele contractului sau actului juridic privind protecția datelor și cerințele privind măsurile menționate la articolul 22 sunt în formă scrisă sau într-o altă formă echivalentă.

SECȚIUNEA 8

RESPONSABILUL CU PROTECȚIA DATELOR

Articolul 24

Desemnarea și sarcinile responsabilului cu protecția datelor

(1)   Fiecare instituție sau organ comunitar desemnează cel puțin o persoană drept responsabil cu protecția datelor. Atribuțiile acestei persoane sunt următoarele:

(a)

de a se asigura că operatorii și persoanele vizate sunt informați în privința drepturilor și obligațiilor lor în temeiul prezentului regulament;

(b)

de a răspunde la cererile Autorității europene pentru protecția datelor și în cadrul domeniului său de competență, de a coopera cu Autoritatea europeană pentru protecția datelor la cererea acesteia din urmă sau din proprie inițiativă;

(c)

de a asigura într-o manieră independentă aplicarea internă a dispozițiilor prezentului regulament;

(d)

de a păstra un registru al prelucrărilor efectuate de către operator, conținând informațiile menționate la articolul 25 alineatul (2);

(e)

de a notifica Autoritatea europeană pentru protecția datelor despre operațiunile de prelucrare care pot prezenta riscuri specifice în condițiile menționate la articolul 27.

Această persoană se asigură prin urmare că prin prelucrare nu li se aduce atingere drepturilor și libertăților persoanelor vizate.

(2)   Responsabilul cu protecția datelor este ales pe baza calităților sale personale și profesionale și, în special, pe baza expertizei în materie de protecție a datelor.

(3)   Alegerea responsabilului cu protecția datelor nu trebuie să genereze un conflict de interese între atribuțiile sale în calitate de responsabil și orice altă atribuții oficiale, în special în legătură cu aplicarea dispozițiilor prezentului regulament.

(4)   Responsabilul cu protecția datelor este numit pentru o perioadă de la doi până la cinci ani. Mandatul acestuia poate fi reînnoit, durata totală neputând să depășească zece ani. Acesta nu poate fi eliberată din funcția de responsabil cu protecția datelor de către instituția sau organul comunitar care a l-a desemnat decât cu acordul Autorității europene pentru protecția datelor, în cazul în care nu mai îndeplinește condițiile impuse de exercitarea atribuțiilor sale.

(5)   După numirea responsabilului cu protecția datelor, numele acestuia se comunică Autorității europene pentru protecția datelor de către instituția sau organul care l-a desemnat.

(6)   Instituția sau organul comunitar care a numit responsabilul cu protecția datelor îi asigură personalul și resursele necesare desfășurării atribuțiilor sale.

(7)   În privința îndeplinirii atribuțiilor sale, responsabilul cu protecția datelor nu poate primi nici un fel de instrucțiuni.

(8)   Fiecare instituție sau organ comunitar, în conformitate cu dispozițiile din anexă, adoptă dispoziții suplimentare de punere în aplicare. Dispozițiile suplimentare de punere în aplicare se referă în special la sarcinile, atribuțiilor și competențele responsabilului cu protecția datelor.

Articolul 25

Notificarea responsabilului cu protecția datelor

(1)   Operatorul notifică în avans responsabilului cu protecția datelor despre orice prelucrare sau serie de prelucrări destinate unuia sau mai multor scopuri asemănătoare.

(2)   Informațiile care urmează a fi furnizate includ:

(a)

numele și adresa operatorului și indicarea serviciilor instituției sau organului căruia i-a fost încredințată prelucrarea datelor cu caracter personal într-un anumit scop;

(b)

scopul sau scopurile prelucrării;

(c)

descrierea categoriei sau a categoriilor de persoane vizate și a datelor sau a categoriilor de date referitoare la acestea;

(d)

temeiul juridic al operațiunii de prelucrare căreia îi sunt destinate datele;

(e)

destinatarii sau categoriile de destinatari cărora le pot fi dezvăluite datele;

(f)

o indicație generală a termenelor limită pentru blocarea și ștergerea diferitelor categorii de date;

(g)

transferurile de date propuse către țări terțe sau organizații internaționale;

(h)

o descriere generală care să permită o evaluare preliminară a adecvării măsurilor luate în conformitate cu articolul 22 pentru a asigura securitatea prelucrării.

(3)   Responsabilul cu protecția datelor cu caracter personal este informat cu privire la orice schimbare care aduce atingere informațiilor menționate la alineatul (2).

Articolul 26

Registrul

Fiecare responsabil cu protecția datelor ține un registru al operațiunilor de prelucrare notificate în temeiul articolului 25.

Registrele conțin cel puțin informațiile menționate la articolul 25 alineatul (2) literele (a)-(g). Registrele pot fi verificate de orice persoană direct sau indirect prin intermediul Autorității europene pentru protecția datelor.

SECȚIUNEA 9

VERIFICAREA PREALABILĂ EFECTUATĂ DE AUTORITATEA EUROPEANĂ PENTRU PROTECȚIA DATELOR ȘI OBLIGAȚIA DE COOPERARE

Articolul 27

Verificarea prealabilă

(1)   Operațiunile de prelucrare care pot prezenta riscuri specifice prin natura, domeniul de aplicare sau scopurile lor privind drepturile și libertățile persoanelor vizate fac obiectul unei verificări prealabile de către Autoritatea europeană pentru protecția datelor.

(2)   Următoarele operațiuni de prelucrare prezintă astfel de riscuri potențiale:

(a)

prelucrarea de date referitoare la starea de sănătate și la presupuse infracțiuni, infracțiuni, condamnări penale sau măsurile de siguranță;

(b)

operațiunile de prelucrare destinate evaluării aspectelor personalității persoanei vizate, inclusiv a competenței, a randamentului sau a conduitei;

(c)

operațiunile de prelucrare care permit conexiuni care nu sunt prevăzute de legislațiile interne sau de legislația comunitară între datele prelucrate în diferite scopuri;

(d)

operațiunile de prelucrare în scopul privării persoanelor de un drept, beneficiu sau contract.

(3)   Verificările prealabile sunt efectuate de către Autoritatea europeană pentru protecția datelor în urma unei notificări primite de la responsabilul cu protecția datelor care, în cazul îndoielii cu privire la necesitatea verificării prealabile, consultă Autoritatea europeană pentru protecția datelor.

(4)   Autoritatea europeană pentru protecția datelor emite avizul în termen de două luni de la primirea notificării. Acest termen poate fi suspendat până când Autoritatea europeană pentru protecția datelor obține informațiile suplimentare pe care le-a solicitat. Atunci când complexitatea problemei o cere, acest termen poate fi, de asemenea, prelungit pentru încă două luni, prin decizia Autorității europene pentru protecția datelor. Această decizie este notificată operatorului înainte de expirarea termenului inițial de două luni.

În cazul în care în termen de două luni, eventual prorogat, avizul nu a fost emis, acesta este considerat favorabil.

În cazul în care din avizul Autorității europene pentru protecția datelor rezultă că prelucrarea notificată poate implica o încălcare a unei dispoziții a prezentului regulament, aceasta face, după caz, propunerile adecvate pentru a evita o astfel de încălcare. În cazul în care operatorul nu modifică în mod corespunzător operațiunea de prelucrare, Autoritatea europeană pentru protecția datelor își poate exercita competențele care i-au fost conferite prin articolul 47 alineatul (1).

(5)   Autoritatea europeană pentru protecția datelor păstrează un registru al tuturor operațiunilor de prelucrare care i-au fost notificate în temeiul alineatului (2). Registrul conține informațiile menționate la articolul 25 și poate fi consultat de către orice persoană.

Articolul 28

Consultarea

(1)   Instituțiile și organele comunitare informează Autoritatea europeană pentru protecția datelor în cazul elaborării de măsuri administrative referitoare la prelucrarea datelor cu caracter personal care implică o instituție sau un organ comunitar de sine stătător sau împreună cu altele.

(2)   În cazul în care adoptă o propunere legislativă referitoare la protecția drepturilor și libertăților persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, Comisia consultă Autoritatea europeană pentru protecția datelor.

Articolul 29

Obligația de a furniza informații

Instituțiile și organele comunitare informează Autoritatea europeană pentru protecția datelor cu privire la măsurile adoptate ca urmare a deciziilor sau a autorizărilor sale prevăzute la articolul 46 litera (h).

Articolul 30

Obligația de a coopera

La cererea Autorității europene pentru protecția datelor, operatorii îi acordă asistență în îndeplinirea atribuțiilor sale, în special prin furnizarea informațiilor menționate la articolul 47 alineatul (2) litera (a) și prin asigurarea accesului prevăzut la articolul 47 alineatul (2) litera (b).

Articolul 31

Obligația de a răspunde la alegații

Ca răspuns la exercitarea competențelor Autorității europene pentru protecția datelor, astfel cum îi sunt conferite prin articolul 47 alineatul (1) litera (b), operatorul vizat informează autoritatea europeană cu privire la opinia sa într-un termen rezonabil stabilit de către autoritatea europeană. Acest aviz conține, de asemenea, o descriere a măsurilor întreprinse, în cazul în care acestea există, ca răspuns la observațiile Autorității europene pentru protecția datelor.

CAPITOLUL III

CĂILE DE ATAC

Articolul 32

Acțiuni

(1)   Curtea de Justiție a Comunităților Europene are competența de soluționare a oricărui litigiu privind dispozițiile prezentului regulament, inclusiv asupra cererilor de despăgubire.

(2)   Fără a aduce atingere unei acțiuni jurisdicționale, orice persoană vizată poate depune o plângere la Autoritatea europeană pentru protecția datelor în cazul în care aceasta consideră că drepturile care i-au fost recunoscute prin articolul 286 din tratat au fost încălcate ca urmare a prelucrării datelor cu caracter personal care o privesc de către o instituție sau un organ comunitar.

În absența unui răspuns din partea Autorității europene pentru protecția datelor în termen de șase luni, plângerea este considerată respinsă.

(3)   Deciziile Autorității europene pentru protecția datelor pot face obiectul unei acțiuni în fața Curții de Justiție a Comunităților Europene.

(4)   Orice persoană care a suferit un prejudiciu datorită prelucrării ilegale sau oricărei acțiuni incompatibile cu prezentul regulament are dreptul de a obține repararea prejudiciului în conformitate cu articolul 288 din tratat.

Articolul 33

Plângeri ale personalului comunitar

Orice persoană angajată în cadrul unei instituții sau a unui organ comunitar poate depune o plângere la Autoritatea europeană pentru protecția datelor privind o presupusă încălcare a dispozițiilor prezentului regulament care reglementează prelucrarea datelor cu caracter personal, fără a întreprinde demersuri pe căi oficiale. Nimeni nu trebuie să sufere un prejudiciu ca urmare a depunerii unei plângeri la Autoritatea europeană pentru protecția datelor privind o presupusă încălcare a dispozițiilor ce reglementează prelucrarea datelor cu caracter personal.

CAPITOLUL IV

PROTEJAREA DATELOR CU CARACTER PERSONAL ȘI A VIEȚII PRIVATE ÎN CONTEXTUL REȚELELOR INTERNE DE TELECOMUNICAȚII

Articolul 34

Domeniul de aplicare

Fără a aduce atingere celorlalte dispoziții ale prezentului regulament, prezentul capitol se aplică prelucrării datelor cu caracter personal privind utilizarea rețelelor de telecomunicații sau a echipamentelor terminale care funcționează sub controlul unei instituții sau al unui organ comunitar.

În sensul prezentului capitol, „utilizator” înseamnă orice persoană fizică care folosește o rețea de telecomunicații sau un echipament terminal care funcționează sub controlul unei instituții sau al unui organ comunitar.

Articolul 35

Măsuri de securitate

(1)   Instituțiile și organele comunitare iau măsurile tehnice și organizaționale adecvate pentru a garanta securitatea utilizării rețelelor de telecomunicații și a echipamentelor terminale, dacă este necesar, împreună cu furnizorii serviciilor de telecomunicații accesibile publicului sau cu furnizorii de rețele publice de telecomunicații. Aceste măsuri garantează un nivel de securitate adecvat riscului existent, ținând seama de stadiul actual al tehnicii și de costurile legate de punerea în aplicare a măsurilor menționate.

(2)   În cazul in care există un risc specific care nu mai permite garantarea securității rețelei sau echipamentelor terminale, instituția sau organul comunitar în cauză informează utilizatorii cu privire la existența acestuia, precum și asupra oricăror remedii posibile și mijloace de comunicații alternative.

Articolul 36

Confidențialitatea comunicațiilor

Instituțiile și organele comunitare asigură confidențialitatea comunicațiilor realizate prin intermediul rețelelor de telecomunicații și a echipamentelor terminale, cu respectarea principiilor generale ale dreptului comunitar.

Articolul 37

Date privind traficul și facturarea

(1)   Fără a aduce atingere alineatelor (2), (3) și (4), datele privind traficul referitoare la utilizatori și care sunt prelucrate și stocate în scopul stabilirii comunicațiilor sau altor tipuri de conexiuni, în cadrul rețelei de telecomunicații sunt șterse sau devin anonime la terminarea comunicației sau a altui tip de conexiune.

(2)   Dacă este necesar, datele privind traficul, astfel cum sunt înregistrate într-o listă aprobată de Autoritatea europeană pentru protecția datelor, pot fi prelucrate în scopul gestionării bugetului de telecomunicații și traficului, inclusiv verificarea utilizării autorizate a sistemelor de telecomunicații. Aceste date sunt șterse sau devin anonime cât mai curând posibil, dar nu mai târziu de șase luni de la colectarea acestora, cu excepția cazului în care este necesară conservarea lor ulterioară pentru constatarea, exercitarea sau apărarea unui drept în cadrul unei acțiuni în justiție.

(3)   Prelucrarea datelor privind traficul și facturarea se efectuează numai de către persoane responsabile de facturare, trafic sau gestionarea bugetului.

(4)   Utilizatorii rețelelor de telecomunicații au dreptul să primească facturi sau alte înregistrări nedetaliate ale convorbirilor telefonice efectuate.

Articolul 38

Anuare de utilizatori

(1)   Datele cu caracter personal conținute în anuarele de utilizatori tipărite sau electronice și accesul la aceste anuare sunt limitate la ceea ce este strict necesar pentru scopurile specifice ale anuarului.

(2)   Instituțiile și organele comunitare iau toate măsurile necesare pentru a împiedica folosirea datelor cu caracter personal conținute în aceste anuare în scopuri de marketing direct indiferent dacă datele sunt accesibile sau nu publicului.

Articolul 39

Identificarea liniei apelante și a liniei conectate și restricționarea acestei funcții

(1)   În cazul în care se oferă serviciul de identificare a liniei apelante, utilizatorul apelant trebuie să aibă posibilitatea de a dezactiva, printr-un mijloc simplu și gratuit, identificarea liniei apelante.

(2)   În cazul în care se oferă serviciul de identificare a liniei apelante, utilizatorul apelat trebuie să aibă posibilitatea de a dezactiva, printr-un mijloc simplu și gratuit, identificarea apelurilor primite.

(3)   În cazul în care se oferă serviciul de identificare a liniei conectate, utilizatorul apelat trebuie să aibă posibilitatea de a dezactiva, printr-un mijloc simplu și gratuit, identificarea liniei conectate de către apelant.

(4)   În cazul în care se oferă serviciul de identificare a liniei apelante sau conectate, instituțiile și organele comunitare informează utilizatorii despre această situație, precum și despre posibilitățile descrise la alineatele (1), (2) și (3).

Articolul 40

Derogări

Instituțiile și organele comunitare asigură existența unor proceduri transparente care reglementează modul în care acestea pot să nu țină seama de dezactivarea identificării liniei apelante:

(a)

temporar, atunci când un utilizator solicită identificarea apelurilor răuvoitoare sau deranjante;

(b)

permanent, pentru organizațiile care preiau apelurile de urgență în scopul de a le răspunde.

CAPITOLUL V

AUTORITATEA INDEPENDENTĂ DE SUPRAVEGHERE: AUTORITATEA EUROPEANĂ PENTRU PROTECȚIA DATELOR

Articolul 41

Autoritatea europeană pentru protecția datelor

(1)   Prin prezenta se instituie o autoritate independentă de supraveghere denumită în continuare Autoritatea europeană pentru protecția datelor.

(2)   În ceea ce privește prelucrarea datelor cu caracter personal, Autoritatea europeană pentru protecția datelor răspunde de respectarea de către instituțiile și organele comunitare a drepturilor și libertăților fundamentale ale persoanelor fizice, în special, a vieții private a acestora.

Autoritatea europeană pentru protecția datelor răspunde de monitorizarea și asigurarea aplicării dispozițiilor prezentului regulament și a oricărui alt act comunitar referitor la protecția drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal efectuată de către o instituție sau organ comunitar, precum și de consilierea instituțiilor și organelor comunitare și a persoanelor vizate asupra tuturor aspectelor privind prelucrarea de date cu caracter personal. În aceste scopuri, aceasta exercită atribuțiile prevăzute la articolul 46 și competențele care i-au fost conferite prin articolul 47.

Articolul 42

Numirea

(1)   Parlamentul European și Consiliul numesc de comun acord Autoritatea europeană pentru protecția datelor pentru un mandat de cinci ani, pe baza unei liste întocmite de Comisie, în urma unui anunț public de depunere a candidaturilor.

Un adjunct al Autorității europene este numit în conformitate cu aceeași procedură și pentru aceeași durată. Acesta asistă Autoritatea europeană pentru protecția datelor în toate atribuțiile sale și o înlocuiește atunci când Autoritatea europeană pentru protecția datelor este absentă sau nu își poate exercita atribuțiile.

(2)   Autoritatea europeană pentru protecția datelor este aleasă dintre persoanele care oferă toate garanțiile de independență și care posedă experiența și competența necesare îndeplinirii atribuțiilor de Autoritate europeană pentru protecția datelor, de exemplu deoarece fac sau au făcut parte din autoritățile de supraveghere menționate la articolul 28 din Directiva 95/46/CE.

(3)   Mandatul Autorității europene pentru protecția datelor poate fi reînnoit.

(4)   În afara înlocuirii obișnuite sau a decesului, atribuțiile Autorității europene pentru protecția datelor încetează în cazul demisiei sau destituirii în conformitate cu dispozițiile alineatului (5).

(5)   Autoritatea europeană pentru protecția datelor poate fi demisă sau decăzută din dreptul la pensie sau la alte beneficii de către Curtea de Justiție, la cererea Parlamentului European, a Consiliului sau a Comisiei în cazul în care nu mai îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale sau în caz de greșeală gravă.

(6)   În cazul înlocuirii obișnuite sau a demisiei voluntare, Autoritatea europeană pentru protecția datelor rămâne în funcție până la numirea unui înlocuitor.

(7)   Articolele 12-15 și 18 din Protocolul privind privilegiile și imunitățile Comunităților Europene se aplică și Autorității europene pentru protecția datelor.

(8)   Alineatele (2)-(7) se aplică adjunctului Autorității europene pentru protecția datelor.

Articolul 43

Statutul și condițiile generale de exercitare a atribuțiilor de Autoritate europeană pentru protecția datelor, resurse umane și financiare

(1)   Parlamentul European, Consiliul și Comisia stabilesc, de comun acord, statutul și condițiile generale de exercitare a atribuțiilor de Autoritate europeană pentru protecția datelor și, în special, salarizarea acesteia, indemnizațiile și orice alte beneficii de remunerare.

(2)   Autoritatea bugetară se asigură că Autoritatea europeană pentru protecția datelor dispune de resursele umane și financiare necesare îndeplinirii atribuțiilor sale.

(3)   Bugetul Autorității europene pentru protecția datelor figurează la o poziție separată a secțiunii VIII din bugetul general al Uniunii Europene.

(4)   Autoritatea europeană pentru protecția datelor este sprijinită de un secretariat. Funcționarii și ceilalți agenți ai secretariatului sunt numiți de Autoritatea europeană pentru protecția datelor, care le este superioară ierarhic și sub conducerea căreia se află. Numărul lor este stabilit în fiecare an în cadrul procedurii bugetare.

(5)   Funcționarii și ceilalți agenți ai secretariatului Autorității europene pentru protecția datelor se conformează reglementărilor aplicabile funcționarilor și altor agenți ai Comunităților Europene.

(6)   În problemele care privesc personalul secretariatului, Autoritatea europeană pentru protecția datelor este asimilată instituțiilor, în sensul articolului 1 din Statutul funcționarilor Comunităților Europene.

Articolul 44

Independența

(1)   Autoritatea europeană pentru protecția datelor își exercită atribuțiile în deplină independență.

(2)   Autoritatea europeană pentru protecția datelor nu solicită și nici nu primește instrucțiuni din parte altcuiva, în îndeplinirea atribuțiilor sale.

(3)   Autoritatea europeană pentru protecția datelor se abține de la orice act incompatibil cu caracterul atribuțiilor sale și, pe durata mandatului, nu poate exercita nici o altă activitate, remunerată sau nu.

(4)   După încetarea mandatului său, Autoritatea europeană pentru protecția datelor este obligată să manifeste integritate și discreție în ceea ce privește acceptarea anumitor funcții sau beneficii.

Articolul 45

Secretul profesional

Autoritatea europeană pentru protecția datelor, precum și personalul acesteia, atât pe durata mandatului, cât și după încetarea acestuia, sunt obligați să respecte secretul profesional cu privire la informațiile confidențiale la care au avut acces în îndeplinirea atribuțiilor lor.

Articolul 46

Atribuții

Autoritatea europeană pentru protecția datelor:

(a)

ascultă și examinează plângerile și informează persoana vizată cu privire la rezultat într-un termen rezonabil;

(b)

efectuează anchete fie din proprie inițiativă, fie pe baza unei plângeri și informează persoana vizată cu privire la rezultat într-un termen rezonabil;

(c)

monitorizează și asigură aplicarea prezentului regulament și a oricărui alt act comunitar în ceea ce privește protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către o instituție sau organ comunitar, cu excepția Curții de Justiție a Comunităților Europene în exercitarea funcțiilor sale jurisdicționale;

(d)

consiliază instituțiile și organele comunitare, fie din proprie inițiativă, fie ca răspuns la o consultare, în toate problemele legate de prelucrarea datelor cu caracter personal, în special, anterior elaborării de către aceste instituții și organe de norme interne privind protecția drepturilor și libertăților fundamentale ale persoanelor în ceea ce privește prelucrarea datelor cu caracter personal;

(e)

monitorizează noutățile care prezintă interes, în cazul în care acestea au incidență asupra protecției datelor cu caracter personal, în special evoluția tehnologiei informațiilor și a comunicațiilor;

(f)

(i)

cooperează cu autoritățile naționale de supraveghere menționate la articolul 28 din Directiva 95/46/CE din țările unde se aplică această directivă, în măsura necesară pentru îndeplinirea atribuțiilor lor respective, în special prin schimbul de informații utile, cerându-li-se acestor autorități sau organe să își exercite competențele sau să răspundă cererilor venite din partea unor astfel de autorități sau organe;

(ii)

cooperează, de asemenea, cu organele de supraveghere privind protecția datelor, instituite în temeiul titlului VI din Tratatul privind Uniunea Europeană, în special pentru îmbunătățirea coerenței în aplicarea normelor și procedurilor de care sunt direct răspunzătoare pentru a asigura conformarea;

(g)

participă la activitățile grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva 95/46/CE;

(h)

determină, motivează și face publice excepțiile, garanțiile, autorizările și condițiile menționate la articolul 10 alineatul (2) litera (b), alineatele (4), (5) și (6), articolul 12 alineatul (2), articolul 19 și articolul 37 alineatul (2);

(i)

ține un registru al prelucrărilor care i-au fost notificate în temeiul articolului 27 alineatul (2) și înregistrate conform articolului 27 alineatul (5) și asigură accesul la aceste registre păstrate de responsabilii cu protecția datelor în aplicarea articolului 26;

(j)

realizează o verificare prealabilă a prelucrării care îi este notificată;

(k)

elaborează regulamentul de procedură.

Articolul 47

Competențe

(1)   Autoritatea europeană pentru protecția datelor:

(a)

poate consilia persoanele vizate în exercitarea drepturilor acestora;

(b)

poate sesiza operatorul în cazul unei presupuse încălcări a dispozițiilor care reglementează prelucrarea datelor cu caracter personal și, după caz, poate formula propuneri de remediere a acestor încălcări, precum și de îmbunătățire a protecției persoanelor vizate;

(c)

poate dispune ca cererile de exercitare a anumitor drepturi privind datele să fie îndeplinite, în cazurile în care aceste cereri au fost respinse ca urmare a încălcării articolelor 13-19;

(d)

poate adresa un avertisment sau o mustrare operatorului;

(e)

poate dispune rectificarea, blocarea, ștergerea sau distrugerea tuturor datelor în cazul în care acestea au fost prelucrate cu încălcarea dispozițiilor care reglementează prelucrarea datelor cu caracter personal, precum și notificarea acestor măsuri terților cărora le-au fost dezvăluite aceste date;

(f)

poate impune o interdicție temporară sau definitivă privind prelucrarea;

(g)

poate sesiza instituția sau organul comunitar în cauză, și, dacă este necesar, Parlamentul European, Consiliul și Comisia;

(h)

poate sesiza Curtea de Justiție a Comunităților Europene, în condițiile prevăzute de tratat;

(i)

poate interveni în cauzele aduse în fața Curții de Justiție a Comunităților Europene.

(2)   Autoritatea europeană pentru protecția datelor este împuternicită:

(a)

să obțină din partea unui operator sau a unei instituții sau organ comunitar accesul la toate datele cu caracter personal și la toate informațiile necesare realizării anchetelor sale;

(b)

să obțină accesul la orice loc în care un operator ori o instituție sau organ comunitar își desfășoară activitățile în cazul în care există un motiv întemeiat pentru a se presupune că în acest loc se exercită o activitate reglementată prin prezentul regulament.

Articolul 48

Raportul de activitate

(1)   Autoritatea europeană pentru protecția datelor prezintă Parlamentului European, Consiliului și Comisiei un raport anual privind activitățile sale, pe care îl și publică.

(2)   Autoritatea europeană pentru protecția datelor înaintează raportul privind activitățile sale altor instituții și organe comunitare care pot prezenta observații în vederea unei posibile examinări a raportului în Parlamentul European, în special în ceea ce privește măsurile luate ca răspuns la observațiile Autorității europene pentru protecția datelor în temeiul articolului 31.

CAPITOLUL VI

DISPOZIȚII FINALE

Articolul 49

Sancțiuni

Orice neîndeplinire a obligațiilor prevăzute de prezentul regulament, fie aceasta intenționată sau din culpă, atrage după sine sancțiuni disciplinare asupra funcționarului sau agentului Comunităților Europene, în conformitate cu normele și procedurile prevăzute de Statutul funcționarilor Comunităților Europene sau de regimul aplicabil altor agenți.

Articolul 50

Perioada tranzitorie

Instituțiile și organele comunitare garantează că prelucrările aflate deja în derulare la data intrării în vigoare a prezentului regulament sunt conforme cu dispozițiile acestuia în termen de un an de la această dată.

Articolul 51

Intrarea în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Comunităților Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 18 decembrie 2000.

Pentru Parlamentul European

Președintele

N. FONTAINE

Pentru Consiliu

Președintele

D. VOYNET


(1)  JO C 376 E, 28.12.1999, p. 24.

(2)  JO C 51, 23.2.2000, p. 48.

(3)  Avizul Parlamentului European din 14 noiembrie 2000 și Decizia Consiliului din 30 noiembrie 2000.

(4)  JO L 281, 23.11.1995, p. 31.

(5)  JO L 24, 30.1.1998, p. 1.

(6)  JO L 52, 22.2.1997, p. 1.

(7)  JO L 318, 27.11.1998, p. 8.

(8)  JO L 151, 15.6.1990, p. 1. Regulament, astfel cum a fost modificat prin Regulamentul (CE) nr. 322/97 (JO L 52, 22.2.1997, p. 1).


ANEXĂ

1.

Responsabilul cu protecția datelor poate face, în vederea îmbunătățirii concrete a protecției datelor, recomandări instituției sau organului comunitar care l-a desemnat și le poate consilia pe acestea din urmă, precum și pe operatorul care răspunde de problemele referitoare la aplicarea dispozițiilor privind protecția datelor. Mai mult, din proprie inițiativă sau la cererea instituției sau organului comunitar care l-a desemnat, a operatorului, a Comitetului de personal în cauză sau a oricărei alte persoane fizice poate cerceta problemele și faptele legate direct de atribuțiile sale care i-au fost aduse la cunoștință și le poate raporta persoanei care a solicitat cercetarea sau operatorului.

2.

Responsabilul cu protecția datelor poate fi consultat de instituția sau organul comunitar care l-a desemnat, de operatorul sau Comitetul de personal în cauză, precum și de oricare altă persoană fizică, fără să se recurgă la căile oficiale, în orice problemă privind interpretarea sau aplicarea prezentului regulament.

3.

Nimeni nu poate suferi un prejudiciu ca urmare a unui fapt adus la cunoștința responsabilului competent cu protecția datelor, fapt pe care acesta îl consideră ca reprezentând o încălcare a dispozițiilor prezentului regulament.

4.

Fiecare operator implicat trebuie să asiste responsabilul cu protecția datelor în îndeplinirea atribuțiilor sale și să îi furnizeze informațiile pe care le solicită. În îndeplinirea atribuțiilor sale, responsabilul cu protecția datelor are acces, în orice moment, la datele care fac obiectul prelucrărilor și la toate birourile, instalațiile de prelucrare a datelor și la toate suporturile de date.

5.

În măsura în care este necesar, responsabilul cu protecția datelor este eliberat de alte atribuții. Responsabilul cu protecția datelor, precum și personalul acestuia, cărora li se aplică articolul 287 din tratat, au obligația de a nu dezvălui informațiile sau documentele obținute în exercitarea atribuțiilor lor.